что это и почему грузит процессор
В Диспетчере задач есть много различных процессов и загадочных файлов, которые постоянно потребляют какие-то ресурсы компьютера, включаются, отключаются и живут своей активной цифровой жизнью. Среди них пользователи находят и так называемый Хост-процесс для служб Windows, он же svhost.exe. Эта статья расскажет вам, для чего нужен этот процесс.
Что за процесс svchost.exe
Хост-процесс для служб Windows – это системный процесс операционной системы. Сервисы и службы Windows, которые запускаются из исполняемых файлов exe, регистрируются в диспетчере задач как полноценные отдельные процессы с собственными именами и графиками потребления памяти, процессора, диска и сети. Те сервисы, которые загружаются из динамически подключаемых библиотек (также известные как DLL – Dynamic Linked Library), не могу т «прописаться» как полноценный процесс. Вместо этого система регистрирует их в виде процесса, известного как Хост-процесс для служб Windows или svchost.
exe. Среди этих сервисов числятся диспетчеры сетевых подключений, служба Plug-and-play, центр обновлений, механизмы защиты и так далее.
Другая его особенность заключается в том, что для каждого сервиса, основанного на динамически подключаемых библиотеках, система создает отдельный хост-процесс. Именно поэтому вы можете увидеть несколько svchost.exe в Диспетчере задач. Чтобы посмотреть, какое количество
Хост-процессы. Тысячи их.
К сожалению, Диспетчер задач не разрешает посмотреть, сколько именно сервисов или групп связано с каждым хост-процессом. Если вам действительно интересно узнать, какие библиотеки подключены к хост-процессам вашего компьютера, понадобится небольшая утилита Process Explorer, разработанная Microsoft.
Она «портативна», поэтому вам не нужна будет установка. Просто скачайте ее и распакуйте в нужную локацию. Запустите файл processxp64, если у вас 64-разрядная версия Windows или processxp
svchost.exe грузит процессор
Вы можете заметить, что сразу после включения компьютера все хост-процессы служб Windows сильнее загружают ваш компьютер, особенно процессор. Это тоже норма, так должно быть. Спустя некоторое время (не особо долго) все успокоится, и нагрузка упадет. Почему так происходит? Когда Windows стартует, хост-процесс сканирует все записи сервисов и реестра, а также составляет список DLL-сервисов, необходимых для запуска.
Затем происходит загрузка этих сервисов, из-за чего увеличивается потребление ресурсов процессора.
На увеличение нагрузки CPU процессом svchost.exe также влияют также другие факторы. К примру, система проводит индексацию, скачивает обновление или выполняет другую фоновую задачу, которая требуется для обслуживания системы. Разумеется, бывают и внештатные ситуации, когда одна из служб системы работает некорректно, что приводит к нагрузке на процессор и замедлению быстродействия компьютера. Причин этому может быть большое количество. К примеру, поврежденные системные файлы, проблемный драйвер, сбой в работе службы, выход из строя жесткого диска или вредоносное ПО.
Зачастую главной причиной аномальной нагрузки на процессор служит сбой в работе одной или нескольких служб. Диагностировать такой сбой можно в той же утилите Process Explorer. Найдите в ней процесс, потребляющий больше всех ресурсов и наведите курсор мыши. В окне всплывающей подсказки появится список подключенных служб или службы.
Попробуйте отключить их и понаблюдать за результатом. Обнаружив проблемное место, действуйте уже соответственно инструкции по решению проблем в работе службы.
Предупреждение: службы системы не стоит слепо отключать. Убедитесь, что вы знаете, что делаете, а также уверены в своих возможностях вернуть все обратно. Слепые манипуляции с системой могут привести к повреждению ее работы.
svchost.exe — вирус или нет
Мы уже уяснили, что процесс svchost.exe или Хост-процесс для служб Windows – это стандартный механизм системы, который в принципе не может быть вирусом на нормально работающем компьютере. Тем не менее, бывают случаи, когда вредоносное ПО или вирус выдает себя за svchost.exe.
Обратите внимание на расположение файла. В диспетчере задач на вкладке Подробнее нажмите правой кнопкой мыши на один из svchost.exe и выберите Расположение файла. Его основное местоположение – папка C:\Windows\System32 или SysWOW64.
Файл с аналогичным именем встречается также в директориях Prefetch, WinSxS и ServicePackFiles, вы никогда не попадете из Диспетчера задач в эти папки, если svchost.exe работает в штатном режиме.
При подозрении наличия вредоносного ПО и обнаружении аномалий в расположении svchost.exe вам надо будет обратиться к услугам своего антивируса, что вполне очевидно. Это руководство лишь поможет вам понять, в чем причина увеличения нагрузки на компьютер процессом svchost.exe.
Svchost грузит память Windows 7: решение проблемы
Многие пользователи ПК заметили, что скорость работы компьютера очень часто зависит от процесса, называемого Svchost, который серьёзно «грузит» память процессора. Это хост-процесс для служб windows, загружаемый из динамической библиотеки. Говоря человеческим общедоступным языком, каждый пользователь, непринужденно зажавший комбинацию клавиш из Ctrl+Alt+Del, может наблюдать несколько процессов Svchost, «висящих» в памяти и занимающихся «черти чем».
Какую представляет опасность данный процесс для вашего персонального компьютера или всё не так уж и плохо? Разберемся подробнее.
Содержание
- Откуда он взялся?
- Почему виноват svchost.exe?
- Простейший метод завершения процесса Svchost.exe
- Подозрение на вирусы
- Заключение
Откуда он взялся?
Svchost является системной службой, примененной профессионалами из Microsoft не так много лет назад. До этого она исполняла функции по обеспечению корректного сетевого соединения и подключению к Интернет, что никаким боком не касалось запуска приложений и программ. После этого специалисты из силиконовой долины посчитали, что процессу Svchost этого мало, и присвоили ей обязанности по ускорению запуска всевозможных программ, что привело к ненамеренной загрузке памяти Windows. Получилось, мягко говоря, не очень. И всё-таки борьба с излишней нагрузкой возможна.
Почему виноват svchost.exe?
Разработанная производителями программного обеспечения служба не привела ни к чему хорошему.
А именно: процесс Svchost начал грузить память так сильно, что с этим не справлялся ни файл подкачки, ни процессор. Оно и понятно. При открытии на компьютере множества приложений, игр, при этом слушая музыку, включается в работу именно Svchost.exe. Добавив ко всему прочему сетевое подключение к международной паутине, нетрудно догадаться, что на долю одного процесса выпадает слишком много.
Не стоит паниковать, если в «Диспетчере задач» вы увидели несколько одинаковых служб Svchost, которые «грузят» процессор или оперативную память. Их количество напрямую зависит от числа запущенных программ и доступа к Интернету. Не стоит думать, что это вредоносное программное обеспечение, от которого необходимо избавиться, завершив работу всех приложений подряд.
Причиной нарушения работы Svchost может являться:
- Физическое повреждение памяти. Этому способствует накопление пыли в «системнике». Рекомендуется хотя бы раз в полгода очищать ваш системный блок от притянутой пыли.
- Нарушения при загрузке обновлений. Сбой интернет — соединения, отключение света – всё это может являться причинами возникновения многочисленных процессов svchost.
Простейший метод завершения процесса Svchost.exe
В ситуации, при которой «злополучный» процесс «тормозит» систему чересчур сильно, необходимо элементарно перезагрузить вашу «операционку» Windows 7, что позволит системе использовать ресурсы гораздо в меньшем объёме.
Можно поступить по-другому. Нажав Ctrl +Alt + Del, мы оказываемся в Диспетчере задач. Переходим во вкладку «Процессы» и находим в списке интересующую нас службу, после чего завершаем её, выбирая оказывающий на ОП или процессор наиболее отрицательное влияние компонент.
В той ситуации, когда процесс Svchost.exe грузит процессор, некоторыми специалистами рекомендуется вмешаться физически. Следует удалить папку Prefetch, находящуюся в корневом каталоге операционной системы Windows, после чего перезагрузить ваш персональный компьютер.
Никакой опасности это не несет.
Подозрение на вирусы
Есть вероятность такого события, при котором операция Svchost.exe грузится самостоятельно, без каких-либо на то причин. Запомните! «Добропорядочные» процессы svchost.exe идут под пользовательским именем, например, таким как Network Service, или чем-то на это похожим. Вирусные программы же записывают себя под именем «Admin». В таком случае можно быть на 100 процентов уверенным, что ваш персональный компьютер поразил вирус. Безусловно, данный процесс легко завершить легким движением мышки, но правильным решением будет являться полная проверка системы антивирусной программой, что в принципе не даёт полных гарантий решения проблемы. Компьютерные вирусы могут маскироваться очень хорошо, забираясь даже в оперативную память. Наилучшим решением будет использование таких гигантов антивирусной отрасли, как продукты от Nod32 или Касперского, стартующие еще до запуска операционной системы.
Заключение
На этом всё. Вопрос что такое хост процесс для задач windows и почему он «грузит» систему, разжеван до мелочей.
Оставлять данный процесс «висеть» или удалять его вручную – решать только вам. Не забывайте, что завершение штатного процесса – дело опасное. Поэтому рекомендуется проявить немного терпения или же можно столкнуться с неприятными последствиями, вплоть до полного краха системы. При необходимости просто перезагрузите систему или же закройте потенциально проблемные программы. Не лезьте без крайней нужды в «Диспетчер задач», иначе можно познакомиться с таким явлением, как синий «экран смерти», вселяющий ужас во всех без исключения пользователей персонального компьютера, за работу по избавлению от которого неохотно берутся даже в специализированных сервисных центрах. Да и мало приятного потерять множество ценной информации, всего лишь не подождав пару минут. Не так ли?
Путь процесса Windows — svchost.
exe (хост-процесс для служб Windows) | by Shlomi Boutnaru 2 мин чтения·
6 ноября 2022 г.Svchost.exe, вероятно, является встроенным исполняемым файлом, который имеет наибольшее количество экземпляров (например, 78 на моей тестовой виртуальной машине) среди всех запущенных процессов в Windows. Мы можем разделить его имя на «Svc» и «Host», то есть хост службы, который отвечает за него (подробнее об этом позже).
Исполняемый файл «svchost.exe» находится в папке %windir%\System32\svchost.exe. В случае, если мы говорим о 64-битной версии Windows, есть также %windir%\SysWOW64\svchost.exe (это 32-битная версия). Оба файла имеют цифровую подпись Microsoft. Он был представлен в Windows 2000, хотя поддержка «общих сервисных процессов» уже была в Windows NT 3.1 (подробнее об этом в следующих абзацах).
В связи с тем, что многие службы Windows (вы можете прочитать о службах Wndows на странице https://medium.com/@boutnaru/windows-services-part-2-7e2bdab5bce4) реализованы в виде библиотек DLL (Dynamic Link библиотеки) необходим исполняемый файл для их размещения.
Таким образом, вы можете думать о «svchost.exe» как о реализации «разделяемого сервисного процесса» — процесса, который размещает/выполняет/запускает несколько сервисов в одном адресном пространстве памяти.
Конфигурация служб хранится в реестре («HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services»), для каждой размещенной службы имя DLL хранится в подразделе «Parameter» в значении с именем «ServiceDll». Например, в случае DHCP-клиента это «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\ServiceDll» — как показано на скриншоте ниже. ImagePath (в котором хранится путь к исполняемому файлу, запускаемому при запуске службы) будет «svchost.exe» с параметром командной строки «-k» и именем групп служб (например, netsvcs, Dcomlaunch, utcsvc и LocalServiceNoNetwork, LocalSystemNetworkRestricted).
В конце службы разбиваются на разные группы, каждая группа размещается в одном хост-процессе, который является единственным экземпляром «svchost.exe». Если мы хотим увидеть, какие службы размещены на каком «svchost.
exe», вы можете использовать такие инструменты, как «Process Explorer» и «tasklist» — как вы можете видеть на снимке экрана ниже. Конфигурацию того, какие службы входят в состав какой группы, мы можем увидеть в «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost» (на моей тестовой ВМ определено всего 49 групп).
Важно знать, что начиная с Windows 10 (версия 1903) на системах с более чем 3,5ГБ или ОЗУ по умолчанию нет группировки. То есть каждая служба будет выполняться в одном экземпляре «svchost.exe» для большей безопасности и надежности. Конечно, для этого есть исключения, для получения дополнительной информации вы можете прочитать https://learn.microsoft.com/en-us/windows/application-management/svchost-service-refactoring.
Для получения дополнительной информации вы можете подписаться на мой твиттер — @boutnaru (https://twitter.com/boutnaru).
Сверху видим конфигурацию службы DHCP (со значением ServiceDll). Кроме того, мы можем увидеть, как определить, какие службы размещены в «svchost.
exe», используя «tasklist.exe»Обнаружение мошеннических процессов Svchost | ЛогРитм
Автор: Эндрю Холлистер на | Популярные | Комментариев нет
Категория: LogRhythm Labs | Советы и рекомендации по безопасности
Тип: Блог
Задача
Авторы вредоносных программ могут попытаться скрыть свои процессы «на виду», называя их теми же именами, что и некоторые распространенные процессы Windows.
Очень часто для этой цели используется «svchost.exe». Это трудно понять, просто взглянув на систему, поскольку ожидается, что в типичной системе Windows будет запущено несколько экземпляров svchost.exe. Например, у меня есть 12 экземпляров в моей тестовой системе.
Решение
Особый интерес представляют два аспекта процесса svhost:
- Откуда запускается svhost.exe? Мы ожидаем, что это C:\Windows\System32.
- Является ли процесс-родитель или создатель самого процесса svchost.
Использовать Sysmon для предоставления имени процесса и имени родительского процесса
Нам нужен источник журнала, который предоставляет нам как имя запускаемого процесса, откуда он запускается, так и имя родительского процесса. Версии Windows до Windows 10 не предоставляют эту информацию в журнале аудита, поэтому мы обратились к инструменту Microsoft SysInternals «Sysmon», чтобы предоставить нам более глубокий уровень видимости.
Стандартное правило обработки для Sysmon фактически в настоящее время не назначает родительский процесс полю метаданных, поэтому я создал пользовательское правило для создания дополнительного поля метаданных. (Это обновление вскоре будет добавлено в политику обработки в базе знаний.)
Затем мы получаем как фактический процесс, так и его родителя в метаданные:
Создание правила AI Engine, начиная с необычного родительского процесса Имя
Мы знаем, что svchost должен запускаться services.
exe, поэтому мы ищем любой запущенный процесс с именем svchost, где services.exe не является его родительским процессом:
Поиск любого процесса с именем Svchost, запускаемого из любого другого места
Наконец, создайте правило AI Engine, которое ищет вхождения svchost.exe, начиная с необычного места на диске. Мы знаем, что svchost находится в C:\Windows\System32, поэтому мы ищем любой процесс с именем svchost, запускаемый из любого другого места:
Преимущества
Основным преимуществом этого варианта использования является возможность разница между нормальным и ненормальным поведением. Это ключ к победе над нападающими.
Это правило AI Engine немедленно выявит наличие вредоносных программ, маскирующихся под svchost; даже если он использует передовые методы скрытности, такие как недавно обнаруженное вредоносное ПО LatentBot.
LatentBot попытался скрыть часть своей активности на виду именно с помощью этого метода.
Ваш комментарий будет первым