Svhost exe: Процесс svchost.exe и системные службы, связанные с ним.

Содержание

Процесс svchost.exe и системные службы, связанные с ним.

Что такое процесс svchost.exe?

    Практически, каждый пользователь Windows, неоднократно наблюдал в списке отображаемых диспетчером задач, несколько процессов с именем svchost.exe. Для разных версий Windows и в зависимости от установленных компонентов системы, количество таких процессов может составлять от нескольких штук до нескольких десятков. При чем, это вполне нормальное явление, поскольку svchost.exe – это главный процесс ( Host process) для системных служб (сервисов), загружаемых из динамических библиотек (файлов .dll). Для запуска таких служб используется один и тот же исполняемый файл svchost.exe, размещенный в системном каталоге \Windows\system32\, но ему передаются разные параметры командной строки, для каждой конкретной службы – свои. Например, для запуска службы Удаленный вызов процедур (RPC) используется командная строка:

C:\Windows\system32\svchost.

exe -k RPCSS

Такой способ запуска системных служб вполне оправдан, поскольку позволяет существенно уменьшить затраты оперативной памяти и ресурсов процессора. Все копии svchost.exe запускаются системным процессом services.exe (родительским процессом) в ходе начальной загрузки, инициализации системы и при необходимости, в ходе выполнения запросов пользовательских или системных задач. Таким образом, каждый процесс svchost.exe — это одна из системных служб Windows, например, ”Клиент групповой политики” или ”Система событий COM+”

Параметры вызова исполняемого файла svchost.exe для конкретных системных служб определяются значениями в ключе реестра

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\имя службы

Параметр ImagePath задает командную строку для данной службы или группы служб. Имя библиотеки, которая используется для данной службы, определяется параметром ServiceDll подраздела Parameters

Перечень всех служб, запускаемых с использованием svchost. exe и их объединение в группы определяется содержимым ключа реестра

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Так, например, в группу DcomLaunch входят 3 службы:

Power — Питание

PlugPlay — Plug-and-Play

DcomLaunch — Модуль запуска процессов DCOM-сервера

Каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов, относящихся к группе.

    Некоторые компьютерные вирусы нередко маскируются под процессы с именем svchost.exe, поскольку так проще замаскировать их присутствие в зараженной систем среди прочих легальных процессов с таким же именем. Однако, такие ложные svchost.exe имеют некоторые принципиальные отличия, позволяющие довольно легко обнаружить и обезвредить вредоносную программу:

— исполняемый файл имеет путь отличный от \Windows\system32\

. Такой способ используют вирусы Net-Worm.Win32.Welchia.a, Virus. Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn. — Процесс svchost выполняется в контексте учетной записи пользователя. Настоящий процесс svchost.exe является системной службой и всегда выполняется в контексте системных учетных записей ”Система” (”Локальная системная учетная запись”, SYSTEM, LOCAL SERVICE) или в контексте сетевых служб (NETWORK, NETWORK SERVICE). Соответственно, легальный исполняемый файл svchost.exe запускается только как системная служба, а не прикладная программа. Вполне очевидно, что запуск легальной службы
никогда
не обеспечивается способами, применимыми для прикладного программного обеспечения (ПО), например, с использованием записей раздела Run реестра или из папки Автозагрузка.

Следует отметить, что существует возможность создания вредоносной программой собственной службы, использующей для запуска настоящий svchost.exe, но выполняющей вредоносные действия через внедрение собственной библиотеки . dll. Как, например, как это делает вирус Conficker (Kido). Подобный прием нередко использовался во времена Windows XP/2000, но в современных версиях Windows реализовать данный способ заражения системы становится все сложнее и сложнее. Как правило, признаком такого вирусного заражения является использование файла

.dll, расположенного не в каталоге \Widows\System32\, отсутствие цифровой подписи разработчика, а также адекватного описания поддельной службы.

Как определить системную службу, связанную с конкретным процессом svchost.exe.

Иногда, требуется определить, какая именно служба соответствует конкретному процессу scvhost.exe, например, когда этот процесс потребляет значительные ресурсы центрального процессора:

В данном примере, процесс svchost.exe потребляет 50% ресурсов процессора. Это ненормально, и внешне может проявляться в виде снижения общей производительности, подвисаний (лагов), скачкообразного перемещения указателя мыши и т.

п. Поскольку системные процессы имеют более высокий приоритет по сравнению с пользовательскими, они и потребляют ресурсы системы в первую очередь, что снижает реальную производительность программ, выполняемых в контексте учетных записей пользователей.

Для поиска причин чрезмерного потребления ресурсов системы конкретным экземпляром svchost.exe, в первую очередь необходимо определить, действительно ли данный процесс является системным ( не вирусом), и с какой именно службой он связан. Существует несколько способов, применимость которых зависит от возможностей конкретной версии Windows .

Использование утилиты командной строки tasklist.exe

Для получения списка выполняющихся служб в любой версии Windows можно использовать команду:

tasklist /svc

tasklist /svc > %TEMP%\svclist.txt — то же, что и в предыдущем примере, но с выдачей результатов в текстовый файл. Результат будет представлен в DOS-кодировке, и для просмотра его кириллической составляющей стандартными средствами Windows, потребуется перекодировка, или редактор с поддержкой кодовой страницы CP866 (DOS), как например, Notepad++ или встроенный редактор Far Manager.

notepad++ %TEMP%\svclist.txt — открыть созданный файл со списком сервисов.

Пример отображаемой информации:


Имя образа                     PID Службы                                      
========================= ======== ============================================
System Idle Process              0 Н/Д                                         
System                           4 Н/Д                                         
smss.exe                       492 Н/Д                                         
csrss.exe                      668 Н/Д                                         
wininit.exe                    748 Н/Д                                         
csrss.exe                      764 Н/Д                                         
services.exe                   816 Н/Д                                         
lsass.exe                      832 KeyIso, SamSs                               
lsm.
exe 840 Н/Д winlogon.exe 892 Н/Д svchost.exe 984 DcomLaunch, PlugPlay, Power svchost.exe 600 RpcEptMapper, RpcSs cmdagent.exe 744 CmdAgent svchost.exe 1040 CryptSvc, Dnscache, LanmanWorkstation, NlaSvc, TermService atiesrxx.exe 1096 AMD External Events Utility svchost.exe 1132 AudioSrv, Dhcp, eventlog, HomeGroupProvider, lmhosts, wscsvc svchost.exe 1176 AudioEndpointBuilder, CscService, HomeGroupListener, Netman, PcaSvc, TrkWks, UmRdpService, UxSms, Wlansvc, wudfsvc svchost.
exe 1236 EventSystem, fdPHost, FontCache, netprofm, nsi, WdiServiceHost svchost.exe 1288 AeLookupSvc, BITS, Browser, CertPropSvc, EapHost, gpsvc, IKEEXT, iphlpsvc, LanmanServer, ProfSvc, Schedule, SENS, SessionEnv, ShellHWDetection, Themes, Winmgmt . . .
Отображается имя образа (исполняемого файла), уникальный идентификатор процесса PID и краткое название службы. Так, например, процесс svchost.exe с идентификатором 984 имеет отношение к службам с короткими именами DcomLaunch, PlugPlay, Power. Для получения подробной информации о службе, в том числе и ее выводимое имя можно использовать команду управления службами SC:

sc qc power — отобразить конфигурацию о службе Power

Пример отображаемой информации:


Имя_службы: power
        Тип                  : 20  WIN32_SHARE_PROCESS 
        Тип_запуска          : 2   AUTO_START
        Управление_ошибками  : 1   NORMAL
        Имя_двоичного_файла  : C:\Windows\system32\svchost. exe -k DcomLaunch
        Группа_запуска       : Plugplay
        Тег                  : 0
        Выводимое_имя        : Питание
        Зависимости          : 
        Начальное_имя_службы : LocalSystem

В графическом интерфейсе пользователя, сведения о службе можно получить с использованием оснастки “Службы” консоли управления Microsoft (комбинация клавиш Win+R и выполнить services.msc), или через меню Панель управления – Администрирование – Службы

Использование Диспетчера задач Windows (taskmgr.exe)

Стандартные диспетчеры задач отличаются по своим возможностям в зависимости от версии Windows. Так, например диспетчер задач Windows XP не имеет собственных средств по сопоставлению имени процесса с именем системной службы, а диспетчер задач Windows 10 позволяет это сделать с использованием контекстного меню, вызываемого правой кнопкой мышки:

При выборе пункта Перейти к службам откроется окно со списком служб, в котором будут подсвечены службы, связанные с выбранным процессом svchost. exe

При необходимости, можно нажать на ссылку Открыть службы в нижней части экрана, и, непосредственно из диспетчера задач, открыть список системных служб (оснастку консоли управления Windows services.msc). Диспетчеры задач Windows Vista – Windows 8.1 менее информативны и обладают меньшей функциональностью, но также позволяют выполнять переход от выбранного процесса к связанным с ним службам.

Использование Process Explorer (procexp.exe) из пакета Sysinternals Suite

Утилита Process Explorer не входит в состав стандартных дистрибутивов Windows и может быть загружена с сайта Microsoft либо в составе пакета Sysinternals Suite, либо как отдельный программный продукт — Страница загрузки Process Explorer

Программа не требует установки, достаточно разархивировать загруженный пакет и запустить исполняемый файл procexp.exe. Возможности Process Explorer настолько обширны, что даже для их перечисления потребуется отдельная немаленькая статья. А для получения сведений о процессе достаточно просто подсветить его указателем мышки:

Более подробную информацию можно получить, открыв свойства процесса двойным щелчком, или через контекстное меню, вызываемое правой кнопкой мышки — Properties. На вкладке Services отображается полный перечень всех служб, связанных с выбранным процессом.

Для каждой службы выводится короткое и отображаемое имя, путь и имя используемой библиотеки dll, а также, при выборе конкретной службы, — ее краткое описание в нижней части окна.

Process — в данной колонке отображается дерево активных процессов и их потомков. Потомок (child) — процесс, созданный другим, родительским (parent) процессом. Любой процесс может быть и потомком, если он создан в ходе выполнения другого процесса, и родителем, если в ходе его выполнения создан другой процесс. Отображение элементов дерева процессов выполняется в соответствии с порядком их запуска в ходе загрузки операционной системы и ее дальнейшего функционирования.

Корнем дерева процессов является уровень System Idle Process . Фактически, это не реальный процесс, а индикатор состояния простоя системы, когда центральный процессор не выполняет каких-либо программ. Следующим элементом дерева представлен уровень System. Этот уровень так же, не является реальным процессом и предназначен для отображения активности системы, связанной с обработкой прерываний, работой системных драйверов, диспетчера сеансов Windows (Session Manager) smss.exe, и csrss.exe (Client — Server Runtime). Элемент Interrupts является уровнем для индикации обработки аппаратных прерываний, элемент DPCs — для индикации обработки отложенных вызовов процедур (Deferred Procedure Calls). Механизм обработки аппаратных прерываний в Windows предполагает как бы двухуровневую обработку. При возникновении запроса на прерывание, сначала, получает управление программа-обработчик аппаратного прерывания, выполняющая лишь самые необходимые критические операции, а остальные действия откладываются до тех пор, пока не появится относительно свободное процессорное время. Тогда эти действия будут выполнены в рамках вызова отложенной процедуры. В многопроцессорных системах каждый процессор имеет свою отдельную очередь отложенных вызовов. Порядок обработки очереди запросов на прерывание и очереди отложенных процедур определяется их приоритетами. Для определения приоритетов используется уровень запроса на прерывание IRQL — программно-аппаратный механизм, применяемый для синхронизации выполнения отдельных процессов в операционных системах семейства Windows. Уровни IRQL аппаратных прерываний задаются программированием регистров контроллера прерываний, а уровни IRQL программного кода операционной системы — реализуются программно.

Степень использования ресурсов уровнем System дерева процессов, отображаемого программой Process Explorer, характеризует занятость операционной системы диспетчеризацией и обработкой прерываний. Высокая степень использования процессора для обработки прерываний может указывать на наличие проблем с оборудованием или некорректно работающий драйвер устройства. Обычно, это сопровождается эффектом заметного снижения общей ”полезной” производительности системы и внешне проявляется в виде “тормозов” и ”подвисаний” на пользовательских задачах, например, в скачкообразном перемещении указателя мыши по экрану, медленном открытии страниц в браузере, ”фризы” в играх, увеличении шума от вентиляторов систем охлаждения и т.п.

Остальная часть дерева отображает иерархию реально выполняющихся в Windows процессов. Так, например, приложение служб и контроллеров SERVICES.EXE обеспечивает создание, удаление, запуск и остановку служб (сервисов) операционной системы, что и отображается в списке порождаемых им процессов.

PID — идентификатор процесса PID — уникальное десятичное число, присваиваемое каждому процессу при его создании.

CPU — степень использования центрального процессора.

Private Bytes — объем оперативной памяти, выделенной данному процессу и не разделяемой с другими процессами.

Working Set — рабочий набор процесса, представляющий собой суммарный объем всех страниц используемой им памяти, в данный момент времени. Размер этого набора может изменяться, в зависимости от запросов процесса. Практически все процессы используют разделяемую память.

Description — описание процесса

Company Name — имя компании-разработчика.

Path — путь и имя исполняемого файла.

Verified Signer — признак достоверности цифровой подписи исполняемого файла. Наличие строки «Not verified» говорит о том, что цифровая подпись отсутствует или ее не удалось проверить. Для проверки цифровой подписи нужен доступ в Интернет. Наличие цифровой подписи легального производителя ПО, гарантирует достоверность подписанного ей файла.

Иерархический характер дерева процессов способствует визуальному восприятию родительски-дочерних отношений каждого активного процесса. Нижняя панель дает информацию обо всех DLL, загруженных выделенным в верхней панели процессом, открытых им файлах, папках, разделах и ключах реестра.

При выборе уровня System дерева процессов в нижней панели можно получить информацию обо всех загруженных драйверах системы, их описание, версию, путь исполняемого файла, адрес в оперативной памяти, размер, Кроме того, можно проверить цифровую подпись, а также просмотреть строковые значения в самом исполняемом файле или в оперативной памяти.

При просмотре свойств любого процесса, можно получить очень подробную информацию о ресурсах системы, используемых данным процессом, включая память, процессор, систему ввода-вывода, графическую подсистему и сетевые соединения.

Использование Process Explorer позволяет легко определить дополнительные признаки, которые могут принадлежать вредоносной программе, замаскированной под легальный процесс:

— в пути исполняемого файла присутствует папка для хранения временных файлов (TEMP), или в случае с svchost.exe , путь исполняемого файла отличается от \Windows\System32, например — ”C:\Users\User1\Application Data\Microsoft\svchost. exe”. Такой svchost.exe однозначно является вредоносной программой.

— отсутствует информация о производителе программного обеспечения. В редких случаях это не является настораживающим признаком, но подавляющее большинство разработчиков современного ПО такую информацию предоставляют.

— отсутствует цифровая подпись. Большинство производителей программного обеспечения имеют сертификаты с цифровой подписью для своих программ. Для проверки подписи можно нажать кнопку Verify. Необходим доступ в Интернет. Наличие цифровой подписи у исполняемого файла говорит о том, что он не является поддельной программой.

— отсутствуют поля описания загрузочного образа Version и Time. Хотя эти поля и не обязательно являются признаком легального ПО, их отсутствие можно считать дополнительным настораживающим признаком угрозы.

— имя исполняемого файла соответствует имени реально существующего системного файла Windows, но путь отличается от стандартных \WINDOWS, \WINDOWS\SYSTEM32 или \WINDOWS\SysWOW64 (для 64-разрядных систем). Это характерно для вирусов, маскирующихся под наиболее часто встречающиеся программные модули — svchost.exe, smss.exe, csrss.exe, winlogon.exe и т.п. Легальное имя исполняемого файла и нестандартный путь его запуска являются явным признаком вредоносной программы.

— путь исполняемого файла совпадает c \WINDOWS или \WINDOWS\SYSTEM32 , но имя немного отличается от распространенных имен системных файлов — swchoct.exe вместо svchost.exe и т.п. Для современных ОС семейства Windows такой прием вирусного заражения встречается довольно редко, поскольку настройки безопасности современных систем затрудняют реализацию записи данных в системные каталоги.

— исполняемый файл находится в \WINDOWS или \WINDOWS\SYSTEM32, но дата его создания значительно отличается от даты создания остальных системных файлов и приблизительно соответствует предполагаемой дате заражения. Тоже довольно редко встречающийся прием вирусного заражения по той же причине, которая приведена в предыдущем пункте.

Кроме отображения информации о процессах, утилита Process Explorer позволяет убить выбранный процесс или дерево процессов. В ОС Windows XP и более ранних, уничтожение некоторых системных процессов, как например winlogon.exe, может приводить к синему экрану смерти (BSoD), а в более поздних версия Windows – к аварийному завершению сеанса пользователя.

Одним из приемов диагностики вирусного заражения или причин непомерного потребления системных ресурсов является поочередное принудительное их завершение и анализ состояния системы после него. Вместо принудительного завершения можно использовать последовательное изменение приоритетов процессов на минимальное значение. Если после завершения процесса или снижения его приоритета состояние системы стало нормальным (нет ”подвисаний”, лишнего трафика, роста температуры процессора или видеокарты и т.п.), это явно указывает на необходимость пристального внимания к параметрам процесса, его легальности или принадлежности к вредоносному ПО.

Утилита Process Explorer бесплатна, удобна в использовании, может применяться в переносимом варианте и много лет является одним из наиболее популярных инструментов системных администраторов Windows.

Дополнение к статье:

Краткое описание и инструкция по использованию утилиты Process Explorer

Пример использования утилит Process Explorer и Autoruns для обезвреживания вируса-майнера.

Краткое описание и инструкция по использованию утилиты Autoruns

Список команд командной строки с описанием и примерами.

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

Атаки с использованием вируса Svchost.exe | Об угрозах

Когда дело доходит до вредоносного ПО, неспециалисту бывает не просто определить, является ли файл вредоносным или нет. Это относится, в частности, к svchost.exe: вирус, прикрепленный к этому файлу, очевидно вредоносный, хотя сам svchost. exe действительно является основным файлом Windows.

Svchost.exe фактически означает «сервисный хост», и это файл, используемый многими приложениями Windows. Несмотря на это, он часто ошибочно воспринимается как вирус, поскольку известно, что авторы вредоносных программ прикрепляют вредоносные файлы к svchost.exe для предотвращения их обнаружения. Кроме того, вирусописатели часто создают процессы с опечатками, например, «svhost.exe» или «svchosl.exe», чтобы избежать случайного обнаружения.

Удаление вирусов svchost.exe

Столкнувшись с любым типом заражения, например, с вирусом svchost.exe, необходимо действовать осторожно. Первым шагом является использование надежной утилиты для удаления вредоносных программ, чтобы обнаружить все компоненты вируса svchost.exe и удалить их. Помните, что, хотя такие утилиты и предназначены для обнаружения и удаления угроз, они ни в коем случае не заменяют защитные решения для обеспечения безопасности ваших устройств. Скорее, эти утилиты предназначены для устранения последствий уже случившегося заражения.

Проактивный подход

Как только заражение будет устранено, необходимо сразу же установить антивирусный сканер от надежного специалиста по IT-безопасности, чтобы предотвратить повторное заражение. Оценивая программное обеспечение от разных вендоров, следует подумать о том, какая степень защиты вам нужна. Для многих пользователей покупка защитного решения класса Internet security часто является лучшим выбором, поскольку оно обеспечивает комплексную защиту от различных интернет-угроз. Три его основных компонента — это антивирус, антиспам и сетевой экран. Для тех, кто не знаком с этим термином, сетевой экран — это программный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика.

Хотя выбор защитного решения для вашего компьютера может показаться вам сложным, вы можете упростить этот процесс, загрузив бесплатный антивирус, чтобы протестировать различные продукты, представленные на рынке, и оценить, какой из них подходит именно вам.

Другие статьи и ссылки по теме «Svchost.exe и компьютерные вирусы»:

· Эффективность обнаружения угроз

· Частота и регулярность обновлений

· Возможность вылечить зараженый компьютер

· Эффективная защита без снижения производительности

Как противостоять атакам с использованием вируса Svchost.exe

Kaspersky

Здесь вы можете прочитать как противостоять атакам с использованием вируса Svchost.exe.

Зачем нужен svchost.exe в Windows?

Юзеры, которые часто используют Диспетчер задач, замечали, что в списке рабочих процессов отображается несколько служб svchost.exe. Но не все, а тем более неопытные пользователи, знают, что такое svchost.exe в Диспетчере задач и за что он отвечает.

Что такое svchost.exe?

Svchost.exe – это системный исполняемый (как следует из названия) файл для ОС Windows. Он отвечает за запуск некоторых приложений и функций, снижая нагрузку на центральный процессор и RAM. Поэтому удалять его из системы нельзя (кроме случаев, когда под эту службу маскируется вредоносное ПО или когда можно отключить неиспользуемые службы, о чем написано в статье «Повышаем производительность компьютера отключая неиспользуемые службы»).

Если в Диспетчере задач отображается несколько копий svchost.exe, не переживайте, поскольку их количество зависит от числа запущенных программ: чем их больше, тем больше этих служб.

Принцип работы процесса

Этот процесс есть почти в каждой версии ОС Windows, но его потенциал раскрылся только с релизом Windows XP. До этого он в основном отвечала за сетевые соединения, с помощью которых компьютер подключается к интернету. Но разработчики Microsoft решили на этом не останавливаться, поэтому теперь служба предназначена для запуска фоновых локальных процессов, относящихся к динамическим библиотекам, которые имеют расширение «. dll».

Интересно! Динамические библиотеки невозможно запустить в обычном режиме.

svchost.exe позволяет сохранять ресурсы компьютера, потому что при использовании службы не нужно физически запускать исполняемый файл. Поэтому уменьшается количество процессов, загружающих RAM и виртуальную память ПК. Именно из-за этого в Диспетчере задач одновременно отображается несколько служб с одинаковым названием.

Помимо этого, файл svchost.exe автоматически запускается при старте Windows, независимо от того, какие программы «висят» в автозапуске. Поэтому полное отключение лишних служб и приложений не повлияет на его загрузку.

Причины загрузки ресурсов

Нередко пользователи замечают, что процесс загружает один из ресурсов (процессор или оперативную память) устройства, независимо от того, запущены программы или нет. На это есть разные причины.

Вирусы

Главная причина – вредоносное ПО, которое попало на компьютер и «маскируется» под файл svchost. exe. Отсортируйте процессы в Диспетчере задач по названию и посмотрите, от чьего имени запущены эти службы. Если это сделано от имени учетной записи пользователя (вашей записи), значит это «проделки» вируса. Если в графе «Имя пользователя» указано: Local Service, Network Service или System, такой файл безопасен.

Если вы думаете, что обнаружили вирус, нажмите по процессу ПКМ → Открыть расположение файла. Так вы определите местоположение зловреда и проверите его через портал VirusTotal.com. Но лучше сразу просканировать систему с помощью программ Dr.Web CureIt или Malwarebytes Anti-Malware. Дело в том, что удаление одного исполняемого файла не поможет избавиться от вируса, поскольку на компьютере наверняка имеются вспомогательные фрагменты, которые восстановят его после перезагрузки или просто не дадут удалить.

Загрузка обновлений

Поскольку в большинстве случаев пользователь не меняет настройки ОС, в Windows по умолчанию установлена автоматическая загрузка обновлений. Это тоже «обязанность» svchost.exe. Для отключения загрузки обновлений:

  • введите в строке поиска services.msc → откроется окно Службы;
  • ПКМ на пункте Центр обновлений Windows → Свойства → Тип запуска: «Отключена».

Проблемные программы

Эта причина свойственна тем пользователям, которые устанавливают на компьютер огромное количество программ и приложений, и не следят за ними. Чтобы выявить ненужный софт, установите на ПК программу >Process Explorer. Она поможет определить, какие программы отбирают ресурсы устройства, но при этом вы не пользуетесь ними.

Еще одно преимущество Process Explorer – она тесно работает с сервисом проверки файлов на вредоносное ПО – VirusTotal, поэтому поможет отличить системные службы от вирусов.

Чтобы проверить файл, выделите его в окне программы → Options → VirusTotal.com → Check VirusTotal.com.

Использование µTorrent

Часто ресурсы компьютера грузит программа µTorrent при скачивании файлов. Для снижения нагрузки на процессор:

  • нажмите в окне программы Ctrl+P → раздел Дополнительно;
  • установите на параметре «net.low_cpu» переключатель в положение «Да», а на параметре «net.max_halfopen» минимальное значение (число) и после этого повышайте его до тех пор, пока снова не возникнут проблемы с загрузкой – это предельный параметр.

Устранение проблем

Самый простой способ уменьшить нагрузку на главные компоненты компьютера – перезагрузить его. Но такой подход помогает не всегда. Кардинальная мера – «убить» процесс svchost.exe в Диспетчере задач. Как это сделать для Windows 10.

  1. Первый способ:
    ПКМ по нужному процессу → Подробности → ПКМ по выделенной строке → Завершить дерево процессов.
  2. Второй способ:
    • ПКМ по процессу → Подробности → ПКМ по выделенной строке → Перейти к службам;
    • в строке поиска введите services.msc → в окне утилиты Службы в списке найдите те, которые были выделены в Диспетчере задач → ПКМ → Свойства → Тип запуска: «Отключена».

Как распознать вирус?

Распознать вирус, который маскируется под файл svchost.exe, легко. Он запускается от имени учетной записи юзера или любых других процессов, кроме Local Service, Network Service или System.

Еще одна характерная особенность – «ошибки» в названии. Процессы с названием svhost, svchosts или прочие – это зловреды, которые нужно удалить.

«Чистка» системы

Если вы обнаружили на компьютере вирус, маскирующийся под файл svchost.exe, запустите углубленное сканирование системы установленным антивирусным ПО.

Важно! Наверняка сканирование установленным ПО не принесет результат.

Но лучше используйте специальные утилиты от известных компаний: Dr.Web CureIt, Malwarebytes Anti-Malware или Kaspersky Rescue Disc. Они выявят и обезвредят вредоносное ПО.

Видео

Дополнительную информацию о процессе svchost.exe вы узнаете на видео.

https://www.youtube.com/watch?v=MuenQ6lHiQg

Что за процесс svchost.

exe? Windows
  • Bot
  • 12.06.2019
  • 1 459
  • 0
  • 1
  • 1
  • 0
  • Содержание статьи

В данной статье пойдет речь о том, что за процесс svchost.exe, почему он может грузить (т.е. сильно нагружать) процессор или очень много оперативной памяти (а в некоторых случаях и всю доступную оперативку).

Описание

Пожалуй, самым распространенным вопросом, относящимся к теме системных процессов Windows, является «Что это за процесс svchost.exe и почему их так много работает одновременно?». Впервые данный процесс начал использоваться в операционной системе Windows XP. На самом деле он используется в качестве контейнера для нескольких служб, расположенных внутри и отображающихся как один процесс.

Это было сделано для экономии системных ресурсов путем сокращения количества процессов. Все системные службы, такие как DNS-клиент, Рабочая станция, Службы криптографии, Питание, Сетевые подключения и т.д., работают внутри процессов svchost.exe. В зависимости от требуемого службам доступа к ресурсам, они группируются в определенных процессах, которые имею нужный уровень доступа. Это объясняет, почему так много процессов svchost.exe работают одновременно под разными учетными записями такими, как Network Service, Local Service, System.

Узнать, из каких служб состоит определенный, интересующий нас хост-процесс svchost.exe, можно несколькими способами. Первый — используя стандартный диспетчер задач Windows (Актуально для операционных систем Windows 7 и Vista): Делаем клик правой кнопкой мыши на панели задач, в списке выбираем «Запустить диспетчер задач». В закладке «Процессы» выделяем интересующий нас svchost.exe, нажимаем на нем правой кнопкой мыши и в списке выбираем «Перейти к службам». Попадаем в следующую закладку «Службы», только те службы, которые работают внутри интересующего нас хост-процесса будут выделены синим цветом.

Второй способ можно использовать в любой версии MS Windows. Для этого необходимо скачать  очень полезную, бесплатную, портативную утилиту от Microsoft Sysinternals, которая называется Process Explorer. Данное приложение работает под всеми версиями и редакциями Windows. Фактически, это сильно усовершенствованный Диспетчер задач. Запускаем приложение, нажимаем на интересующий нас процесс svchost.exe правой кнопкой мыши, в списке выбираем «Properties…» и в появившемся окне нажимаем на закладку «Services». Получаем отдельный список служб, работающих в данном процессе.

Svchost.exe службой NSI утечек памяти и утечка памяти невыгружаемого пула NSpc тег

Сведения об исправлении

Доступно исправление от службы поддержки Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.

Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.

Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы просмотреть полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:

http://support.microsoft.com/contactus/?ws=support

Примечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.

Предварительные условия

Для установки этого исправления необходимо иметь Пакет обновления 1 для Windows 7 или Windows Server 2008 R2 установлен.

Требование к перезапуску

После установки исправления компьютер необходимо перезагрузить.

Сведения о замене исправлений

Это исправление не заменяет все ранее выпущенные исправления.

Сведения о файлах

Английский (США) версия данного исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Даты и время для файлов указаны в формате UTC. Даты и время для этих файлов на локальном компьютере отображаются с учетом часового пояса и перехода на летнее время. Кроме того, даты и время могут изменяться при выполнении определенных операций с файлами.

Информация о файлах для Windows 7 и Windows Server 2008 R2 и примечания

Важно! Исправления для Windows 7 и Windows Server 2008 R2 включены в одни и те же пакеты. Однако на странице запроса исправления они указаны для обеих операционных систем. Чтобы запросить исправление для одной или обеих операционных систем, выберите его в разделе «Windows 7» и (или) «Windows Server 2008 R2». Сведения о том, для каких операционных систем предназначено исправление, см. в разделе «Информация в данной статье применима к» посвященной ему статьи.

  • Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить путем проверки номера версий файлов, как показано в следующей таблице.

    Версия

    Продукт

    SR_Level

    Направление поддержки

    6. 1.760 0. 16xxx

    Windows 7 и Windows Server 2008 R2

    RTM

    GDR

    6.1.760 1. 22xxx

    Windows 7 и Windows Server 2008 R2

    SP1

    LDR

  • Направления поддержки GDR содержат только те исправления, которые выпускаются повсеместно и предназначены для устранения распространенных критических проблем. Направления поддержки LDR содержат дополнительные исправления для широко распространенных исправлений.

  • Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе «Дополнительные «сведения о файлах для Windows 7 и Windows Server 2008 R2.

  • Файлы MUM и MANIFEST, а также связанные файлы каталога безопасности (CAT) чрезвычайно важны для поддержания состояния обновленных компонентов. Файлы каталога безопасности, атрибуты для которых не указаны, подписаны цифровой подписью Майкрософт.

Для всех поддерживаемых 32-разрядных (x86) версий Windows 7

Имя файла

Версия файла

Размер

Дата

Время

Платформа

Nsi. dll

6.1.7600.16385

8,704

14-Jul-2009

01:16

x86

Nsiproxy.sys

6.1.7600.16385

16,896

13-Jul-2009

23:12

x86

Nsisvc. dll

6.1.7601.22590

20,480

05-Feb-2014

02:03

x86

Winnsi.dll

6.1.7600.16385

16,896

14-Jul-2009

01:16

x86

Для всех поддерживаемых 64-разрядных (x64) версий Windows 7 и Windows Server 2008 R2

Имя файла

Версия файла

Размер

Дата

Время

Платформа

Nsi. dll

6.1.7600.16385

13,824

14-Jul-2009

01:41

x64

Nsiproxy.sys

6.1.7601.22590

24,576

05-Feb-2014

01:15

x64

Nsisvc. dll

6.1.7601.22590

26,624

05-Feb-2014

02:42

x64

Winnsi.dll

6.1.7600.16385

26,112

14-Jul-2009

01:41

x64

Nsi. dll

6.1.7601.22590

8,704

05-Feb-2014

02:03

x86

Winnsi.dll

6.1.7601.22590

16,896

05-Feb-2014

02:04

x86

Для всех поддерживаемых версий Windows Server 2008 R2 для систем на базе процессоров IA-64

Имя файла

Версия файла

Размер

Дата

Время

Платформа

Nsi. dll

6.1.7600.16385

18,944

14-Jul-2009

01:48

IA-64

Nsiproxy.sys

6.1.7601.22590

53,760

05-Feb-2014

00:50

IA-64

Nsisvc. dll

6.1.7601.22590

60,928

05-Feb-2014

01:48

IA-64

Winnsi.dll

6.1.7600.16385

38,912

14-Jul-2009

01:50

IA-64

Nsi. dll

6.1.7601.22590

8,704

05-Feb-2014

02:03

x86

Winnsi.dll

6.1.7601.22590

16,896

05-Feb-2014

02:04

x86

Сведения о дополнительных файлах для Windows 7 и Windows Server 2008 R2
Дополнительные файлы для всех поддерживаемых 86-разрядных версий Windows 7

Имя файла

Package_1_for_kb2847346~31bf3856ad364e35~x86~~6. 1.1.0.mum

Версия файла

Not Applicable

Размер

1,822

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Package_2_for_kb2847346~31bf3856ad364e35~x86~~6. 1.1.0.mum

Версия файла

Not Applicable

Размер

1,805

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Package_3_for_kb2847346~31bf3856ad364e35~x86~~6. 1.1.0.mum

Версия файла

Not Applicable

Размер

1,807

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Package_for_kb2847346_rtm~31bf3856ad364e35~x86~~6. 1.1.0.mum

Версия файла

Not Applicable

Размер

1,459

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Package_for_kb2847346_sp1~31bf3856ad364e35~x86~~6. 1.1.0.mum

Версия файла

Not Applicable

Размер

1,918

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

X86_dfca12963d5c03edca970b29ad513eb4_31bf3856ad364e35_6. 1.7601.22590_none_ff32d7aebbbb6891.manifest

Версия файла

Not Applicable

Размер

699

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

X86_microsoft-windows-usermodensi_31bf3856ad364e35_6. 1.7601.22590_none_749890603f18301d.manifest

Версия файла

Not Applicable

Размер

8,301

Дата (UTC)

05-Feb-2014

Время (UTC)

06:38

Платформа

Not Applicable

Дополнительные файлы для всех поддерживаемых версий x64 под управлением Windows 7 и Windows Server 2008 R2

Имя файла

Amd64_37e172e525713d1718cb98daea282913_31bf3856ad364e35_6. 1.7601.22590_none_9888f3a0165278fe.manifest

Версия файла

Not Applicable

Размер

1,048

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Amd64_3839818617f8250fd6f59e35da1df9bd_31bf3856ad364e35_6. 1.7601.22590_none_8fbf427f98b0d1cb.manifest

Версия файла

Not Applicable

Размер

703

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Amd64_a9af583825031567fe0548a9c2c728ab_31bf3856ad364e35_6. 1.7601.22590_none_59ced916edddc9da.manifest

Версия файла

Not Applicable

Размер

703

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Amd64_microsoft-windows-usermodensi_31bf3856ad364e35_6. 1.7601.22590_none_d0b72be3f775a153.manifest

Версия файла

Not Applicable

Размер

8,305

Дата (UTC)

05-Feb-2014

Время (UTC)

06:41

Платформа

Not Applicable

Имя файла

Package_1_for_kb2847346~31bf3856ad364e35~amd64~~6. 1.1.0.mum

Версия файла

Not Applicable

Размер

1,832

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Package_2_for_kb2847346~31bf3856ad364e35~amd64~~6. 1.1.0.mum

Версия файла

Not Applicable

Размер

2,237

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Package_3_for_kb2847346~31bf3856ad364e35~amd64~~6.1.1.0.mum

Версия файла

Not Applicable

Размер

2,015

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Package_4_for_kb2847346~31bf3856ad364e35~amd64~~6.1.1.0.mum

Версия файла

Not Applicable

Размер

2,036

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Package_for_kb2847346_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum

Версия файла

Not Applicable

Размер

1,467

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Package_for_kb2847346_sp1~31bf3856ad364e35~amd64~~6.1.1.0.mum

Версия файла

Not Applicable

Размер

2,830

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Wow64_microsoft-windows-usermodensi_31bf3856ad364e35_6.1.7601.22590_none_db0bd6362bd6634e.manifest

Версия файла

Not Applicable

Размер

4,690

Дата (UTC)

05-Feb-2014

Время (UTC)

02:16

Платформа

Not Applicable

Дополнительные файлы для всех поддерживаемых версий Windows Server 2008 R2 с архитектурой IA-64

Имя файла

Ia64_44d491142723affea686ec2fba3cb4ac_31bf3856ad364e35_6.1.7601.22590_none_dc26e555dbabe437.manifest

Версия файла

Not Applicable

Размер

1,046

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Ia64_microsoft-windows-usermodensi_31bf3856ad364e35_6.1.7601.22590_none_749a34563f163919.manifest

Версия файла

Not Applicable

Размер

8,303

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Package_1_for_kb2847346~31bf3856ad364e35~ia64~~6.1.1.0.mum

Версия файла

Not Applicable

Размер

2,029

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Package_for_kb2847346_sp1~31bf3856ad364e35~ia64~~6.1.1.0.mum

Версия файла

Not Applicable

Размер

1,446

Дата (UTC)

05-Feb-2014

Время (UTC)

06:35

Платформа

Not Applicable

Имя файла

Wow64_microsoft-windows-usermodensi_31bf3856ad364e35_6.1.7601.22590_none_db0bd6362bd6634e.manifest

Версия файла

Not Applicable

Размер

4,690

Дата (UTC)

05-Feb-2014

Время (UTC)

02:16

Платформа

Not Applicable

Обходное решение

Чтобы обойти эту проблему, воспользуйтесь одним из следующих возможных решений в зависимости от конкретной ситуации.

Временное решение для случая 1

Убедитесь в том, что приложения, например, ping.exe, не завершается принудительно. Вместо этого разрешите приложению корректно завершения работы.

Кроме того обновление до Windows Server 2012. Эта проблема исправлена в Windows Server 2012. Это исправление предотвращает утечки памяти, независимо от того, как приложение будет остановлено NSI службы.

Временное решение для сценария 2

Разработчик программного обеспечения следует создать несколько дескрипторов ICMP для отправки запросов проверки связи ICMP. При отправке большого количества пакетов ICMP вы должны использовать незащищенные сокеты и непосредственно отправлять и получать пакеты ICMP на RAW socket. Это позволит получить максимальное быстродействие.

Временное решение для сценария 3

В этом случае если отключить и включить сетевой адаптер использование памяти немедленно уменьшается, но имеет короткий пик использования ЦП.

Так происходит, когда происходит изменение в интерфейсе или IP-адрес, служба NSI уведомление ядром. Служба NSI пытается notifiy все клиенты, зарегистрированные для уведомления. Когда служба пытается уведомить клиентского процесса, который не существует, RPC сообщает об ошибке. Таким образом служба NSI удаляет все сведения о состоянии, сохраненного в клиентском процессе. После этого, что память освобождается.

В этом случае регистрируются несколько сотен тысяч уведомлений. После возникновения события всю память для этих клиентов недопустимый освобождается.

Эта проблема исправлена в Windows 8.

Что такое хост-процесс служб (svchost.exe) – зачем так много

Хост-процесс служб используется в качестве оболочки для загрузки других служб из dll файлов. Службы организованы в связанные группы, и каждая группа запускается внутри своего экземпляра svchost. Таким образом, проблема в одном экземпляре не влияет на другие экземпляры.

Этот процесс является важной частью операционной системы Windows, так что Вы не сможете предотвратить его запуск.

Почему так много процессов svchost.exe

Если вы когда-либо просматривали раздел Процесс в Диспетчере задач, то, вероятно, заметили, что Windows запускает много служб. Каждая такая служба использует свой процесс svchost.exe.

Службы организованы в логические группы, немного связанные между собой, и для каждой группы создаётся отдельный экземпляр svchost.exe. Например, один хост-процесс обслуживает три службы, связанные с брандмауэром. Другой хост-процесс обслуживает все службы, связанные с пользовательским интерфейсом, и так далее.

На рисунке выше, например, можно увидеть, что один хост-процесс svchost.exe осуществляет обслуживание нескольких смежных сервисов DCOM-сервера, в то время как другой запускает сервисы для удаленного вызова процедур.

Что мне делать с этой информацией

Честно говоря, не много. Во времена Windows XP (и предыдущих версий), когда компьютеры имели гораздо более ограниченные ресурсы и операционные системы не были столь проработаны, остановка «ненужных» служб Windows часто рекомендовалась.

В наши дни, мы не рекомендуем отключать службы. Современные ПК, как правило, имеют много памяти и мощные процессоры. Добавьте к этому тот факт, что способ исполнения служб Windows в современных версиях был упрощен, и отказ от некоторых служб не окажет существенного влияния на производительность.


Если Вы замечаете, что конкретный экземпляр svchost.exe или сопутствующая служба вызывает проблемы, такие как чрезмерная нагрузка процессора и использование оперативной памяти, вы можете проверить конкретную службу.

Это, по крайней мере, даст Вам представление о том, где начать устранение неполадок. Существует несколько способов выяснения, какие именно службы привязан к конкретному экземпляру svchost.exe. Вы можете проверить это в диспетчере задач или через многие сторонние приложения, такие как Process Explorer.

Проверка служб в диспетчере задач

Если вы используете Windows 8 или 10, перейдите на вкладку Процессы в диспетчере задач и добавьте столбец с их полными именами. Если процесс является «хозяином» для нескольких услуг, вы сможете ознакомиться с этими службами просто раскрыв древо процесса. Это позволяет очень легко определить, какие службы относятся к каждому экземпляру процесса svchost.exe.

Вы можете щелкнуть правой кнопкой мыши по любой записи, чтобы остановить службу, посмотреть информацию в окне управления службами или найти информацию в интернете.

Проверка процесса Process Explorer

Корпорация Майкрософт также предоставляет отличный инструмент для работы с процессами в рамках своей линейки sysinternals. Просто скачайте Process Explorer и запустить его – это портативное приложение.

Process Explorer группирует службы по процессам, то есть раскрыв svchost.exe Вы увидите все связанные службы. Они перечислены по именам файлов, но и их полные имена отображаются также в графе «Описание».

Вы также можете навести указатель мыши на любой из процессов svchost.exe, чтобы увидеть всплывающее окно со всеми связанными службами – даже теми, которые в настоящее время не работают.

Может ли процесс svchost.exe быть вирусом

Сам процесс является официальным компонентов Windows. Хотя вполне возможно, что вирус может заменить его на свой исполняемый файл, но это очень маловероятно.

Если вы хотите быть уверены, то можете проверить, лежащие в расположение процесса файлы. В диспетчере задач щелкните правой кнопкой мыши любой узел процесса обслуживания и выберите Открыть расположение файла.

Если файл хранится в папке WINDOWS\system32, то Вы можете быть точно уверенны, что не имеете дело с вирусом.

Что такое svchost.exe?

РЕКОМЕНДУЕМ: Нажмите здесь, чтобы исправить ошибки Windows и оптимизировать производительность системы

Подлинный файл svchost.exe является одним из компонентов программного обеспечения Windows, разработанного Microsoft .

Это подлинный системный файл Windows. Svchost.exe — это процесс на вашем компьютере, на котором размещены или содержатся другие отдельные службы, которые Windows использует для выполнения различных функций. Например, Защитник Windows и Центр обновления Windows используют службу, размещенную в процессе svchost.exe. Файл часто подключается к www.windowsupdate.microsoft.com, либо посещая веб-сайт Microsoft Update, веб-сайт Microsoft Windows Update, либо через автоматическое обновление без браузера. «svchost.exe» — это хост-процессор, который управляет группой библиотек DLL службы обновлений в базе данных с сервера автоматических обновлений пользователей Windows (WUAUSERV) посредством управления IP-адресами и протокола порта. Microsoft, известная своими ведущими мировыми операционными системами, предоставляет глобальные решения для домашней и деловой аудитории с помощью инновационных программ, разработок продуктов, программных приложений и сетевых процессов.

SvcHost расшифровывается как S er v i c e Host

Расширение .exe в имени файла указывает на файл exe cutable. Исполняемые файлы могут, в некоторых случаях, нанести вред вашему компьютеру. Поэтому, пожалуйста, прочитайте ниже, чтобы решить для себя, является ли svchost.exe на вашем компьютере трояном, который вы должны удалить, или это файл, принадлежащий операционной системе Windows или доверенному приложению.

Процесс Svchost.exe в диспетчере задач Windows

Процесс, известный как хост-процесс для служб Windows или общий хост-процесс для служб Win32 или winrscmde или Win или TJprojMain или хост-служба SvcHost или хост-процесс Windows или CCProxy Приложение Microsoft MFC

принадлежит программному обеспечению Операционная система Microsoft Windows или Фоновая интеллектуальная служба передачи, или Аудио или Криптографические службы Windows, или Клиент DHCP, или Конечная точка Windows Audio Builder, или Браузер компьютера, или Опыт работы с приложениями, или Доступ к устройству с интерфейсом пользователя, или Средство запуска процесса DCOM Server, или Информация о приложении, или Сетевые подключения или COM + Система событий


Microsoft (www.microsoft.com) или PhDC8g7gJjzJ9v6Qk9tIEqld13U13dtRN или Advanced Systems International SAC или HFFcMjEat20pvMXTR или Intel (www.intel.com) или TEPDT или SFX, самоизвлекающийся шкаф или Fqmpshrvkmetsw.

Описание: Оригинальный svchost.exe от Microsoft является важной частью Windows, но часто вызывает проблемы. Svchost.exe находится в папке C: \ Windows \ System32. Известные размеры файлов в Windows 10/8/7 / XP составляют 14, 336 байт (47% всех случаев), 20, 992 байт и еще 42 варианта.

Это системный файл Windows. Программа не имеет видимого окна. Этот файл является надежным файлом от Microsoft. Поэтому технический рейтинг надежности 8% опасности. но вы также должны сравнить этот рейтинг с отзывами пользователей.

Вирусы с одинаковым именем файла

Является ли svchost.exe вирусом? Нет. Настоящий файл svchost.exe — это безопасный системный процесс Microsoft Windows, который называется «Процесс хоста». Однако создатели вредоносных программ, таких как вирусы, черви и трояны, намеренно дают своим процессам одно и то же имя файла, чтобы избежать обнаружения. Вирусы с одинаковыми именами файлов, например, Trojan.Gen или Packed.Mystic! Gen4 (обнаружены Symantec) и TrojanDownloader: Win32 / Harnig.O или Backdoor: Win32 / Cycbot.B (обнаружены Microsoft).

Чтобы убедиться, что на вашем компьютере не запущен вредоносный файл svchost.exe, нажмите здесь, чтобы запустить бесплатное сканирование на наличие вредоносных программ.

Как распознать подозрительные варианты?

  • Если svchost.exe находится в подпапках «C: \ Users \ USERNAME», тогда рейтинг надежности 79% опасности . Размер файла составляет 3 580 520 байт (10% от всех вхождений), 3 772 520 байт и еще 231 вариант. Это не файл Windows. Там нет описания программы. Программа не видна. Svchost.exe способен мониторить приложения.
  • Если svchost.exe находится в подпапках C: \ Windows, тогда рейтинг надежности 62% опасности . Размер файла составляет 1 563 136 байт (14% от всех вхождений), 1 605 120 байт и еще 164 варианта. Программа не имеет видимого окна. Это не файл Windows. Это неизвестный файл в папке Windows. Там нет описания программы. Svchost.exe способен мониторить приложения и записывать ввод с клавиатуры и мыши.
  • Если svchost.exe находится в папке C: \ Windows, тогда рейтинг надежности 57% опасности . Размер файла составляет 20 480 байт (24% от всех вхождений), 36 352 байт и еще 65 вариантов.
  • Если svchost.exe находится в подпапках «C: \ Program Files», тогда рейтинг надежности 68% опасности . Размер файла составляет 382, 464 байта (3% от всех вхождений), 376, 832 байта и еще 93 варианта.
  • Если svchost.exe находится в подпапках C: \ Windows \ System32, тогда рейтинг надежности 61% опасности . Размер файла составляет 1 459 712 байт (5% от всех вхождений), 32 768 байт и еще 61 вариант.
  • Если svchost.exe находится в папке Windows для временных файлов, тогда рейтинг надежности 67% опасности . Размер файла составляет 409, 088 байт (27% от всех вхождений), 1 563 136 байт и еще 26 вариантов.
  • Если svchost.exe находится в подпапках диска C: \, тогда рейтинг надежности 58% опасности . Размер файла составляет 13 179 660 байт (14% от всех вхождений), 841 728 байт и еще 13 вариантов.
  • Если svchost.exe находится в подпапках «Windows», для временных файлов, тогда рейтинг надежности 71% опасности . Размер файла составляет 2 602 993 байта (14% всех вхождений), 704 606 байтов и еще 11 вариантов.
  • Если svchost.exe находится в папке C: \ Windows \ System32 \ drivers, тогда рейтинг надежности 74% опасности . Размер файла составляет 194 560 байт (14% от всех вхождений), 237 568 байт и еще 5 вариантов.
  • Если svchost.exe находится в подпапках «C: \ Program Files \ Common Files», тогда рейтинг надежности 52% опасности . Размер файла составляет 91 648 байт (50% всех вхождений), 164 352 байт, 163 328 байт или 1 012 224 байт.
  • Если svchost.exe находится в папке профиля пользователя, тогда рейтинг надежности 76% опасности . Размер файла составляет 54 784 байта (25% всех вхождений), 90 112 байтов, 145 408 байтов или 71 168 байтов.
  • Если svchost.exe находится в подпапках C: \ Windows \ System32 \ drivers, тогда рейтинг надежности 63% опасности . Размер файла составляет 897 215 байт (25% от всех вхождений), 167 936 байт, 29 184 байт или 26 624 байт.
  • Если svchost.exe находится в подпапках «Cкачать» папки пользователя, тогда рейтинг надежности 72% опасности . Размер файла составляет 314 045 байт (50% всех вхождений), 5 747 712 байт или 674 304 байт.
  • Если svchost.exe находится в папке «C: \ Program Files \ Common Files», тогда рейтинг надежности 56% опасности . Размер файла составляет 110 592 байта.
  • Если svchost.exe находится в папке пользователя «Documents», тогда рейтинг надежности 100% опасности . Размер файла составляет 689, 664 байта.
  • Если svchost.exe находится в папке «C: \ Program Files», тогда рейтинг надежности 64% опасности . Размер файла составляет 90 112 байтов.

Внешняя информация от Пола Коллинза:

Существуют разные файлы с одинаковыми именами:

  • «CashToolbar» определенно не требуется. CashToolbar Downloader-MY рекламное ПО. Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Франция» определенно не требуется. Добавлено MIMAIL.L WORM !. Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Майкрософт» определенно не требуется. Добавлены ASTEF или RESPAN WORMS! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Служба мониторинга» однозначно не требуется. Добавлен CONE.C WORM! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Сетевой сервис» однозначно не требуется. CoolWebSearch связан с паразитами. Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «NvClipRsv» определенно не требуется. Добавлено DUMARU-AK WORM! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Онлайн сервис» однозначно не требуется. Добавлен HOSTIDEL.B или HOSTIDEL.C или TARNO.B ТРОЯНСЫ! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «PowerManager» определенно не требуется. Добавлено JEEFO VIRUS! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Служба Host» определенно не требуется. Добавлено TORVEL WORM! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Service Host Driver» определенно не требуется. Добавлено HITON TROJAN! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Процесс обслуживания» определенно не требуется. Добавлено DARKER WORM! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Настройка experation» определенно не требуется. Добавлено TOFGER-AW TROJAN! Обратите внимание — это не законный процесс svchost.exe, который НЕ появляется в Msconfig / Startup!
  • «Srv32Win» может запускаться при запуске. Realtime-Spy keylogger (программа мониторинга). Дана рекомендация «U», потому что это зависит от того, намеренно ли вы ее установили. Если вы не рассматривали его как «X» и удалите или удалите
  • «SSL» определенно не требуется. Добавлен неопознанный вирус, червь или троян! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «СВЧОСТ» однозначно не требуется. Домашняя страница System1060. Найдено в каталоге Windows \ System1060. Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «свчост» точно не требуется. Добавлено MORB WORM или TARNO TROJAN! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Свчост» однозначно не требуется. Добавлен червя MOXE-A! Это не действительный svchost.exe, как описано здесь
  • «Системный хост-сервис» определенно не требуется. Добавлен CONE.F WORM! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Системный менеджер» точно не требуется. Добавлено BANKER-AE TROJAN! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Обновление системы2» определенно не требуется. Добавлено в AUTOTROJ-C TROJAN!
  • «SystemReg» определенно не требуется. Добавлено DEWIN.E TROJAN! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Служба мониторинга задач» определенно не требуется. Добавлен CONE.D WORM! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «tjstartup» определенно не требуется. Добавлено CURDEAL TROJAN! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Windows Service Host» определенно не требуется. Добавлен CONE.B WORM! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Windows Services Host» определенно не требуется. Добавлен CONE или CONE.E WORMS! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «WindowsUpdate» определенно не требуется. Добавлены ASTEF или RESPAN WORMS или AGENT-V TROJAN! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «xor» определенно не требуется. Добавлено XORDOOR TROJAN! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «Zone Labs Client Ex» определенно не требуется. Добавлено NETSKY.F WORM! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!
  • «zztp» определенно не требуется. Добавлено TANNICK.B TROJAN! Обратите внимание — это не законный процесс svchost.exe, который НЕ должен появляться в Msconfig / Startup!

Важно: Некоторые вредоносные программы маскируются под svchost.exe, особенно если они не находятся в папке C: \ Windows \ System32. Поэтому вы должны проверить процесс svchost.exe на вашем компьютере, чтобы увидеть, если это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера. Это был один из лучших вариантов загрузки The Washington Post и PC World .

Аккуратный и опрятный компьютер — это главное требование для избежания проблем с svchost. Это означает запуск сканирования на наличие вредоносных программ, очистку жесткого диска с использованием 1 cleanmgr и 2 sfc / scannow, 3 удаления ненужных программ, проверку наличия программ автозапуска (с использованием 4 msconfig) и включение автоматического обновления Windows 5. Всегда не забывайте выполнять периодическое резервное копирование или, по крайней мере, устанавливать точки восстановления.

Если у вас возникла реальная проблема, попробуйте вспомнить последнее, что вы сделали, или последнее, что вы установили до того, как проблема появилась впервые. Используйте команду 6 resmon для определения процессов, которые вызывают вашу проблему. Даже для серьезных проблем, вместо переустановки Windows, лучше восстановить вашу установку или, для Windows 8 и более поздних версий, выполнить команду 7 DISM.exe / Online / Cleanup-image / Restorehealth. Это позволяет восстановить операционную систему без потери данных.


Чтобы помочь вам проанализировать процесс svchost.exe на вашем компьютере, оказались полезными следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Уникальный рейтинг риска безопасности указывает на вероятность того, что процесс является потенциальным шпионским ПО, вредоносным ПО или трояном. B Malwarebytes Anti-Malware обнаруживает и удаляет спящие шпионские, рекламные программы, трояны, клавиатурные шпионы, вредоносные программы и трекеры с вашего жесткого диска.

Связанный файл:

ssv.dll jp2ssv.dll grooveshellextensions.dll svchost.exe grooveex.dll srvany.exe windowslivelogin.dll chrome.exe pnkbstra.exe msnlnamespacemgr.dll aswwebrepie.dll

Что такое svchost.exe и почему он запускается?

Когда вы открываете диспетчер задач, вам может быть интересно, что такое svchost.exe и почему он запущен. Вот что вам нужно знать.

Если вы похожи на меня, вам нравится открывать диспетчер задач, чтобы проверить, какие приложения работают, и изучить другие важные детали вашей системы. Здесь вы, вероятно, заметили несколько запущенных экземпляров svchost.exe . Как и я, вы можете задаться вопросом, в чем его функция, а также вирус, вредоносное ПО или некорректное приложение.

Хорошая новость в том, что svchost.exe — это не вирус или искусственный интеллект, захватывающий ваш компьютер. Плохая новость в том, что он таинственен и хорошо скрывает, что именно он сделал — намеренно. Тем не менее, немного покопавшись, мы можем немного узнать о том, что именно svchost.exe делает на вашем компьютере.

Во-первых, давайте откроем Диспетчер задач Windows , используя меню CTRL + ALT + DEL или нажав сочетание клавиш CTRL + SHIFT + ESC . В любом случае, открыв диспетчер задач, вы увидите несколько процессов svchost.exe работает.

Что такое svchost.exe?

Сайт поддержки Microsoft определяет его как « — общее имя хост-процесса для служб, запускаемых из динамически подключаемых библиотек ». Верно. Так что это довольно просто; любой мог это понять, ладно, давайте переведем.

«Библиотека с динамической компоновкой » , также известная как файл .dll , представляет собой просто большой блок программного кода. Есть много хитрых приемов, которые разработчики могут использовать с этими файлами, чтобы все работало быстрее и занимало меньше места.Проблема в том, что файл .dll не может работать автономно. Вам понадобится файл .exe или « исполняемый файл» для загрузки .dll и ее кода.

Теперь, когда мы знаем, что такое файл DLL, должно быть легче понять, почему svchost называется «универсальным хостом». Все, что он делает, это загружает файлы DLL, чтобы они могли запускать и выполнять системные приложения. Так что волноваться не о чем, правда? Что ж, есть вероятность, что вы могли бы загрузить вирус, который может заставить ваш невинный svchost загружать некоторые DLL с темной стороны.Постоянное обновление вашего компьютера всеми обновлениями безопасности Microsoft и запуск антивирусного приложения должны свести к минимуму вероятность этого.

Отлично, это просто хост для еще большего количества процессов! Теперь мне стало еще любопытнее, и я хочу знать, что запускает svchost.exe. Итак, как мне это проверить? Есть два простых способа следить за svchost.exe. Первый — это командная строка.

Как узнать, какие процессы запущены на вашем компьютере с помощью командной строки

1. Щелкните меню «Пуск» , а затем щелкните Выполнить. В открывшемся окне «Выполнить» введите cmd и нажмите OK.

2. В командном окне введите tasklist / SVC , а затем нажмите ENTER . Теперь вы сможете увидеть все перечисленные динамические библиотеки, запущенные svchost.exe.

Как определить, какие процессы выполняются в svchost.exe с помощью Process Explorer

Проблема с командной строкой в ​​том, что она вызывает еще более странно выглядящие процессы, которые кажутся такими же загадочными, как сам svchost.Итак, вот где нам нужно загрузить программу из Microsoft под названием Process Explorer.

Process Explorer — это фантастическое приложение, написанное Microsoft, чтобы помочь вам разобраться в основах Microsoft Windows. После запуска вы можете выделить отдельные процессы и посмотреть, что делает каждый процесс. Инструмент существует с Windows XP и продолжает поддерживаться и обновляться для Windows 10.

Запустите Process Explorer и взгляните на svchost.exe в моей системе.

После открытия наведите указатель мыши на процесс, например svchost.exe , чтобы узнать о нем подробнее.

Если вы хотите получить более подробную информацию, щелкните правой кнопкой мыши svchost.exe и выберите Properties, , затем выберите вкладку Services .

Хорошо, все в порядке; теперь мы знаем, что такое svchost.exe и как расшифровать все службы, которые он запускает. Поигравшись с этим, вы заметите, что некоторые процессы svchost не запускают столько сервисов, сколько другие.И подождите, почему так много процессов svchost.exe запущено одновременно?

Каждый процесс svchost.exe запускает службы на основе логических групп служб. Например, один может работать с сетевыми службами, а другой — с драйверами устройств. Запуск этих сервисов на разных хостах — изящная функция, потому что, если один из них выйдет из строя, это не приведет к отключению всей вашей системы сразу.

Что такое svchost.exe? Системный файл Windows

3 звезды — на основе 47 отзывов

Общий хост-процесс для Win32Services

svchost.исполняемый. Что это?


Svchost.exe — это системный файл Windows. Это общий хост-процесс для служб Win32. Этот файл управляет 32-битными библиотеками DLL, а также другими службами. Microsoft запускает множество программных функций из интерфейса DLL (библиотеки динамической компоновки). Но библиотеки DLL не запускаются сами по себе — им нужна исполняемая программа. При запуске svchost.exe проверяет службы в реестре и составляет список служб, которые необходимо загрузить. Обычно одновременно работает несколько файлов svchost .Каждый экземпляр svchost file может группировать службы, так что отдельные службы могут запускаться в зависимости от того, где и как они запущены. Многократное выполнение svchost.exe снижает вероятность того, что один процесс приведет к сбою всей системы, тем самым делая операционную систему более стабильной и безопасной.

Файл svchost.exe должен находиться в папке C: \ Windows \ System32. Если вы найдете его где-нибудь еще, то svchost.exe может быть вирусом, трояном, червем или шпионским ПО! Просканируйте свой компьютер с помощью Auslogics Antivirus, чтобы убедиться, что он не заражен.

Проблемы с Svchost.exe

Известно, что Svchost.exe вызывает проблемы с высокой загрузкой ЦП. Я уверен, что вы бывали в такой ситуации: вы работаете на своем компьютере и развлекаетесь, когда внезапно он становится мучительно медленным и даже начинает мерзнуть. Вы нажимаете CTRL + ALT + DEL , чтобы открыть диспетчер задач , щелкаете на вкладке Processes и видите, что запущено несколько экземпляров svchost.exe, и один из них использует 90% — 100% ПРОЦЕССОР! ( NB Пользователи Windows Vista и Windows 7 должны проверить Показать процессы от всех пользователей , чтобы иметь возможность видеть все svchost.exe). Некоторые подумают: «Боже! В моем компьютере вирус !!! ». Что ж, это может быть правдой, потому что некоторые вредоносные программы маскируются под svchost, но, скорее всего, это просто Windows, являющаяся Windows.

Как это остановить?

Теперь вопрос в том, как остановить svchost.exe от кражи использования ЦП. Прежде всего, вам нужно выяснить, какой из экземпляров файла svchost является виновником и замедляет работу вашего компьютера. Также вам необходимо определить реальное приложение, в котором оно запущено.

К счастью, это просто. Существует очень полезный бесплатный инструмент Microsoft (первоначально Sysinternals) под названием Process Explorer, который предоставляет подробную информацию для каждого запущенного процесса. Все, что вам нужно сделать, это загрузить его и щелкнуть файл .exe — установка не требуется.

После запуска наведите указатель мыши на каждый процесс svchost, и появятся всплывающие окна со всей необходимой информацией.

Как это исправить?

Прежде всего, если процесс, который потребляет процессор, , а не процесс Windows, завершите его и удалите программу, которая его запускает.Также просканируйте свой компьютер на наличие вирусов и других вредоносных программ.

Однако, скорее всего, это будет процесс Windows, например планировщик задач, брандмауэр или Центр обновления Windows. Иногда простая перезагрузка компьютера помогает избавиться от проблемы. Если нет, попробуйте загрузить самые последние обновления Windows. Если по какой-то причине вы не можете этого сделать, перейдите в панель управления Администрирование — дважды щелкните ярлык Services (или нажмите Start Run — введите services.msc — нажмите Введите ), найдите необходимую службу, щелкните ее правой кнопкой мыши, перейдите в Properties и выберите Disabled в поле Startup type . Вы всегда можете снова включить его позже, так что не волнуйтесь. Перезагрузите компьютер, а затем перейдите на сайт Microsoft и загрузите обновления. Установите их, повторно включите службу, которую вы остановили, и снова перезапустите. Надеюсь, теперь все будет работать.

Другой способ избавиться от svchost.Проблема с высокой загрузкой ЦП exe заключается в том, чтобы открыть диспетчер задач ( CTRL + ALT + DEL ), найти процесс, вызывающий проблему, щелкнуть его правой кнопкой мыши, перейти к Установить приоритет и установите значение ниже нормы (или холостой ход , если ниже нормы не помогает). Имейте в виду, что установка Idle может помешать работе ваших сетевых служб, особенно если вы работаете в большой сети.

Подробнее о svchost.exe …


Рекомендация


Будьте осторожны при отключении процесса svchost , поскольку он необходим для правильной работы важных приложений.


Подробности


Автор: Microsoft Corporation Часть: Операционная система Microsoft® Windows® Общий путь (пути): % system% \ system32 \ svchost.exe
% СИСТЕМА%
вложенная папка% WINDOWS%
вложенная папка% SYSTEM% Размер файла: 14 336 байтов (86% всех случаев), 12 800 байтов, 22016 байтов, 21 504 байта, 13 312 байтов, 14 848 байтов, 17 408 байтов, 15 872 байта, 23 040 байтов, 117 760 байтов, 123 904 байта, 13824 байта байт, 90 624 байта, 14 482 байта


Проверки


Риск вредоносного ПО: Проверять компьютер на вирусы и трояны
Некоторые вирусы заражают компьютеры, замаскированные под легальные файлы, например svchost.исполняемый. Запустите антивирусное сканирование, чтобы убедиться, что ваш компьютер чист и безопасен. Ошибки реестра: Бесплатное сканирование (запустить Registry Cleaner) Удаление: Н / Д Удалить (запустить Unistall Manager) Использование диска и памяти: Н / Д Бесплатное сканирование (запустить Диспетчер задач)

Рефакторинг службы хоста службы

в Windows 10 версии 1703 — Windows Application Management

  • 3 минуты на чтение

В этой статье

Применимо к: Windows 10

Узел службы (svchost.exe) — это процесс с разделяемой службой, который служит оболочкой для загрузки служб из файлов DLL. Службы организованы в связанные группы узлов, и каждая группа работает в отдельном экземпляре процесса узла службы. Таким образом, проблема в одном экземпляре не влияет на другие экземпляры. Группы узлов службы определяются путем объединения служб с соответствующими требованиями безопасности. Например:

  • Местная служба
  • Местная служба Нет сети
  • Ограничение локальной сети обслуживания
  • Локальная система
  • Локальная система в сети ограничена
  • Сетевая служба

Разделение служб SvcHost

Начиная с Windows 10 Creators Update (версия 1703), службы, которые ранее были сгруппированы, вместо этого будут разделены — каждая будет работать в собственном процессе SvcHost.Это изменение является автоматическим для систем с более 3,5 ГБ ОЗУ , на которых запущен Client Desktop SKU. В системах с 3,5 ГБ или меньше ОЗУ мы продолжим группировать службы в общий процесс SvcHost.

Преимущества этого изменения конструкции включают:

  • Повышенная надежность за счет изоляции критически важных сетевых сервисов от сбоя другой несетевой службы на хосте и добавления возможности беспрепятственно восстанавливать сетевое соединение при выходе из строя сетевых компонентов.
  • Снижение затрат на поддержку за счет устранения накладных расходов на поиск и устранение неисправностей, связанных с изоляцией некорректно работающих служб на общем хосте.
  • Повышенная безопасность за счет дополнительной изоляции между службами
  • Повышенная масштабируемость за счет разрешения настроек и привилегий для каждой службы
  • Улучшенное управление ресурсами с помощью ЦП для каждой службы, управления вводом-выводом и памятью, а также повышение четкости диагностических данных (отчет об использовании ЦП, ввода-вывода и сети для каждой службы).

Попробовать

Чтобы увидеть поведение рефакторинга, создайте виртуальную машину Windows 10 версии 1703 и настройте параметры памяти следующим образом:

  1. Чтобы увидеть сгруппированные процессы, установите для ОЗУ 3484 МБ или меньше.Перезагрузите виртуальную машину и откройте диспетчер задач.
  2. Чтобы увидеть отдельные процессы, установите для ОЗУ 3486 МБ или больше. Перезагрузите виртуальную машину и откройте диспетчер задач.

Рефакторинг также упрощает просмотр запущенных процессов в диспетчере задач. Вы можете посмотреть Диспетчер задач и точно знать, какая служба какие ресурсы использует, без необходимости расширять множество отдельных групп узлов.

Например, вот запущенные процессы, отображаемые в диспетчере задач в Windows 10 версии 1607:

Сравните это с тем же представлением о запущенных процессах в Windows 10 версии 1703:

Исключения

Некоторые службы будут по-прежнему группироваться на ПК с 3.ОЗУ 5 ГБ или больше. Например, базовый механизм фильтрации (BFE) и брандмауэр Windows (Mpssvc) будут сгруппированы вместе в одну группу узлов, как и службы сопоставления конечных точек RPC и удаленного вызова процедур.

Если вам нужно определить службы, которые будут продолжать группироваться, помимо просмотра их в диспетчере задач и использования инструментов командной строки, вы можете найти значение SvcHostSplitDisable в соответствующих служебных ключах в разделе HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services.

Значение по умолчанию 1 предотвращает разделение службы.

Например, это конфигурация ключа реестра для BFE:

Имейте в виду, что разделение служб увеличивает общее количество экземпляров SvcHost, что увеличивает использование памяти. (Группировка услуг обеспечила умеренное сокращение общего объема ресурсов, используемых задействованными службами.)

Рассмотрим следующее:

Сгруппированные услуги (<3.5 ГБ) Разделенные услуги (3,5 ГБ +)

Примечание

Выше представлены пиковые наблюдаемые значения.

Общее количество экземпляров службы и результирующее использование памяти зависит от активности. Количество экземпляров обычно может варьироваться от 17 до 21 для сгруппированных служб и от 67 до 74 для отдельных служб.

Попробовать

Чтобы определить влияние разделения размещенных служб на ПК с Windows 10 версии 1703, выполните следующий командлет Windows PowerShell до и после переключения параметров памяти:

  Get-Process SvcHost | Group-Object -Property ProcessName | Имя таблицы форматирования, количество, @ {n = 'Mem (KB)'; e = {'{0: N0}' -f (($ _.Group | Measure-Object WorkingSet -Sum) .Sum / 1KB)}; a = 'right'} -AutoSize
  

Для чего в Windows используется файл svchost.exe?

Обновлено: 31.08.2020 компанией Computer Hope

Что такое файл svchost.exe?

Термин SvcHost, также известный как svchost.exe или узел службы, представляет собой процесс, используемый для размещения одной или нескольких служб операционной системы. Исполняемый файл svchost.exe Microsoft Windows имеет следующую метку: Generic Host Process for Win32 Services .Svchost.exe — это обязательный файл Windows, который используется для загрузки необходимых файлов DLL, используемых с программами Microsoft Windows и Windows, работающими на вашем компьютере.

Этот файл находится в каталоге c: \ windows \ system32 или c: \ winnt \ system32 (в зависимости от версии Windows), а также может находиться в каталоге dllcache.

Почему у меня в диспетчере задач запущено несколько процессов svchost.exe?

Операционная система может запускать несколько экземпляров процесса SvcHost, в зависимости от того, сколько служб необходимо запустить.Каждая служба, запущенная внутри процесса SvcHost, совместно использует этот процесс, что помогает уменьшить объем ресурсов (ОЗУ), используемых на компьютере. Обычно можно увидеть три или четыре файла svchost.exe на вкладке «Процессы » диспетчера задач.

Хотя этот общий процесс помогает сократить использование ресурсов на компьютере, он также может иметь несколько недостатков. Если какая-либо из служб, запущенных внутри процесса SvcHost, генерирует ошибку необработанного исключения, это вызывает завершение всего процесса. Впоследствии это может вызвать дополнительные ошибки из-за того, что службы больше не работают внутри этого общего процесса.Кроме того, поскольку svchost.exe является обычным процессом в диспетчере задач, вредоносные программы иногда маскируются, выполняясь под одним и тем же именем процесса. В других случаях вредоносная программа может запускать или внедрять свою службу в уже запущенный процесс svchost.exe. В любом случае это маскирующее действие может затруднить обнаружение и удаление этих вредоносных программ.

Является svchost.exe вирусом или трояном?

Есть вирусы, которые заражают этот файл и могут работать как служба SVCHOST.EXE.Если вы считаете, что ваш компьютер заражен компьютерным вирусом, мы рекомендуем вам обновить программу защиты от вирусов и посетить страницу обновлений Microsoft Windows.

Если ваша антивирусная защита не обнаруживает вирусы или другие вредоносные программы, ваш компьютер не заражен и файл svchost.exe не является вирусом.

Ошибка SVCHOST.EXE с кодом 0xe03c3a68 или сбой компьютера с этим файлом при открытии Microsoft Internet Explorer.

Пользователи, у которых возникла ошибка с указанным выше адресом памяти, заражены вирусом бластера.

Как удалить svchost.exe?

Это важный файл Windows, необходимый для работы Windows. Если удалить этот файл, Windows перестанет работать. Если этот файл заражен вирусом, ваша антивирусная программа должна иметь возможность поместить файл в карантин или удалить его.

Как мне узнать, какие приложения обрабатывает svchost?

Чтобы определить, что находится в файле svchost.exe, вам потребуется либо tlist.exe, , если вы используете Windows 2000, либо tasklist.exe , если вы используете Windows XP. Пользователи Windows также могут просматривать, что выполняется под svchost, через Защитник Windows.

Запуск программы tlist и tasklist

Чтобы запустить эту программу в Windows XP, нажмите Пуск> Выполнить, введите команду или cmd и нажмите Введите . В командной строке MS-DOS введите tasklist / svc и нажмите Введите .

Чтобы запустить эту программу в Windows 2000, нажмите Пуск> Выполнить, введите команду или cmd и нажмите Введите .В командной строке MS-DOS введите tlist -s и нажмите Введите .

* Если не удается запустить или найти этот файл на компьютере, см. Инструкции по установке этого файла на компьютер ниже.

Список задач Установка Windows XP

Пользователи Windows XP Home должны загрузить файл «tasklist.exe» из раздела загрузок Windows XP.

Пользователи

Windows XP Professional, которые не могут найти этот файл, могут развернуть его из каталога i386 на своем компакт-диске Windows XP Professional или загрузить файл по указанной выше ссылке.К сожалению, на компакт-диске Windows XP Home нет этого файла.

Список Windows 2000 Установка

Если у вас нет этого файла, вам необходимо установить инструменты поддержки Microsoft Windows 2000. Для этого вставьте компакт-диск Windows 2000 в компьютер и запустите файл setup.exe из каталога \ SUPPORT \ TOOLS.

Пример того, что видно в tlist и списке задач

Ниже приведен пример того, как может выглядеть вывод списка задач Windows XP.

Имя изображения PID Имя сеанса Сессия # Использование памяти
=============== ====== ========== ======== =========
cmd.exe 6076 Консоль 0 132 К
notepad.exe 1152 Консоль 0 2,660 К
firefox.exe 5868 Консоль 0 397 008 К
SecureCRT.EXE 4288 Консоль 0 10,968 К
thunderbird.exe 1812 Консоль 0 54,572 К
блокнот.exe 532 Консоль 0 1,584 К
perl.exe 1528 Консоль 0 48 936 К

Ниже приведен пример того, что Windows 2000 будет отображать для служб svchost. При использовании tlist.exe или tasklist.exe отображается информация, аналогичная приведенному ниже примеру.

 444 svchost.exe Svcs: RpcSs
552 svchost.exe Svcs: EventSystem, Netman, NtmsSvc, RasMan, SENS, TapiSrv
792 svchost.EXE Svcs: wuauserv 
  • Дополнительную информацию и примеры использования этой команды см. На странице команд списка задач.

Просмотр запущенных процессов через Защитник Windows

Microsoft Windows Defender также может просматривать все запущенные приложения и процессы, включая те, которые находятся в svchost, которые можно найти через Защитник Windows, как описано ниже.

  1. Для выполнения этих действий необходимо, чтобы на вашем компьютере был установлен Защитник Windows.
  2. Откройте Защитник Windows, если он еще не открыт, щелкнув Пуск , Программы и щелкнув Защитник Windows.
  3. Нажмите Инструменты .
  4. Щелкните Software Explorer .
  5. Щелкните стрелку вниз рядом с Категория и щелкните Текущие программы .

Любой «Универсальный хост-процесс Microsoft для служб Win32» для пользователей Windows XP или «Операционная система Microsoft (R) Windows (R) 2000», перечисленные в списке, являются частями svchost.

Что такое svchost.exe и почему он запускается в диспетчере задач? — Блоги

Когда появится приложение диспетчера задач, вы можете заметить, что существует более одного svchost.В нем запущены процессы exe. Итак, что это такое и почему они работают на вашем компьютере с Windows?

Чтобы ответить на оба вопроса, я расскажу вам о svchost.exe и о том, как он работает. Таким образом, вы узнаете больше об этих процессах и быстро диагностируете будущие ошибки, если таковые будут.

Итак, что же такое svchost.exe? Почему в диспетчере задач так много процессов svchost.exe? Почему они работают в Windows?

Во-первых, вам необходимо знать структуру операционной системы (ОС) Windows.Большинство функций в ОС Windows записываются и хранятся в файлах библиотеки с расширением .dll.

Тем не менее, эти файлы не являются исполняемыми файлами, такими как файлы .exe, поэтому они не могут запускаться сами по себе. Поэтому Microsoft разработала исполняемый файл моста под названием svchost.exe. Он также известен как хост, который помогает запускать функции Windows, которые будут использоваться функциями Windows или другими сторонними приложениями.

Но почему в диспетчере задач много процессов svchost.exe? Какова цель запуска более чем одного из них?

Делает вид, что Microsoft все объединяет в один свчост.exe и нужен только один для обработки всех функций. Тогда вы можете увидеть, что он потребляет больше ресурсов компьютера, чем делится на несколько процессов. Дело в том, что функции Windows и ее программы не всегда используют все функции. Поэтому тратить ресурсы на неиспользуемые функции — неэффективный способ.

Более того, разделение на несколько процессов поможет Microsoft лучше справляться с этими функциями. Это также помогает избежать внезапного отключения при возникновении проблемы. Например, если возникла проблема с одним файлом svchost.exe, все остальные процессы svchost.exe по-прежнему будут работать нормально и в хорошем состоянии. Следовательно, все функции Windows и ее приложения, использующие другие процессы svchost.exe, не пострадают.

По сравнению с решением, в котором используется только один процесс svchost.exe, при его повреждении все функции будут повреждены и остановлены. Следовательно, ни одна из функций и приложений не работает. В этом преимущество разделения функций на группы и назначения для нескольких процессов svchost.exe.

Почему svchost.exe внезапно использует много ресурсов ЦП компьютера ?

По умолчанию и в большинстве случаев svchost.exe использует менее 5% ресурсов ЦП. К сожалению, в некоторых ненормальных ситуациях эти хост-процессы могут потреблять ресурсы вашего процессора, например питьевую воду. (Я имею в виду, что он использует много ресурсов процессора).

Таким образом, это приводит к высокой загрузке ресурсов ЦП на вашем компьютере, особенно из-за svchost.exe (netsvcs) или (wuauserv). Это две основные группы функций, которые стоят за этими хост-процессами.

Когда вы сталкиваетесь с этим типом ошибок, первый шаг, который вам нужно сделать, — это определить, какая группа является svchost.exe в, netsvcs или wuauserv. По результатам вы можете быстро исключить другие причины из списка подозреваемых. После этого используйте диспетчер задач, чтобы определить службы или программы Windows, которые его использовали *.

* Это означает, что svchost.exe забирает ресурсы вашего процессора.

Основываясь на найденном результате, вы можете легко решить проблему, выполнив необходимые действия, например остановив службы Windows, отключив их или переустановив программы.

НКРЭ публикует Практическое руководство по оценке СВЧОСТ.EXE

Один из наших клиентов (вы знаете, кто вы, спасибо!) Сообщил нам о новом практическом руководстве под названием «Практическое руководство ERO Enterprise CMEP: оценка SVCHOST.EXE», опубликованном ровно две недели назад сегодня, 15 сентября 2020 г.

North American Electric Reliability Corporation (NERC) редко выпускает подобные инструкции, поэтому они не должны остаться незамеченными. Согласно их веб-сайту, они опубликовали три таких специальных руководства по защите критической инфраструктуры (CIP), включая это, с 2017 года.Практические руководства CMEP описываются как «предоставление [инструкций] персоналу ERO Enterprise CMEP по подходам к осуществлению мониторинга соответствия и правоприменительной деятельности». Основываясь на этом заявлении, они не только не должны оставаться незамеченными, но к ним также нельзя относиться легкомысленно из-за того, что NERC и Организация по обеспечению надежности электроснабжения (ERO) Enterprise принимают эти руководящие политики и проводят аудиты в соответствии с их языком.

Что находится внутри «Оценки SVCHOST.EXE»?

Практическое руководство обобщает CIP-007-6 R1.1 требование установить процесс включения только тех портов на каждом активе, входящем в область действия, который необходим для его функциональности, и предоставить доказательства, демонстрирующие эту потребность. Качество этих доказательств находится в центре внимания руководства, особенно в отношении довольно важного системного процесса Windows, называемого svchost.exe.

Svchost.exe является неотъемлемой частью процессов общих служб, поскольку он может снизить потребление системных ресурсов, выполняя часть тяжелой работы по управлению портами. В этом проблема; свчост.exe служит хостом для многих служб, особенно для библиотек динамической компоновки (DLL) и любого порта, который им нужно открыть от их имени.

Вот пример вкладки со сведениями о диспетчере задач моей рабочей станции Windows 10 на рис. 1. (Щелкните, чтобы развернуть.)

Рисунок 1

Как вы можете ясно видеть, это, по сути, куча svchosts! Есть гораздо более простой способ увидеть, что стоит за каждым из них, взглянув на другое представление на вкладке процессов, как показано на рисунке 2.

Рисунок 2

В приведенном выше примере мы видим, что в этом случае виновата служба времени Windows.Итак, как вы могли подозревать, если ответственное лицо (вы, владелец актива) четко не документирует в ваших доказательствах, какая служба на самом деле открывает порт, т.е. показывает только svchost.exe, это неадекватно для документа.

В Tripwire наши клиенты используют приложение Tripwire State Analyzer (ранее называвшееся приложением Tripwire Whitelist Profiler), чтобы выполнять всю тяжелую работу, чтобы помочь нашим клиентам удовлетворить требование CIP-007 R1.1 и включить его как часть вывода для своих портов и услуг контролировать не только протокол (TCP), но и имя службы (svchost.exe) и любые другие обязательные поля (например, бизнес-обоснования), а также имя процесса, который запросил svchost.exe для открытия порта от его имени. Вот пример этого вывода:

*********************************
** ОБНАРУЖЕН НЕСАНКЦИОНИРОВАННЫЙ ОТКРЫТЫЙ ПОРТ **
**** ******************************
Протокол: UDP
Порт: 123
Имя процесса: svchost.exe (Имя службы: W32tm )
Идентификатор процесса: 716

Чтобы перечислить имя службы, приложение анализатора состояния Tripwire использует собственную команду Windows «netstat –b».(Эта функция доступна уже более двух с половиной лет.) Команда netstat была выбрана для поддержки операционных систем до Windows 8.1, которые не могли использовать команды Powershell.

В ответ на это Практическое руководство Tripwire проводит дополнительные исследования внутри компании, чтобы убедиться, что наш подход соответствует или превосходит требования и, в частности, язык руководства. Если какие-либо выводы подтвердят это, для этой статьи будет опубликовано обновление. Если у вас есть какие-либо мнения или вопросы по этому поводу, обращайтесь ко мне по адресу rlandavazo @ tripwire.com.

Сохранение в svchost.exe со служебной DLL

#include «pch.h»

#define SVCNAME TEXT («EvilSvc»)

SERVICE_STATUS serviceStatus;

SERVICE_STATUS_HANDLE serviceStatusHandle;

HANDLE stopEvent = NULL;

VOID UpdateServiceStatus (DWORD currentState)

{

serviceStatus.dwCurrentState = currentState;

SetServiceStatus (serviceStatusHandle, & serviceStatus);

}

DWORD ServiceHandler (DWORD controlCode, DWORD eventType, LPVOID eventData, LPVOID context)

{

переключатель (controlCode)

{

case SERVICE_CONTROL_STOP000: service_CONTROL_STOPdwCurrentState = SERVICE_STOPPED;

SetEvent (stopEvent);

перерыв;

case SERVICE_CONTROL_SHUTDOWN:

serviceStatus.dwCurrentState = SERVICE_STOPPED;

SetEvent (stopEvent);

перерыв;

case SERVICE_CONTROL_PAUSE:

serviceStatus.dwCurrentState = SERVICE_PAUSED;

перерыв;

дело SERVICE_CONTROL_CONTINUE:

serviceStatus.dwCurrentState = SERVICE_RUNNING;

перерыв;

случай SERVICE_CONTROL_INTERROGATE:

перерыв;

по умолчанию:

перерыв;

}

UpdateServiceStatus (SERVICE_RUNNING);

возврат NO_ERROR;

}

VOID ExecuteServiceCode ()

{

stopEvent = CreateEvent (NULL, TRUE, FALSE, NULL);

UpdateServiceStatus (SERVICE_RUNNING);

в то время как (1)

{

WaitForSingleObject (stopEvent, INFINITE);

UpdateServiceStatus (SERVICE_STOPPED);

возврат;

}

}

extern «C» __declspec (dllexport) VOID WINAPI ServiceMain (DWORD argC, LPWSTR * argV)

{

serviceStatusHandle;

serviceStatus.

Leave a comment