C windows system32 svchost exe k localservice — Ваш верный помощник с OS Windows

Содержание

Как удалить вирус svchost.exe
Файлы svсhost — добрые и злые, или кто есть кто
Истинный процесс
Хакерская подделка
Способ №1: очистка утилитой Comodo Cleaning Essentials
Где скачать и как установить?
Как настроить и очистить ОС?
Вспомогательные утилиты
Autorun Analyzer
KillSwitch
Способ №2: использование системных функций
Проверка автозагрузки
Анализ активных процессов
Если сложно определить: доверенный или вирус?
Профилактика
Процесс svchost.exe и системные службы, связанные с ним.
Что такое процесс svchost.exe?
Как определить системную службу, связанную с конкретным процессом svchost.exe.
Ком-сервис
Что такое svchost.exe
Как удалить вирус, замаскированный под процесс svchost.exe
Вирусов в системе нет, но svchost.exe всё равно «грузит» компьютер?
Svchost грузит процессор Windows 7 — причины и решение
Проверяем svchost на вирусность
Причины по которым svchost exe грузит процессор
Svchost грузит процессор из-за автоматического обновления Windows 7
Другие причины и решения тормозов процесса svchost
Неправильно установленные драйвера или приложения
Временные файлы
Проблемы с железом
Проверка целостности системы Windows

Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» — Win32.HLLP.Neshta (классификация Dr.Web).

Как же удалить svchost.exe, который «подбросили» злоумышленники в систему? Есть, как минимум, два способа детектирования и уничтожения этого паразита. Не будем медлить! Приступаем к очистке ПК.

Файлы svсhost — добрые и злые, или кто есть кто

Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».

Истинный процесс

Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка — «ещё 29 вариантов»).

Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):

Хакерская подделка

Может находиться в следующих директориях:

Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.

Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.

Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).

Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.

Способ №1: очистка утилитой Comodo Cleaning Essentials

Cleaning Essentials — антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).

Где скачать и как установить?

1. Откройте в браузере comodo.com (официальный сайт производителя).

Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.

2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.

3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).

Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».

4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.

5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».

6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».

Как настроить и очистить ОС?

1. Выберите режим «Custom scan» (выборочное сканирование).

2. Подождите немного, пока утилита обновит свои сигнатурные базы.

3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).

5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.

Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.

Вспомогательные утилиты

В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.

Внимание! Утилиты рекомендуется применять только опытным пользователям.

Autorun Analyzer

Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.

Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.

KillSwitch

Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:

В случае обнаружения зловреда:

Способ №2: использование системных функций

Проверка автозагрузки

Анализ активных процессов

Кликните правой кнопкой по имени образа. В меню выберите «Свойства».

В случае обнаружения вируса:

Если сложно определить: доверенный или вирус?

Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.

Профилактика

После нейтрализации «паразита» из ОС Windows, в независимости от применённого способа удаления, просканируйте дисковые разделы лечащей утилитой Malwarebytes Anti-Malware или Kaspersky Virus Removal Tool. Проверьте работу основного антивируса: просмотрите настройки детектирования, обновите сигнатурную базу.

Источник

Процесс svchost.exe и системные службы, связанные с ним.

Что такое процесс svchost.exe?

Параметры вызова исполняемого файла svchost.exe для конкретных системных служб определяются значениями в ключе реестра

Параметр ImagePath задает командную строку для данной службы или группы служб. Имя библиотеки, которая используется для данной службы, определяется параметром ServiceDll подраздела Parameters

Перечень всех служб, запускаемых с использованием svchost.exe и их объединение в группы определяется содержимым ключа реестра

Так, например, в группу DcomLaunch входят 3 службы:

Каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов, относящихся к группе.

Как определить системную службу, связанную с конкретным процессом svchost.exe.

В данном примере, процесс svchost.exe потребляет 50% ресурсов процессора. Это ненормально, и внешне может проявляться в виде снижения общей производительности, подвисаний (лагов), скачкообразного перемещения указателя мыши и т.п. Поскольку системные процессы имеют более высокий приоритет по сравнению с пользовательскими, они и потребляют ресурсы системы в первую очередь, что снижает реальную производительность программ, выполняемых в контексте учетных записей пользователей.

Использование утилиты командной строки tasklist.exe

Для получения списка выполняющихся служб в любой версии Windows можно использовать команду:

Пример отображаемой информации:

В графическом интерфейсе пользователя, сведения о службе можно получить с использованием оснастки “Службы” консоли управления Microsoft (комбинация клавиш Win+R и выполнить services.msc ), или через меню Панель управления – Администрирование – Службы

Использование Диспетчера задач Windows ( taskmgr.exe )

Стандартные диспетчеры задач отличаются по своим возможностям в зависимости от версии Windows. Так, например диспетчер задач Windows XP не имеет собственных средств по сопоставлению имени процесса с именем системной службы, а диспетчер задач Windows 10 позволяет это сделать с использованием контекстного меню, вызываемого правой кнопкой мышки:

При выборе пункта Перейти к службам откроется окно со списком служб, в котором будут подсвечены службы, связанные с выбранным процессом svchost.exe

При необходимости, можно нажать на ссылку Открыть службы в нижней части экрана, и, непосредственно из диспетчера задач, открыть список системных служб (оснастку консоли управления Windows services.msc ). Диспетчеры задач Windows Vista – Windows 8.1 менее информативны и обладают меньшей функциональностью, но также позволяют выполнять переход от выбранного процесса к связанным с ним службам.

Использование Process Explorer ( procexp.exe ) из пакета Sysinternals Suite

c windows system32 svchost exe k localservice

Остальная часть дерева отображает иерархию реально выполняющихся в Windows процессов. Так, например, приложение служб и контроллеров SERVICES.EXE обеспечивает создание, удаление, запуск и остановку служб (сервисов) операционной системы, что и отображается в списке порождаемых им процессов.

Иерархический характер дерева процессов способствует визуальному восприятию родительски-дочерних отношений каждого активного процесса. Нижняя панель дает информацию обо всех DLL, загруженных выделенным в верхней панели процессом, открытых им файлах, папках, разделах и ключах реестра.

При выборе уровня System дерева процессов в нижней панели можно получить информацию обо всех загруженных драйверах системы, их описание, версию, путь исполняемого файла, адрес в оперативной памяти, размер, Кроме того, можно проверить цифровую подпись, а также просмотреть строковые значения в самом исполняемом файле или в оперативной памяти.

При просмотре свойств любого процесса, можно получить очень подробную информацию о ресурсах системы, используемых данным процессом, включая память, процессор, систему ввода-вывода, графическую подсистему и сетевые соединения.

Использование Process Explorer позволяет легко определить дополнительные признаки, которые могут принадлежать вредоносной программе, замаскированной под легальный процесс:

— отсутствует информация о производителе программного обеспечения. В редких случаях это не является настораживающим признаком, но подавляющее большинство разработчиков современного ПО такую информацию предоставляют.

— исполняемый файл находится в WINDOWS или WINDOWSSYSTEM32, но дата его создания значительно отличается от даты создания остальных системных файлов и приблизительно соответствует предполагаемой дате заражения. Тоже довольно редко встречающийся прием вирусного заражения по той же причине, которая приведена в предыдущем пункте.

Одним из приемов диагностики вирусного заражения или причин непомерного потребления системных ресурсов является поочередное принудительное их завершение и анализ состояния системы после него. Вместо принудительного завершения можно использовать последовательное изменение приоритетов процессов на минимальное значение. Если после завершения процесса или снижения его приоритета состояние системы стало нормальным (нет ”подвисаний”, лишнего трафика, роста температуры процессора или видеокарты и т.п.), это явно указывает на необходимость пристального внимания к параметрам процесса, его легальности или принадлежности к вредоносному ПО.

Утилита Process Explorer бесплатна, удобна в использовании, может применяться в переносимом варианте и много лет является одним из наиболее популярных инструментов системных администраторов Windows.

Дополнение к статье:

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

Источник

Ком-сервис

Если вы читаете эту статью, то наверняка уже обратили внимание на системный процесс, имеющий название «svchost.exe». Причём обычно он не одинок, и компанию ему составляют ещё несколько одноимённых процессов:

В нормальной ситуации быстродействие компьютера от выполнения данного процесса не страдает, и обычные пользователи внимание на него не обращают. Совсем иначе обстоит ситуация, когда процесс начинает «пожирать» от половины до 100% ресурсов компьютера. Причем не эпизодически, а постоянно. Радикальным решением проблемы в таком случае иногда становится переустановка Windows или откат системы к тому моменту, когда она работала нормально. Эти способы не только излишни, но и не всегда помогают, поэтому сегодня мы расскажем вам о более простых решениях проблемы, когда процесс svchost.exe грузит процессор компьютера «на полную».

Что такое svchost.exe

Начнём с теории. Svchost.exe — системный процесс Windows, который отвечает за запуск различных служб на компьютере (например, Служба печати или Брандмауэр Windows). С помощью него на компьютере могут быть запущены несколько служб одновременно, что позволяет сократить потребление ресурсов компьютера этими службами. Кроме того, сам процесс может быть запущен в нескольких копиях. Именно поэтому в «Диспетчере задач» всегда запущено больше одного процесса svchost.exe.

Так из-за чего же svchost.exe может создавать высокую нагрузку на процессор и память компьютера? В сети можно встретить мнение, что процесс svchost.exe инициируется вирусом или вовсе является вирусом. Это не так. Строго говоря, некоторые вирусы и трояны могут маскироваться под него, создавая дополнительную нагрузку на ресурсы компьютера, но их довольно легко вычислить и обезвредить.

Как удалить вирус, замаскированный под процесс svchost.exe

Запустите «Диспетчер задач» (с помощью комбинации клавиш Control+Atl+Delete или из меню Пуск > Программы > Стандартные > Служебные) и откройте вкладку «Процессы». В первой колонке вы увидите названия процессов, а во второй — указание, от чьего имени он был запущен. Так вот, обратите внимание на то, что svchost.exe может запускаться только от имени пользователей LOCAL SERVICE, SYSTEM (или «система»), а также NETWORK SERVICE.

Если вы заметили, что процесс запущен от имени вашего пользователя (например, от имени User), то перед вами — вирус. Так как настоящий svchost.exe может запускаться только системными службами, то он не может находиться в «Автозагрузке» текущего пользователя Windows. Поэтому именно там мы и попробуем найти вирус, замаскированный под системный процесс svchost.exe. Попасть в Автозагрузку можно двумя способами: через стороннюю программу, например, CCleaner или стандартными средствами Windows.

Для того, чтобы попасть в Автозагрузку без установки дополнительных программ, откройте Пуск и в строке поиска программ (в Windows XP — в Пуск > Выполнить) напишите msconfig, после чего нажмите ОК. Появится окно «Конфигурация системы». Перейдите на вкладку Автозагрузка и внимательно просмотрите список программ, запускаемых при загрузке системы. Если в этом списке вы обнаружите процесс svchost.exe, то можете не сомневаться в его вирусном происхождении.

Настоящий svchost.exe может быть запущен только из папки C:WINDOWSsystem32, где «C» — диск, на котором установлена Windows. (В 64-битной операционной системе 32-битная версия svchost.exe расположена в папке C:WINDOWSSysWOW64, и теоретически процесс может быть запущен также из неё. Однако по умолчанию все системные процессы, включая svchost.exe, в 64-разрядных Windows запускаются из C:WINDOWSsystem32.) На скриншоте выше видно, файл расположен в папке WINDOWS, да ещё и называется «svhost.exe», а не «svchost.exe», что прямо говорит о его вирусном происхождении.

Список самых излюбленных папок для маскировки вируса выглядит примерно так:

C:WINDOWSsvchost.exe
C:WINDOWSconfigsvchost.exe
C:WINDOWSdriverssvchost.exe
C:WINDOWSsystemsvchost.exe
C:WINDOWSsistemsvchost.exe
C:WINDOWSwindowssvchost.exe
C:Usersимя-вашего-пользователяsvchost.exe

Файл вирусного процесса может не только находится в одной из перечисленных выше папок (а не в стандартной папке, где находится настоящий svchost.exe), но и называться по-другому:

svhost.exe
svch0st.exe
svchost32.exe
svchosts.exe
syshost.exe
svchosl.exe
svchos1.exe

. И так далее, — фантазия вирусописателей не знает границ :-).

Итак, вы нашли вирус svchost.exe в Автозагрузке. Первое, что нужно сделать — отключить его автозапуск, убрав галку напротив него в столбце «Элемент автозагрузки». Теперь нужно завершить его процесс через «Диспетчер задач» (правая кнопка мыши на процессе > Завершить процесс) и удалить сам файл. Полный путь к файлу, как и на скриншоте выше, всегда указан в столбце «Команда». Вполне возможно, что файл процесса не даст себя удалить, — в этом случае попробуйте сначала перезагрузить компьютер и повторить операцию, или воспользуйтесь программой для удаления подобных, «неудаляемых» файлов Unlocker.

После этого не лишним будет также провести антивирусную проверку компьютера. Если на вашем компьютере до сих пор не установлен антивирус, рекомендуем ознакомиться с нашей статьей о выборе бесплатного антивируса.

Вирусов в системе нет, но svchost.exe всё равно «грузит» компьютер?

Вы нашли и обезвредили все вирусы в системе или убедились, что вирусов на компьютере нет, а svchost.exe по-прежнему мешает работать? Попробуйте выяснить, какая программа или служба использует данный процесс. Это легко сделать с помощью простой бесплатной программы Process Explorer. Очень часто процесс svchost.exe использует служба Windows Update, автоматически устанавливающая обновления на компьютер:

В данном случае можно либо подождать, когда все обновления Windows будут загружены и установлены, либо временно отключить автоматическое обновление Windows. Это можно сделать через Панель управления в разделе Система и безопасность > Центр обновления Windows, открыв Настройки параметров (в боковом меню окна) и выбрав в выпадающем списке пункт Не проверять наличие обновлений:

Если отключение автоматического обновления не помогло, то точно также можно проверить все остальные службы Windows. Остановить или отключить любую службу Windows можно через оснастку «Службы». Попасть в неё легко: нажмите Пуск > кликните на Компьютер правой кнопкой мыши, в раскрывшемся меню выберете Управление > перейдите в Службы и приложения > Службы. Выбрав искомую службу, кликните на неё правой кнопкой мыши и выберите Остановить. Если нагрузку на компьютер создавала именно она, то после остановки службы процесс svchost.exe перестанет загружать ваш компьютер на 100%.

Не удалось решить проблему самостоятельно? Мы готовы вам помочь! «Помощь онлайн» — подробная информация здесь.

Источник

Svchost грузит процессор Windows 7 — причины и решение

Svchost.exe — системный файл и процесс всех современных операционных систем Windows, начиная с Windows 2000 и заканчивая последней Windows 10.

Разработчики Windows создали универсальный процесс svchost для уменьшения нагрузки компьютера на оперативную память и процессор. Данный процесс используется для одновременной работы нескольких системных служб Windows.

Не редкость, когда процесс svchost грузит процессор и память Windows 7, что работать на компьютере становиться невозможно. В этой статье вы узнаете, какие могут быть причины тормозов с процессом svchost и их решение.

Проверяем svchost на вирусность

Первым делом надо убедиться, что проблема вызвана настоящим файлом svchost, а не вирусом. Дело в том, что злоумышленники очень часто имитируют свой вирус названием svchost, чтобы владелец компьютера не заподозрил ничего подозрительного. Стоит отметить, что процесс svchost.exe во всех Windows, кроме Windows 8 и Windows 10 запускается исключительно от имени системных пользователей SYSTEM (система), LOCAL SERVICE и NETWORK SERVICE. Так, что если вы видите, что svchost запущен от имени пользователя, то это почти наверняка вирус имитирующий работу системного файла.

Для того, чтобы посмотреть под каким пользователем запущен svchost нажмите комбинацию клавиш ctrl+alt+del и откройте диспетчер задач. Перейдите на вкладку «процессы» и отсортируйте список по ЦП, то есть по нагрузке на центральный процессор. Также можно отсортировать по имени образа.

Как видно на скриншоте все процессы svchost.exe запущены от системных пользователей (система, LOCAL SERVICE и NETWORK SERVICE). Значит, мы имеем дело не с вирусом и можно копать дальше. Если же, процесс svchost был бы запущен от вашего имени пользователя, например Dima или Алёна, то потребовалось бы чистить компьютер от вирусов. Но об этом я расскажу в следующей статье.

Причины по которым svchost exe грузит процессор

Как уже было написано в начале статьи, процесс svchost.exe служил для работы сразу нескольких системных служб операционной системы Windows 7. Если svchost на 100 процентов загружает процессор или оперативную память Windows 7, это значит, что какая-то служба постоянно вызывает обращение к этому файлу.

Для начала, попробуйте просто перезагрузить компьютер. Вполне возможно, что у вас заглючила одна из служб и обычная перезагрузка может помочь. Если после перезагрузки компьютера проблема осталась и svchost exe грузит процессор windows 7 как и раньше, то придётся определить, какая служба доставляет проблемы.

Немного забегу вперёд и скажу, что текст ниже объясняет методику поиска проблемной службы, но как правило svchost грузить процессор лишь из-за некоторых, поэтому прежде чем выполнять инструкции в этом абзаце, сначала прочитайте всю статью целиком, а уже потом действуйте.

Для того, чтобы определить на какие службы работает svchost.exe нажмите ctr+alt+del и откройте диспетчер задач. Выберите закладку «процессы» и отсортируйте таблицу по имени процесса.

Выделите процесс svhost.exe который потребляет больше всего ресурсов, нажмите правой кнопкой и нажмите «перейти к службам».

Вас перекинет на закладку «службы» диспетчера задач, где будут выделены службы, которые используют процесс svchost.exe в своих целях.

Теперь вы должны перейти в меню «службы» и отключить её.

Если после этого нагрузка на svchost спала, значит вы нашли проблемную службу. Если служба не критичная, то в типе запуска поставьте «отключить», чтобы служба не стартовала каждый раз при включении компьютера. Это позволит не нагружать лишний раз процессор и память компьютера.

Если svchost по-прежнему грузить память или процессор, то придётся методом перебора отключать одну службу за другой, пока не будет найдена служба виновник тормозов.

Svchost грузит процессор из-за автоматического обновления Windows 7

Важно понимать, что есть критические службы Windows, без которых работа на компьютере будет невозможно и второстепенные, без которых обычный пользователь компьютера вполне может жить.

Процесс svchost в большинстве случаев грузит процессор или память в Windows 7 из-за службы Центр обновления Windows. Для её отключения нажмите Пуск — Панель управления — Система и безопасность — Центр обновления Windows.

В правом меню выберите Настройка параметров.

В появившемся окне вместо «устанавливать обновления автоматически» поставьте «Искать обновления, но решение о загрузке и установки принимаются мной».

После этого система не будет автоматически скачивать и устанавливать все найденные обновления, а будет лишь уведомлять вас о том, что обновления имеются и при желании вы можете их скачать и установить. Таким образом загружаемый процесс svchost не будет трудиться над службой автоматического обновления.

Также, для верности, можно и вовсе отключить службу автоматического обновления. Для этого зайдите в меню Пуск — Панель управления — Административные — Службы. Найдите службу Центр обновления Windows и нажмите «отключать», также измените тип запуска на «отключена».

После этого обновления в принципе будут отключены и не должны грузить процесс svchost.

После этого не забудьте удалить содержимое папки C:WindowsSoftwareDistribution, в ней хранятся скаченные обновления.

Другие причины и решения тормозов процесса svchost

Неправильно установленные драйвера или приложения

Помимо службы автоматического обновления Windows файл svchost.exe может грузить процессор из-за неправильно установленных драйверов или программ. Постарайтесь вспомнить, что вы устанавливали на компьютер или какие драйвера обновляли перед появлением проблем. Попробуйте сделать откат системы до момента когда всё работало или удалите драйвера и приложения, после которых появились тормоза с файлом svchost. Скачайте новые драйвера с официального сайта.

Временные файлы

Удалите содержимое папок C:WindowsPrefetch и C:WindowsTemp. В этих папках хранятся временные файлы, очистка которых может оживить ваш компьютер. Не переживайте, удаление этих файлов никак не навредит вашему компьютеру, все удаленные файлы будут восстановлены автоматически.

Проблемы с железом

Вполне возможно, что процесс svchost грузить процессор Windows 7 из-за проблем с сетевым адаптером, неисправной оперативной памятью компьютера или ещё каким-либо оборудованием.

Попробуйте отключить сетевой кабель от компьютера и посмотрите спадёт ли нагрузка. Если это поможет, то попробуйте проверить компьютер антивирусом, а также переустановить драйвер сетевой карты и материнской платы.

Ещё возможен вариант, что у вас поломалась оперативка. Возможна проблема с одной из планок оперативной памяти. Продиагностируйте её специальными программами.

Проверка целостности системы Windows

Следует проверить целостность файлов Windows. Некоторые системные файлы могли потереться или испортиться, что вызвало нагрузку на файл svchost. Также, возможно есть битый файл, нагружающий систему.

Нажмите Пуск — Все программы — Стандартные — Командная строка. Также в командную строку можно зайти нажав комбинацию клавиш Win+R. Напишите CMD и нажмите ОК.

В командной строке напишите «sfc /scannow» без кавычек.

После этого система проверит все файлы и восстановит поврежденные.

Источник

Приветствую дороги друзья, читатели, посетители и прочие личности. Сегодня поговорим про такую вещь как svchost.

Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами

Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще ).

Поехали.

Что это за процесс SVCHOST и вирус или нет?
Как распознать вирус svchost и сам файл
Как удалить и решить проблему с SVCHOST или вирусом
Проверка поврежденных системных файлов в целях лечения
Послесловие

Что это за процесс SVCHOST и вирус или нет?

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.

Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным).

Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.

Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

к содержанию ↑

Как распознать вирус svchost и сам файл

Начнем с того, что системный svchost.exe обитает исключительно в папке:

C:WINDOWSsystem32
C:WINDOWSServicePackFilesi386
C:WINDOWSPrefetch
С:WINDOWSwinsxs*

Где C: — диск куда установлена система, а * — длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be

Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).

Привожу несколько самых путей маскировки вирусами под этот процесс:

C:WINDOWSsvchost.exe
C:WINDOWSsystemsvchost.exe
C:WINDOWSconfigsvchost.exe
C:WINDOWSinet20000svchost.exe
C:WINDOWSinetsponsorsvchost.exe
C:WINDOWSsistemsvchost.exe
C:WINDOWSwindowssvchost.exe
C:WINDOWSdriverssvchost.exe

И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:

svсhost.exe (вместо английской «c» используется русская «с»)
svch0st.exe (вместо «o» используется ноль)
svchos1.exe (вместо «t» используется единица)
svcchost.exe (2 «c»)
svhost.exe (пропущено «c»)
svchosl.exe (вместо «t» используется «l»)
svchost32.exe (в конец добавлено «32»)
svchosts32.exe (в конец добавлено «s32»)
svchosts.exe (в конец добавлено «s»)
svchoste.exe (в конец добавлено «e»)
svchostt.exe (2 «t» на конце)
svchosthlp.exe (в конец добавлено «hlp»)
svehost.exe (вместо «c» используется «e»)
svrhost.exe (вместо «c» используется «r»)
svdhost32.exe (вместо «c» используется «d» + в конец добавлено «32»)
svshost.exe (вместо «c» используется «s»)
svhostes.exe (пропущено «c» + в конец добавлено «es»)
svschost.exe (после «v» добавлено лишнее «s»)
svcshost.exe (после «c» добавлено лишнее «s»)
svxhost.exe (вместо «c» используется «x»)
syshost.exe (вместо «vc» используется «ys»)
svchest.exe (вместо «o» используется «e»)
svchoes.exe (вместо «st» используется «es»)
svho0st98.exe
ssvvcchhoosst.exe

Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.

Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.

к содержанию ↑

Как удалить и решить проблему с SVCHOST или вирусом

В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:

Скачиваем avz, распаковываем архив, запускаем avz.exe
В окне программы выбираем “Файл” – “Выполнить скрипт“.
Вставляем в появившееся окно скрипт:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)',''); DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Где, как Вы понимаете, под словами «сюда вставлять путь к файлу (главное не перепутать кавычки)» нужно, собственно, вставить этот путь, т.е, например: C:WINDOWSsystemsyshost.exe прямо между », т.е получиться строки должны так:
QuarantineFile('C:WINDOWSsystemsyshost.exe',''); DeleteFile('C:WINDOWSsystemsyshost.exe');
Жмем «Запустить«, предварительно закрыв все программы.

Картинка с сайта: windoro.ru
Ждем перезагрузки системы
Проверяем наличие файла
Проводим полноценную проверку на вирусы и spyware.

Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру.

Впрочем, если и это не помогает, то есть еще небольшой способ (при учете конечно, что Вы сделали всё вышенаписанное), который может помочь.

к содержанию ↑

Проверка поврежденных системных файлов в целях лечения

В редких (сильно) случаях может помочь вариант проверки системных файлов, который есть в самой системе. Перейдите по пути «C: -> Windows -> System32» (где диск C: — это тот, куда установлена система).

Там найдите cmd.exe, нажмите на него правой кнопкой мышки и выберите пункт «Запуск от имени администратора«.

В самой командной строке введите строку:

sfc /scannow

И дождитесь окончания процесса. Система проведет сканирование всех защищенных системных файлов и заменит все поврежденные файлы. Возможно это не вылечит сам svchost, но может починить сопутствующие файлы, которые приводит к нагрузкам и другим проблемам.

к содержанию ↑

Послесловие

Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.

Буду рад почитать, послушать, поддержать и помочь

PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.
PS2: Проблема может быть связана с работой в фоне обновления Windows. Возможно, что есть смысл его отключить или вообще произвести полную оптимизацию системы из этого материала (особенно для 10-ой версии системы)
PS3: Если ничего не помогает, то попробуйте пройтись Kaspersky Virus Remove Tool из этой статьи для очистки возможных svchost-разновидностей вируса

Что такое svchost.exe

Как удалить вирус, замаскированный под процесс svchost.exe

Список самых излюбленных папок для маскировки вируса выглядит примерно так:

svhost.exe
svch0st.exe
svchost32.exe
svchosts.exe
syshost.exe
svchosl.exe
svchos1.exe

…И так далее, — фантазия вирусописателей не знает границ :-).

Вирусов в системе нет, но svchost.exe всё равно «грузит» компьютер?

Порой при включении система может долго загружаться, и работать в ней практически невозможно. Одна из причин – полная или частичная перегруженность системными процессами. Если открыть диспетчер задач, то можно обнаружить несколько (если не целую страницу) строчек с одним и тем же названием – svchost.exe. Под этой утилитой могут действовать куча разных программ, чаще системных. Я расскажу, что это за процесс, и какими способами можно решить проблему с перегрузкой процессора.

svchost.exe считается главным процессом операционной системы Windows 10. Он отвечает за ее стабильную работу и поддержку отдельных системных и сторонних служб. Все утилиты под этим именем используют динамические библиотеки DLL.

Плюс этого процесса состоит в том, что он экономит ресурсы компьютера. К примеру, если каждый сервис, функционирующий под этим именем, работал отдельно, оперативная память была бы перегружена куда раньше. А к минусу можно как раз причислить частую трудность определения программы, к которой относится выделенный пункт.

Почему svchost грузит процессор?

Даже при том, что этот процесс сокращает нагрузку на память, порой случаются ситуации, когда именно из-за него система начинает тормозить. Происходить подобное может по нескольким причинам.

Переполнение журнала событий, истории посещений в браузере, файлов cookie и прочих временных папок. Да, если их своевременно не чистить, система не будет работать стабильно.
Одновременный запуск нескольких системных задач с высоким приоритетом или использование ресурсоемких программ (даже в фоновом режиме). Например, обновление софта, базы данных антивируса, свернутый браузер и так далее. Тут речь больше идет о периодических перегрузках, а не постоянной работе на максимальных показателях. С течением времени подобная активность может просто спасть после завершения всех фоновых операций.
Заражение компьютера одним или несколькими вирусными программами. При этом они довольно эффектно маскируются под процесс svchost, и без внимательного наблюдения обнаружить их не так просто. При запуске вирусного софта название исходного процесса может меняться. Чаще просто добавляется или убирается одна буква. Порой и подлинные службы бывают подверженными атакам.
Неправильная установка обновлений операционной системы. Тут может помочь простой откат системы до предыдущей версии. Следующая инсталляция должна пройти куда успешнее.
Перегрев процессора. Если это ПК, то можно выключить его и почистить внутренности от пыли. Желательно, конечно, доверить данную процедуру специалистам, но даже начинающий пользователь при грамотном обращении может провести эту процедуру как надо. Если же это ноутбук, то желательно отключить его на время или приобрести отдельную подставку со специальным вентилятором.
Неполадки с системными файлами. Решаются они проверкой данных ОС на наличие ошибок через утилиту «Командная строка».
Ошибки в реестре. Это очень важная база данных, из которой все установленные программы и сервисы берут информацию. При наличии хотя бы мизерных ошибок система будет работать менее стабильно. Появиться они могут при неправильном удалении некоторых важных приложений.
Неправильная работа одной из служб, записанных под этим именем, которая запускает высокий уровень использования процессора. Часто такое наблюдается в пиратских сборках. Тут надо просто отследить, что это за служба, и отключить ее, если она не нужна.

Как отследить службу через «Диспетчер задач»

Через «Диспетчер задач» я могу узнать, какой именно процесс больше всего грузит память компьютера. Для начала я открою утилиту – можно нажатием на комбинацию Ctrl + Shift + Esc или через строку поиска Кортаны в панели задач.

Открыть «Диспетчер задач» можно и через строку поиска

Чтобы найти эту службу, сначала перейду во вкладку «Подробности» и отсортирую задачи по мере загрузки на память.

Перехожу во вкладку «Подробности» и сортирую приложения по нагрузке на память

Дальше выберу ту строку с svchost.exe, которая больше остальных грузит память. Вызову контекстное меню нажатием по ней правой кнопкой мыши и кликну по пункту «Перейти к службам».

Нужно просто вызвать контекстное меню и нажать на пункт перехода к службе

Окно переключится на вкладку «Службы», где нужная служба будет выделена.

После этого выбранный процесс выделится во вкладке «Службы»

Что делать, если svchost грузит процессор на Windows 10?

В случае если какой-либо процесс svchost грузит память и процессор компьютера, можно прибегнуть к нескольким способам.

Перезагрузка компьютера

Порой простая перезагрузка компьютера с Windows на борту может решить массу возникающих проблем, в том числе загруженность памяти. Возможно, какой-то процесс, службы или драйверы перестали корректно работать. Все это может самоустраниться после перезагрузки системы.

Но и перезагружать компьютер нужно правильно, а не нажатием на кнопку питания. Принудительная перезагрузка может вызвать еще больше проблем. А для правильной перезагрузки мне нужно совершить следующие действия.

Сначала закрываю все открытые окна.
Нажимаю на иконку «Пуск» в панели задач.
В левом нижнем углу щелкаю по кнопке питания.

Картинка с сайта: windoro.ru

Для выключения нужно лишь нажать иконку в панели «Пуск»
Выбираю один из пунктов – можно «Завершение работы» или «Перезагрузка». В первом варианте необходимо будет потом снова нажать на кнопку питания. Во втором этого делать не нужно – система автоматически выключится и включится.

Выбираю один из двух пунктов
После завершения загрузки системы проверяю, грузит ли svchost процессор и память.

Проверка компьютера антивирусом

Даже если нет подозрений на наличие вируса, систему все равно нужно проверить. При этом важно, чтобы базы данных были обновлены до последних версий. Можно воспользоваться встроенным «Защитником Windows».

Найду иконку в виде щита в разделе скрытых значков панели задач и кликну по ней.

Для открытия встроенного «Защитника Windows» надо лишь нажать на иконку в разделе со скрытыми значками

В новом открытом окне выберу раздел «Защита от вирусов и угроз».

Для начала следует перейти в раздел «Защита от вирусов и угроз»

После нажму на кнопку «Выполнить проверку сейчас», и система начнет быстрое сканирование файлов на наличие вредоносного ПО. Есть еще другой вариант – выполнение более глубокой проверки. Для этого я перейду к нижнему пункту «Запустить новое расширенное сканирование».

Можно запустить как стандартное, так и расширенное сканирование

Потом откроется раздел «Расширенное сканирование», где я выберу нужный мне тип сканирования и запущу его. Желательно, конечно, запустить «Полное сканирование». Правда, займет оно несколько часов, и из-за него некоторые процессы и приложения могут сильно тормозить. При всем этом, его эффективность стоит потраченного времени.

Выбираю нужный вариант и запускаю сканирование

Осталось только дождаться окончания сканирования. Если вирус есть, то он высветится в списке, и пользователю будет предложено несколько вариантов действия – его удаление или перемещение в карантин.

Очистка временных файлов

Для временных файлов в системе отведена специальная папка Temp, расположенная в разделе Local – AppData. В ней может копиться куча файлов, особенно если очистка не проводилась давно (или вообще с момента установки операционной системы). И чем больше приложений на компьютере установлено, тем быстрее она будет забиваться. Как я писала ранее, ее можно удалять – никакие важные данные потеряны не будут.

Открыть ее я могу следующим образом – просто проследовав по пути C:UsersUserAppDataLocalTemp (обычно если скопировать и вставить его в адресную строку, то она открывается — главное, чтобы имя пользователя совпадало), а также введя %TEMP% в строке проводника.

Перехожу во вкладку Temp и удаляю временные файлы

Обязательно надо открыть папку, потому что некоторые процессы могут не удалиться из-за того, что та или иная программа открыта и задействует эти данные. Перед этим желательно закрыть все окна, но это все равно не считается гарантией.

Выделяю все пункты нажатием на комбинацию клавиш Ctrl + A и удаляю их. В любом случае выскочит вот такое окошко, да и название файла будет другим. Просто нажму на кнопку «Пропустить» – от пары файлов размером не больше 1 мегабайта ничего не перегрузится.

Если выйдет такое окно, нажимаю на кнопку «Пропустить»

Удаление некоторых системных папок

Некоторым это может помочь, но тут надо действовать осторожно. Для проведения данной процедуры, и даже простого открытия нужных папок, понадобятся административные права. Перехожу в раздел по адресу C:Windows, ищу папку Prefetch и удаляю ее.

Выделяю все файлы и удаляю их

Потом захожу в раздел System32, нахожу папку Tasks, открываю ее и удаляю содержимое.

Тут тоже выделяю все файлы в папке и удаляю их

После завершения этих процедур перезагружаю компьютер.

Отключение служб

К этому способу рекомендуется прибегать в крайнем случае, на свой страх и риск, и то если служба слишком сильно грузит систему даже после перезагрузки и проверки другими программами. Еще перед этим необходимо проверить, насколько она важна. Если это Superfetch или центр обновления, тогда риск не так высок. Правда, вторую службу не рекомендуется отключать окончательно – ее лучше перевести в ручной режим. См. также: Все о процессе SuperFetch в Windows 10

Для начала открою окно со списком служб – сделать это я могу несколькими способами.

Вызвать окно «Выполнить», нажав на комбинацию Win + R или введя в строке поиска Кортаны одноименный запрос.

Окно «Выполнить» можно найти и с помощью поисковика
Ввести в поле «Открыть» запрос services.msc, затем нажать на клавишу Enter или кнопку ОК.

Картинка с сайта: windoro.ru

Ввожу запрос в поле и нажимаю на кнопку ОК.
Ввести в строке поиска в панели задач запрос «Службы».

Ввожу в поиске запрос и нажимаю на первый пункт
Открыть диспетчер задач тем же путем, что был указан ранее. Затем перейти в раздел «Службы», найти нужную строчку, вызвать контекстное меню нажатием на правую кнопку мыши и выбрать пункт «Открыть службы».

Картинка с сайта: windoro.ru

Еще к службам можно перейти через диспетчер задач

Уже потом, после открытия окна со списком служб, нахожу строчку с нужной утилитой и отключаю ее. Сделать это тоже можно несколькими способами.

Просто нажав на ссылку «Остановить», которая появляется в левой части при выборе той или иной строчки.

Картинка с сайта: windoro.ru

Нажимаю на ссылку в правой части экрана
Вызвать контекстное меню нажатием правой кнопкой мыши по ней и выбрать пункт «Остановить».

Картинка с сайта: windoro.ru

Выбираю соответствующий пункт в контекстном меню
Еще в том же разделе можно выбрать пункт «Свойства».

Картинка с сайта: windoro.ru

Перехожу в свойства службы

На экране откроется окошко. В графе «Тип запуска» переключаем на пункт «Отключена», нажимаем на кнопку «Остановить» и применяем изменения.

Меняю тип запуска, останавливаю утилиту и применяю все параметры

Обязательно после всех этих действий перезагружаем компьютер. После отключения службы можно понаблюдать за работой системы. Если после этого быстродействие снизилось, утилиту можно включить обратно.

Еще один вариант – действовать непосредственно через «Диспетчер задач», не переходя к другому разделу. Просто в контекстном меню нужной службы нажимаю на пункт «Остановить».

Остановить службу можно и через «Диспетчер задач»

Те же действия могут быть применимы к службе «Центр обновлений Windows».

Проверка целостности системных файлов через «Командную строку»

Через встроенный инструмент «Командная строка» можно проводить проверку системных файлов на целостность или даже заменять их на новые. Сначала мне нужно открыть ее с правами администратора, и сделать это можно через поиск в панели задач. В строке ввожу одноименный запрос или просто код CMD.

Ввожу запрос и открываю командную строку от имени администратора

Тот же код CMD можно ввести в строке окна «Выполнить».

Вбиваю в поле тот же запрос и нажимаю на ОК

В редакторе вбиваю запрос sfc/scannow и запускаю его нажатием на клавишу Enter.

Сканирование системы через командную строку

Ввожу запрос и нажимаю на клавишу Enter для запуска команды

Проверка будет запущена. Займет она несколько минут – сроки эти зависят от количества установленных приложений и файлов на системном диске. После ее завершения в строке выйдут результаты сканирования и вероятного исправления ошибок.

Восстановление Windows 10

Крайний способ, которым лучше пользоваться только в том случае, если ни один из вышеперечисленных способов не помог и svchost продолжает грузить процессор. Откат стоит делать до того момента, при котором все компоненты работали исправно и никакой перегрузки не наблюдалось.

Запустить программу восстановления можно через окно выполнить, введя в поле «Открыть» запрос rstrui и нажав на клавишу Enter.

Вбиваю в поле нужный запрос и нажимаю на ОК

Тут может возникнуть следующее – сохранение настроек системы не было настроено, и восстанавливать систему не из чего. Об этом нужно подумать заранее, иначе вместо всей положенной операции появится только такое окно.

возможность восстановления системных файлов

Заранее нужно позаботиться о создании точки восстановления.

Есть другой вариант – восстановление через раздел настроек операционной системы. Перейти в «Настройки» возможно нажатием на сочетание клавиш Win + I или через соответствующую иконку с шестеренкой через меню «Пуск».

Открываю параметры системы нажатием на соответствующую иконку

В новом открытом меню перехожу в категорию «Обновление и безопасность».

Перехожу в раздел «Обновление и безопасность»

Потом перехожу к меню «Восстановление», и в разделе «Вернуть компьютер в исходное состояние» нажимаю на кнопку «Начать». Правда, восстановление будет произведено до начального варианта, после установки операционной системы. При необходимости личные данные и файлы можно сохранить.

Перехожу в раздел «Восстановление» и начинаю процедуру

Какие сторонние программы могут помочь?

Для решения неполадок с перегрузкой процессора можно воспользоваться программами от сторонних разработчиков. Их функционал куда шире, чем у встроенного «Диспетчера задач». С помощью некоторых можно отключить службы, почистить реестр или внутреннюю память от временных файлов.

CCleaner

CCleaner отлично справится с очисткой реестра и удалением временных файлов

Этот инструмент прекрасно справляется с очисткой временных файлов системы и настройкой реестра. Интерфейс его достаточно прост – любой желающий, даже если он новичок, быстро разберется, где и что расположено. Скачивается приложение с официального сайта. Для пользователей доступна бесплатная версия с ограниченным функционалом и полная платная.

AnVir Task Manager

AnVir Task Manager поможет контролировать запущенные процессы

В этом бесплатном инструменте предусмотрена поддержка русского языка. С его помощью можно контролировать работу запущенных процессов и провести настройку компьютера. Установщик ее весит мало, скачать его возможно с официального интернет ресурса.

Process Lasso

Программа Process Lasso значительно расширяет функционал «Диспетчера задач»

Платное приложение, усовершенствованная альтернатива «Диспетчеру задач». Через него можно управлять процессами и следить за стабильной работой системы. За лицензию пользователю придется заплатить от 15 до 25 долларов. Интерфейс простой, но новичкам разобраться в нем может быть трудновато, так как русского языка в нем не предусмотрено.

Process Explorer

Приложение Process Explorer дочерней компании Microsoft

Бесплатная программа от дочерней компании корпорации Microsoft. Она тоже отображает информацию о запущенных задачах, только в более расширенном варианте. Также она показывает, какой процесс стоит за конкретным окном. Загрузить утилиту можно с официального сайта Microsoft. При этом она совместима со всеми версиями операционной системы Windows, начиная с XP.

Easy Service Optimizer

Удобная и компактная утилита Easy Service Optimizer

Это прекрасный инструмент для начинающих пользователей ПК. Разобраться в особенностях интерфейса не составит труда. Помимо прочего, в нем поддерживается русский язык. Скачивание доступно с официального сайта разработчика. Архив с файлом весит не больше 500 КБ, а еще его не нужно инсталлировать в систему. При необходимости с помощью кнопки Default можно провести откат до значений по умолчанию.

Заключение

Чрезмерная нагрузка на память и ЦП компьютера процессом svchost.exe может возникать из-за одновременного запуска нескольких приложений в фоне, при забивании памяти или даже ошибках во время запуска. Все эти неполадки можно с легкостью решить как системными, так и сторонними программами. И все равно нужно стараться не задеть важных процессов и служб, иначе система будет давать сбои, и уже тут решением станет ее восстановление или переустановка.

Post Views: 654

Источник

Почему svchost грузит процессор?

Переполнение журнала событий, истории посещений в браузере, файлов cookie и прочих временных папок. Да, если их своевременно не чистить, система не будет работать стабильно.
Одновременный запуск нескольких системных задач с высоким приоритетом или использование ресурсоемких программ (даже в фоновом режиме). Например, обновление софта, базы данных антивируса, свернутый браузер и так далее. Тут речь больше идет о периодических перегрузках, а не постоянной работе на максимальных показателях. С течением времени подобная активность может просто спасть после завершения всех фоновых операций.
Заражение компьютера одним или несколькими вирусными программами. При этом они довольно эффектно маскируются под процесс svchost, и без внимательного наблюдения обнаружить их не так просто. При запуске вирусного софта название исходного процесса может меняться. Чаще просто добавляется или убирается одна буква. Порой и подлинные службы бывают подверженными атакам.
Неправильная установка обновлений операционной системы. Тут может помочь простой откат системы до предыдущей версии. Следующая инсталляция должна пройти куда успешнее.
Перегрев процессора. Если это ПК, то можно выключить его и почистить внутренности от пыли. Желательно, конечно, доверить данную процедуру специалистам, но даже начинающий пользователь при грамотном обращении может провести эту процедуру как надо. Если же это ноутбук, то желательно отключить его на время или приобрести отдельную подставку со специальным вентилятором.
Неполадки с системными файлами. Решаются они проверкой данных ОС на наличие ошибок через утилиту «Командная строка».
Ошибки в реестре. Это очень важная база данных, из которой все установленные программы и сервисы берут информацию. При наличии хотя бы мизерных ошибок система будет работать менее стабильно. Появиться они могут при неправильном удалении некоторых важных приложений.
Неправильная работа одной из служб, записанных под этим именем, которая запускает высокий уровень использования процессора. Часто такое наблюдается в пиратских сборках. Тут надо просто отследить, что это за служба, и отключить ее, если она не нужна.

Как отследить службу через «Диспетчер задач»

Открыть «Диспетчер задач» можно и через строку поиска

Перехожу во вкладку «Подробности» и сортирую приложения по нагрузке на память

Нужно просто вызвать контекстное меню и нажать на пункт перехода к службе

Окно переключится на вкладку «Службы», где нужная служба будет выделена.

После этого выбранный процесс выделится во вкладке «Службы»

Что делать, если svchost грузит процессор на Windows 10?

Перезагрузка компьютера

Сначала закрываю все открытые окна.
Нажимаю на иконку «Пуск» в панели задач.
В левом нижнем углу щелкаю по кнопке питания.

Картинка с сайта: tehnichka.pro

Для выключения нужно лишь нажать иконку в панели «Пуск»
Выбираю один из пунктов – можно «Завершение работы» или «Перезагрузка». В первом варианте необходимо будет потом снова нажать на кнопку питания. Во втором этого делать не нужно – система автоматически выключится и включится.

Выбираю один из двух пунктов
После завершения загрузки системы проверяю, грузит ли svchost процессор и память.

Проверка компьютера антивирусом

Найду иконку в виде щита в разделе скрытых значков панели задач и кликну по ней.

Для открытия встроенного «Защитника Windows» надо лишь нажать на иконку в разделе со скрытыми значками

В новом открытом окне выберу раздел «Защита от вирусов и угроз».

Для начала следует перейти в раздел «Защита от вирусов и угроз»

Можно запустить как стандартное, так и расширенное сканирование

Выбираю нужный вариант и запускаю сканирование

Очистка временных файлов

Открыть ее я могу следующим образом – просто проследовав по пути C:\Users\User\AppData\Local\Temp (обычно если скопировать и вставить его в адресную строку, то она открывается — главное, чтобы имя пользователя совпадало), а также введя %TEMP% в строке проводника.

Перехожу во вкладку Temp и удаляю временные файлы

Если выйдет такое окно, нажимаю на кнопку «Пропустить»

Удаление некоторых системных папок

Некоторым это может помочь, но тут надо действовать осторожно. Для проведения данной процедуры, и даже простого открытия нужных папок, понадобятся административные права. Перехожу в раздел по адресу C:\Windows, ищу папку Prefetch и удаляю ее.

Выделяю все файлы и удаляю их

Потом захожу в раздел System32, нахожу папку Tasks, открываю ее и удаляю содержимое.

Тут тоже выделяю все файлы в папке и удаляю их

После завершения этих процедур перезагружаю компьютер.

Отключение служб

Для начала открою окно со списком служб – сделать это я могу несколькими способами.

Вызвать окно «Выполнить», нажав на комбинацию Win + R или введя в строке поиска Кортаны одноименный запрос.

Окно «Выполнить» можно найти и с помощью поисковика
Ввести в поле «Открыть» запрос services.msc, затем нажать на клавишу Enter или кнопку ОК.

Картинка с сайта: tehnichka.pro

Ввожу запрос в поле и нажимаю на кнопку ОК.
Ввести в строке поиска в панели задач запрос «Службы».

Ввожу в поиске запрос и нажимаю на первый пункт
Открыть диспетчер задач тем же путем, что был указан ранее. Затем перейти в раздел «Службы», найти нужную строчку, вызвать контекстное меню нажатием на правую кнопку мыши и выбрать пункт «Открыть службы».

Картинка с сайта: tehnichka.pro

Еще к службам можно перейти через диспетчер задач

Просто нажав на ссылку «Остановить», которая появляется в левой части при выборе той или иной строчки.

Картинка с сайта: tehnichka.pro

Нажимаю на ссылку в правой части экрана
Вызвать контекстное меню нажатием правой кнопкой мыши по ней и выбрать пункт «Остановить».

Картинка с сайта: tehnichka.pro

Выбираю соответствующий пункт в контекстном меню
Еще в том же разделе можно выбрать пункт «Свойства».

Картинка с сайта: tehnichka.pro

Перехожу в свойства службы

Меняю тип запуска, останавливаю утилиту и применяю все параметры

Остановить службу можно и через «Диспетчер задач»

Те же действия могут быть применимы к службе «Центр обновлений Windows».

Проверка целостности системных файлов через «Командную строку»

Ввожу запрос и открываю командную строку от имени администратора

Тот же код CMD можно ввести в строке окна «Выполнить».

Вбиваю в поле тот же запрос и нажимаю на ОК

В редакторе вбиваю запрос sfc/scannow и запускаю его нажатием на клавишу Enter.

Ввожу запрос и нажимаю на клавишу Enter для запуска команды

Восстановление Windows 10

Вбиваю в поле нужный запрос и нажимаю на ОК

Заранее нужно позаботиться о создании точки восстановления.

Открываю параметры системы нажатием на соответствующую иконку

В новом открытом меню перехожу в категорию «Обновление и безопасность».

Перехожу в раздел «Обновление и безопасность»

Перехожу в раздел «Восстановление» и начинаю процедуру

Какие сторонние программы могут помочь?

CCleaner

CCleaner отлично справится с очисткой реестра и удалением временных файлов

AnVir Task Manager

AnVir Task Manager поможет контролировать запущенные процессы

Process Lasso

Программа Process Lasso значительно расширяет функционал «Диспетчера задач»

Process Explorer

Приложение Process Explorer дочерней компании Microsoft

Easy Service Optimizer

Удобная и компактная утилита Easy Service Optimizer

Заключение

Post Views: 1 207

Источник

Table of Contents
. What is SvcHost?
. SvcHost and Windows 7
. SvcHost in Windows 10
. Using SysInternals Process Monitor to understand Service Host
. SvcHost parameters and Registry
. Checking Service Host for security threats
. Check if svchost.exe is legit
. Check the parent process of svchost.exe
. What can go wrong with legit Service Host?

Affiliate: Experience limitless no-code automation, streamline your workflows, and effortlessly transfer data between apps with Make.com.

Got an alert from our EDR regarding execution of the “svchost.exe” via Command Line.
What is “svchost”? Basically, this is shared process for hosting Windows Services, hence the name SvcHost (Service Host). There can be one service or a group of services under one instance of “svchost.exe”.

SvcHost and Windows 7

The problem? In Windows 7 in Task Manager under [Processes] tab you would see number of “svchost.exe” instances with description of “Host Process for Windows Services”. No indication of what service or services are running. Off course you can add the Command Line column:

Task Manager => [View] => Select Columns
    [V] Command Line
    [OK]

And you will see the CMDs of the services. For example:

C:\Windows\system32\svchost.exe -k DcomLaunchC:\Windows\system32\svchost.exe -k WerSvcGroupC:\Windows\system32\svchost.exe -k netsvc

In Task Manager you can

RightClick svchost.exe => Go to Service(s)

You will be redirected to the [Services] tab and the service that is running under this specific svchost will be shown.
Another way is to run a Command line, which will show you all the instances of svchost.exe and what services are running under it:

tasklist /SVC /fi “imagename eq svchost.exe”

SvcHost in Windows 10

In Windows 10 after build 1703, there’s only one service per svchost running if you have more than 3.5 GB of memory. In Task Manager under [Processes] tab you will see “Service Host: Background Intelligent Transfer Service”. Which makes it a lot easier to understand.

To know which Command line is responsible for which service, you can goto the services:

[Win] + [R] => services.msc => [OK]

Double Clicking the service will open its window. Let’s say that for example you’ve opened “Windows Time”. In the [General] tab you will see:

Service name: W32Time
Display name: Windows Time
Path to executable:
C:\Windows\system32\svchost.exe -k LocalService

Path to executable is how this service is executed. As you can see it is a Command line that executes “svchost.exe” with “-k” switch and the name of the service or a group of services (in this case “LocalService”, which is a group). In Windows 10 there were more switches added. Example of “WebClient” after execution:

C:\WINDOWS\system32\svchost.exe -k LocalService -p -s WebClient

“-s” used for “service name” and “WebClient” as in any service is the actual name of the service as it is written in the properties of the service. You won’t see this in service properties.

Using SysInternals Process Monitor to understand Service Host

Process Monitor from SysInternals Suite can be used (and not only for svchost).

Download it and “Run as Administrator” (in Windows 10 you won’t see any info without it).
After you run it, you will see all the processes in your system. To simplify the view:

[View] => Select Columns…
    [V] User Name
    [V] Command Line
    [OK]

This will add the “User Name” responsible for all the executables and the “Command Line” that ran it. Now you will see the exact command also in Windows 10.
Double Clicking any “svchost.exe” line will show you all the needed information.
[Image] tab will show you the Version of the executable, File location, Command line it was executed with, Parent process that executed this current process that you opened, User that executed this process. If the process is a service, you will see that it has [Services] tab. Inside this tab you will see the name of the services that this process runs or the paths to DLL files that this svchost.exe is running.

SvcHost parameters and Registry

What happens when the svchost is launched with a parameter?
Svchost.exe navigates in the registry to:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

Then the key with the name of the parameter is opened, like “LocalService”. If you open this key in Windows 10 most likely you will see the next list:

nsi
WdiServiceHost
w32time
EventSystem
RemoteRegistry
SstpSvc
netprofm
lltdsvc
FontCache
fdphost
bthserv
LicenseManager
bthavctpsvc
tzautoupdate
WpcMonSvc
SEMgrSvc
WinHttpAutoProxySvc
CDPSvc
workfolderssvc
PhoneSvc
DispBrokerDesktopSvc
SharedRealitySvc
CaptureService
WebClient

These are all the services that will run after command execution under this specific instance of svchost.exe. Let’s take for example “w32time”. After that all the services in this list will be run from the registry location:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Each service with its key name, in our case:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time

The path to the service DLL will be in the Parameters path:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

In the “ServiceDll” key. So, the DLL from that path will run under svchost.exe. This will be done for all the services from the list of the “LocalService” group.

Parent process is the process that executes the svchost.exe itself. In a regular environment it Is always will be “services.exe” and some service account with the SID of S-1-5-18 (NT AUTHORITY\SYSTEM), S-1-5-19 (NT AUTHORITY\LOCAL SERVICE), S-1-5-20 (NT AUTHORITY\NETWORK SERVICE), which are reserved for system accounts. You can find the full list of Security Identifiers in Microsoft Support – Windows known SIDs.
You can read more about LocalSystem, LocalService, NetworkService accounts on their relative pages in Microsoft Docs.

In two words:
LocalSystem is a SYSTEM account that runs mostly OS core executables and services,
LocalService runs local services (there are also services that are executables and not DLLs, like “FontCache”),
NetworkService runs local services that are related mostly to network activities.
User SIDs that start with “S-1-5-21” will most likely be the domain users or local users on a computer. To find out whom the SID belongs, you can navigate in the registry to:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\

Select your user that starts with “S-1-5-21-“ and check for the value of the key that is called “ProfileImagePath”. The value will be the path to the user’s folder on your computer like

C:\Users\YourUsersName

The local regular user (even if he is an administrator on the host) that logged in interactively – can’t run svchost.exe by design. So, if you run any command of the service (like the one for WebClient: C:\WINDOWS\system32\svchost.exe -k LocalService -p -s WebClient) nothing will happen. It will run for a second or two and terminate. Two of the standard methods of executing a service (that is not running) is from Services console (services.msc) and with Command line of the file

C:\Windows\System32\sc.exe

The commands to start and stop a service (for example WebClient):

sc start webclientsc stop webclient

In the second case you must run CMD with Administrative privileges. In both cases the Parent Process of this instance of “svchost.exe” will still be “services.exe”.

Checking Service Host for security threats

So, what is the issue from the security point of view?
1. Svchost.exe is not legit
2. Parent process of the svchost.exe is not legit
3. Svchost.exe is legit, but its usage is not or being compromised

Check if svchost.exe is legit

1. Process Monitor:

Run “Process Monitor” as Administrator => [View]
    [V] Command Line
    [V] User Name
    [OK]

2. Find the “svchost.exe” that you think is problematic => DoubleClick it => Goto [Image] tab
3. Check that the User Name in “User:” is one of the System accounts from above and not the Regular user account.
*** If a regular user account is running it then svchost.exe that is running doesn’t belong to system core and most likely is compromised!

4. Check that svchost.exe is running from “C:\Windows\System32”, look at the “Path:”. It should be “C:\Windows\System32\svchost.exe”.
*** If it is anything else, then your svchost.exe is compromised!

5. Check the file Hash over known services (the best way for most services is to use SHA256). If you’re using the computer at home, you can upload the file to a service for a check, but it is strongly not advised. If you’re in enterprise environment, you shouldn’t use file upload. Services like VirusTotal and Hybrid-Analysis are Public, so if your organization is targeted, by uploading the file it will be available online in these services and the attacker might know that your organization is aware of the attack.

So, in this case you will need the file Hash and check if it is already in the database of these services. If it is not, better use paid service like ThreatGrid From Cisco, which is Private for your organization (though there is still a way to know if a file hash is in ThreatGrid without having an account, you just won’t see any details regarding the investigation).

5.1. Run “powershell.exe”
5.1.1. [Win] + [R] will show you the “Run” window. Execute there

powershell.exe

and it will open you the powershell window.
5.2. Execute “Get-FileHash” cmdlet over “svchost.exe”:

Get-FileHash c:\windows\system32\svchost.exe

Or you can write “Get-FileHash” hit [Space] and drag the svchost.exe file in question (if the path to the file is not standard).
5.2.2. When you hit [Enter] you will see the “Algorithm” column (which by default is SHA256). Under the “Hash” column you will find your hash. Select the hash and hit [Enter], the hash will be copied to clipboard.

5.3. Goto VirusTotal Malware Databse (this is Public database of malicious file results over different engines)
5.3.1. You will be redirected to [Search] option, which is responsible to Search in VirusTotal database for Hashes (also URLs, domains, IPs).
5.3.2. Paste your Hash from the clipboard and hit [Enter]
5.3.3. If the results were found and it is green circle with 0 engines, it is a legit file, if it is not, you will see what the problem is in the [Details] tab.
*** If there are engines that found that your Hash is malicious – it might be!

5.4. Goto Hybrid-Analysis Sandbox (Public sandbox for malware analysis).
5.4.1. Goto [Report Search] tab, which is responsible for Hash search (also you can search by IP or Domain).
5.4.2. Paste your hash and hit [Enter] and check for the results.

5.5. Another site is Talos, which is part of Cisco intelligence. Talos connects to Cisco ThreatGrid sandbox database and shows if there is already an analysis of the file in ThreatGrid. Off course you will need ThreatGrid account in order to see the analysis itself. Talos File Reputation only works with SHA256 Hashes. Goto Cisco Talos File Reputation.
5.5.1. Paste you Hash, check that you’re not a robot
5.5.2. If the file is in the database you will be provided with the link to ThreatGrid login page and after login you should see any information about it, if the user that uploaded it made it public to the ThreatGrid users. By default, all the submissions are Private.

*** If you can’t find the hash of your svchost.exe file in any of the databases, most probably that it is malicious and the virus is new or you’re Operating System was updated recently, but in case of the update it should get very quick to the databases as it is a core process. Any way beware.

Check the parent process of svchost.exe

We need to find the parent process of our “svchost.exe”:
6. Return to “Process Monitor” that you left in stage 4.
6.1. Find the Parent process. It should be “services.exe”.
6.2. If you still have the svchost.exe window opened, check in the [Image] tab in “Parent:” option.
*** If it is not “services.exe” it is definitely malicious!
7. Close the window of your svchost.exe in question and find all the instances of “services.exe” in Process Monitor. Follow the same pattern that we did for “svchost.exe” from stage 1 to 5. There should be only 1 instance of “services.exe” though.

What can go wrong with legit Service Host?

If you’re using EDR software in Enterprise environment, you will see all the details prior to svchost execution in the logs. You should check for previous activities of “sc.exe” commands, like “sc create” (or “sc.exe create”) and registry changes in the keys that were stated above. This can indicate some messing around with svchost. With “sc create” you can create any service that you like including malicious executables. Some info about “sc.exe” Command Line Tool and “sc create” Command Switch can be found on Microsoft site.

Источник

Предупреждение: данный процесс подразумевает некоторую степень риска, а потому желательно иметь хотя бы общее представление о том, что мы собираемся сделать.

DHCP-клиент (DHCP Client)
Управляет конфигурацией сети посредством регистрации и обновления IP-адресов и DNS-имен
Имя службы: Dhcp
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Многие DSL или кабельные подключения требуют эту службу для предоставления доступа в Интернет. Если вы отключите эту службу и ваше Интернет соединение перестанет работать, то верните режим — Авто. В моей конфигурации эта служба в режиме — Вручную

DNS-клиент (DNS Client)
Разрешает для данного компьютера DNS-имена в адреса и помещает их в кэш.
Имя службы: Dnscache
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k NetworkService
Если служба остановлена, не удастся разрешить DNS-имена и разместить службу каталогов Active Directory контроллеров домена. Если данная служба неразрешена, не удастся запустить любые явно зависимые службы. Рекомендуемый режим — Авто. Хотя у меня режим — Вручную

MS Software Shadow Copy Provider (MS Software Shadow Copy Provider)
Управляет теневыми копиями, полученными при помощи теневого копирования тома.
Имя службы: SwPrv
Исполняемый файл или название процесса: C:\WINDOWS\system32\dllhost.exe /Processid:{C955AE18-46FF-4919-9457-DA8F44302902}
Если служба будет остановлена, не будет возможности управлять теневыми копиями. Если служба будет отключена, не удастся запустить все явно зависимые службы. Рекомендуемый режим — Вручную

NetMeeting Remote Desktop Sharing (NetMeeting Remote Desktop Sharing)
Разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя NetMeeting.
Имя службы: mnmsrvc
Исполняемый файл или название процесса: C:\WINDOWS\system32\mnmsrvc.exe
Если эта служба остановлена, удаленное управление рабочим столом недоступно. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Собственная безопасность дороже, поэтому режим — Отключено

Plug and Play (Plug and Play)
Позволяет компьютеру распознавать изменения в установленном оборудовании и подстраиваться под них, либо не требуя вмешательства пользователя, либо сводя его к минимуму.
Имя службы: PlugPlay
Исполняемый файл или название процесса: C:\WINDOWS\system32\services.exe
Остановка или отключение этой службы может привести к нестабильной работе системы. Никогда не отключайте эту службу. Режим всегда — Авто

QoS RSVP (QoS RSVP)
Обеспечивает рассылку оповещений в сети и управление локальным трафиком для QoS-программ и управляющих программ
Имя службы: RSVP
Исполняемый файл или название процесса: C:\WINDOWS\system32\rsvp.exe
Рекомендуемый режим — Отключено

Telnet (Telnet)
Позволяет удаленному пользователю входить в систему и запускать программы, поддерживает различных клиентов TCP/IP Telnet, включая компьютеры с операционными системами UNIX и Windows.
Имя службы: TlntSvr
Исполняемый файл или название процесса: C:\WINDOWS\system32\tlntsvr.exe
Если эта служба остановлена, то удаленный пользователь не сможет запускать программы. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Зачем мне удаленный пользователь? Рекомендуемый режим — Отключено

Windows Audio (Windows Audio)
Управление звуковыми устройствами для Windows-программ
Имя службы: AudioSrv
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Если эта служба остановлена, звуковые устройства и эффекты не будут работать должным образом. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Рекомендуемый режим — Авто

Автоматическое обновление (Automatic Updates)
Включает загрузку и установку ключевых обновлений Windows в автоматическом режиме.
Имя службы: wuauserv
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Данная служба необходима для безопасности и исправления ошибок операционной системы но поддержка Windows XP прекращена и поэтому ставим режим — Отключено

Автонастройка проводного доступа
Данная служба выполняет проверку подлинности IEEE 802.1X для интерфейсов Ethernet.
Имя службы: Dot3svc
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k dot3svc
Данная служба необходима для безопасности и поэтому ставим режим — Вручную

Агент защиты доступа к сети
Позволяет клиентам Windows принимать участие в защите доступа к сети.
Имя службы: napagent
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Данная служба необходима для безопасности компьютера и поэтому ставим режим — Вручную

Адаптер производительности WMI (WMI Performance Adapter)
Предоставляет информацию о библиотеках производительности от поставщиков WMI HiPerf. Похоже, имеет отношение к т.н. Perfomance Counters — системе предоставления информации о загрузке памяти, ресурсов, различных устройств и пр.
Имя службы: WmiApSrv
Исполняемый файл или название процесса: C:\WINDOWS\system32\wbem\wmiapsrv.exe
Необходимо лишь для специфического софта, поэтому — Отключено

Беспроводная настройка (Wireless Zero Configuration)
Предоставляет автоматическую настройку 802.11 адаптеров.
Имя службы: WZCSVC
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Если к компьютеру не подключено адаптеров беспроводной связи, то — Отключено

Брандмауэр Windows/Общий доступ к Интернету (ICS)
Обеспечивает поддержку служб трансляции адресов, адресации и разрешения имен или предотвращает вторжение служб в домашней сети или сети небольшого офиса.
Имя службы: SharedAccess
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
При использовании стороннего продукта для защиты компьютера, например Outpost firewall, Norton Personal Firewall, ZoneAlarm и т.п, то рекомендуется режим — Отключено

Веб-клиент (WebClient)
Позволяет Windows-программам создавать, получать доступ и изменять файлы, хранящиеся в Интернете.
Имя службы: WebClient
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k LocalService
Полезных функций в данной службе не усмотрено, поэтому режим — Отключено

Вторичный вход в систему (Secondary Logon)
Позволяет запускать процессы от имени другого пользователя. Если эта служба остановлена, этот тип регистрации пользователя недоступен
Имя службы: seclogon
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Эта службу желательно поставить в режим — Отключено

Диспетчер авто-подключений удаленного доступа (Remote Access Auto Connection Manager)
Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS-имени или адресу.
Имя службы: RasAuto
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Данная служба может быть необходима для функционирования вашего Интернет соединения. Выставляем — Вручную

Диспетчер логических дисков (Logical Disk Manager)
Обнаружение и наблюдение за новыми жесткими дисками и передача информации о томах жестких дисков службе управления диспетчера логических дисков
Имя службы: dmserver
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Если эта служба остановлена, состояние динамических дисков и информация о конфигурации может оказаться устаревшей. Выставляем — Вручную

Диспетчер очереди печати (Print Spooler)
Диспетчер очереди печати является ключевым компонентом системы печати в Windows. Он управляет очередями печати в системе, а также взаимодействует с драйверами принтеров и компонентами ввода-вывода, например USB-портами и протоколами семейства TCP/IP.
Имя службы: Spooler
Исполняемый файл или название процесса: C:\WINDOWS\system32\spoolsv.exe
Если у Вас не установлено ни одного принтера, выставляем — Отключено

Диспетчер подключений удаленного доступа (Remote Access Connection Manager)
Создает сетевое подключение
Имя службы: RasMan
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Данная служба необходима, если вы используете общий доступ к Интернету. Выставляем — Вручную

Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager)
Управляет возможностями удаленного помощника.
Имя службы: RDSessMgr
Исполняемый файл или название процесса: C:\WINDOWS\system32\sessmgr.exe
Так как в услугах удаленного помощника я не нуждаюсь, то выставляем — Отключено

Диспетчер сетевого DDE (Network DDE DSDM)
Управляет сетевыми общими ресурсами динамического обмена данными (DDE).
Имя службы: NetDDE dsdm
Исполняемый файл или название процесса: C:\WINDOWS\system32\netdde.exe
Если вы не используете Сервер папки обмена (ClipBook), режим — Отключено

Диспетчер учетных записей безопасности (Security Accounts Manager)
Хранит информацию о безопасности для учетной записи локального пользователя
Имя службы: SamSs
Исполняемый файл или название процесса: C:\WINDOWS\system32\lsass.exe
Данная служба необходима для IIS Admin (IIS Admin). Рекомендуется — Авто

Доступ к HID-устройствам (Human Interface Device Access)
Обеспечивает универсальный доступ к HID-устройствам (Human Interface Devices), который активизирует и поддерживает использование заранее определенных клавиш быстрого вызова на клавиатуре, устройствах управления или иных устройствах мультимедиа
Имя службы: HidServ
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe
Если нет никаких проблем после отключения, то режим — Отключено

Журнал событий (Event Log)
Обеспечивает поддержку сообщений журналов событий, выдаваемых Windows-программами и компонентами системы, и просмотр этих сообщений
Имя службы: Eventlog
Исполняемый файл или название процесса: C:\WINDOWS\system32\services.exe
Эта служба не может быть остановлена. Данная служба помогает определить сбойные программы, которые вызывают ошибки при работе операционной системы. Рекомендуется режим — Авто

Журналы и оповещения производительности (Performance Logs and Alerts)
Управляет сбором данных о производительности с локального или удаленных компьютеров, выполняемым на основе заданного расписания, и обеспечивает запись этих данных в журналы или инициирует оповещение.
Имя службы: SysmonLog
Исполняемый файл или название процесса: C:\WINDOWS\system32\smlogsvc.exe
Если Вы не собираетесь делать сбор данных о производительности, то режим — Отключено

Запуск серверных процессов DCOM
Обеспечивает запуск для служб DCOM.
Имя службы: DcomLaunch
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost -k DcomLaunch
Важная служба для сетевых протоколов, оставляем тип запуска — Авто

Защищенное хранилище (Protected Storage)
Обеспечивает защищенное хранение секретных данных, таких, как закрытые ключи, для предотвращения несанкционированного доступа служб, процессов или пользователей.
Имя службы: ProtectedStorage
Исполняемый файл или название процесса: C:\WINDOWS\system32\lsass.exe
Если Вам приходится работать с зашифрованными данными и ключами от различных программ, то режим — Авто.

Инструментарий управления Windows (Windows Management Instrumentation)
Предоставляет общий интерфейс и объектную модель для доступа к информации об управлении операционной системой, устройствами, приложениями и службами
Имя службы: Winmgmt
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
После остановки данной службы многие Windows-приложения могут работать некорректно. При отключении данной службы зависимые от нее службы не смогут быть запущены. Рекомендуется режим — Авто

Источник бесперебойного питания (Uninterruptible Power Supply)
Управляет работой источников бесперебойного питания (ИБП), подключенных к компьютеру.
Имя службы: UPS
Исполняемый файл или название процесса: C:\WINDOWS\System32\ups.exe
Если источника бесперебойного питания нет, то и режим — Отключено

Клиент отслеживания изменившихся связей (Distributed Link Tracking Client)
Поддерживает связи NTFS-файлов, перемещаемых в пределах компьютера или между компьютерами в домене.
Имя службы: TrkWks
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Для данной службы можно выставить режим — Вручную

Координатор распределенных транзакций (Distributed Transaction Coordinator)
Координация транзакций, охватывающих несколько диспетчеров ресурсов, таких как базы данных, очереди сообщений и файловые системы.
Имя службы: MSDTC
Исполняемый файл или название процесса: C:\WINDOWS\system32\msdtc.exe
Если данная служба остановлена, такие транзакции выполнены не будут. Если данная служба отключена, все явно зависящие от нее службы не смогут запуститься. Рекомендуется режим — Вручную

Локатор удаленного вызова процедур (RPC) (Remote Procedure Call Locator)
Системная служба локатора удаленного вызова процедур управляет базой данных службы имен RPC.
Имя службы: RpcLocator
Исполняемый файл или название процесса: C:\WINDOWS\system32\locator.exe
Если есть сетевое подключение, то режим — Вручную

Маршрутизация и удаленный доступ (Routing and Remote Access)
Предлагает услуги маршрутизации организациям в локальной и глобальной сетях.
Имя службы: RemoteAccess
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Данная служба необходима, если вы хотите разрешить входящие подключения к вашему компьютеру с помощью модема (или других устройств) для получения доступа к вашей локальной сети. Рекомендуется в целях повышения безопасности режим — Отключено

Модуль поддержки NetBIOS через TCP/IP (TCP/IP NetBIOS Helper Service)
Включает поддержку службы NetBIOS через TCP/IP (NetBT) и разрешения NetBIOS-имен в адреса. Данная служба необходима для нормальной поддержки NetBIOS через TCP/IP.
Имя службы: LmHosts
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k LocalService
Рекомендуется режим — Авто. Если ваша сеть не использует NetBIOS или WINS, или сети нет вообще, то — Отключено

Модуль поддержки смарт-карт (Smart Card Helper)
Обеспечивает поддержку для старых устройств чтения смарт-карт (без PnP).
Имя службы: SCardDrv
Исполняемый файл или название процесса: SCardSvr.exe
Если вы не используете смарт-карты, то режим — Отключено.

Обозреватель компьютеров (Computer Browser)
Обслуживает список компьютеров в сети и выдает его программам по запросу.
Имя службы: Browser
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
У кого есть локальная сеть то — Авто
Если сети нет, то можно спокойно перевести в режим — Отключено

Оповещатель (Alerter)
Посылает выбранным пользователям и компьютерам административные оповещения.
Имя службы: Alerter
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k LocalService
Если служба остановлена, программа, использующая административные оповещения их не получит. Если данная служба неразрешена, не удастся запустить любые явно зависимые службы. Мне эта служба не нужна, поэтому режим — Отключено

Определение оборудования оболочки (Shell Hardware Detection)
Предоставляет уведомления для событий автоматического воспроизведения или выполнения «Автозапуск».
Имя службы: ShellHWDetection
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
В последнее время чрезвычайно широко распространены вирусы, использующие файл autorun.inf для автозапуска со съемных носителей, поэтому ставим — Отключено

Планировщик заданий (Task Scheduler)
Позволяет настраивать расписание автоматического выполнения задач на этом компьютере.
Имя службы: Scheduler
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Если Вы не планируете запуск в определенное время программ, то режим — Отключено

Поставщик поддержки безопасности NT LM (NT LM Security Support Provider)
Обеспечивает безопасность программам, использующим удаленные вызовы процедур (RPC) через транспорты, отличные от именованных каналов.
Имя службы: NtLmSsp
Исполняемый файл или название процесса: C:\WINDOWS\system32\lsass.exe
Данная служба необходима при использовании Message Queuing или Telnet сервера. Рекомендуется режим — Вручную

Протокол HTTP SSL (Protocol HTTP SSL)
Эта служба обеспечивает безопасный протокол передачи данных гипертекста (HTTPS) для службы HTTP, используя SSL (Secure Socket Layer).
Имя службы: HTTPFilter
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k HTTPFilter
Данная служба отвечает за безопасную передачи данных по зафифрованному протоколу SSL на проверенных сайтах тип запуска — Вручную

Рабочая станция (Workstation)
Обеспечивает поддержку сетевых подключений и связь.
Имя службы: lanmanworkstation
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Если служба остановлена, программа, данные подключения будут недоступны. Если данная служба неразрешена, не удастся запустить любые явно зависимые службы. Рекомендуемый режим — Авто

Расширения драйверов WMI (Windows Management Instrumentation Driver Extension)
Обеспечивает обмен управляющей информацией с устройствами
Имя службы: Wmi
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Режим для данной службы — Вручную

Сервер (Server)
Обеспечивает поддержку общий доступ к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение.
Имя службы: lanmanserver
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
У кого есть локальная сеть то — Авто
Если сети нет, то можно спокойно перевести в режим — Отключено

Сервер папки обмена (ClipBook)
Позволяет просматривать страницы папок обмена удаленных компьютеров.
Имя службы: ClipSrv
Исполняемый файл или название процесса: C:\WINDOWS\system32\clipsrv.exe
Если эта служба остановлена, программа просмотра страниц папок обмена не может обмениваться информацией с удаленными компьютерами. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Данная служба у меня в режиме — Отключено

Сетевой вход в систему (Net Logon)
Поддерживает сквозную идентификацию событий входа учетной записи для компьютеров домена.
Имя службы: Netlogon
Исполняемый файл или название процесса: C:\WINDOWS\system32\lsass.exe
Данную службу можно перевести в режим — Отключено

Сетевые подключения (Network Connections)
Управляет объектами папки Сеть и удаленный доступ к сети, отображающей свойства локальной сети и подключений удаленного доступа.
Имя службы: Netman
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Данная служба необходима для поддержки сетевых соединений. Рекомендуется режим — Вручную

Система событий COM+ (COM+ Event System)
Поддержка службы уведомления о системных событиях (SENS), обеспечивающей автоматическое распространение событий подписавшимся компонентам COM.
Имя службы: EventSystem
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Если данная служба остановлена, SENS будет закрыта и не сможет предоставлять уведомления входа и выхода. Если данная служба отключена, все явно зависящие от нее службы не смогут запуститься. Рекомендуемый режим — Вручную

Системное приложение COM+ (COM+ System Application)
Управление настройкой и отслеживанием компонентов COM+.
Имя службы: COMSysApp
Исполняемый файл или название процесса: C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
Если данная служба остановлена, большинство компонентов COM+ не будет работать правильно. Если данная служба отключена, все явно зависящие от нее службы не смогут запуститься. Рекомендуемый режим — Вручную

Служба COM записи компакт-дисков IMAPI (IMAPI CD-Burning COM Service)
Данная служба осуществляет управление записью компакт-дисков с помощью IMAPI (Image Mastering Applications Programming Interface).
Имя службы: ImapiService
Исполняемый файл или название процесса: C:\WINDOWS\system32\imapi.exe
Если стоит популярный пакет для записи дисков Nero, то зачем нужна эта служба? Правда, в журнале событий после каждого запуска системы остаются красные отметки, но это исправимо: Администрирование — Службы компонентов — Корень консоли — Службы компонентов — Компьютеры — Мой компьютер — Настройка DCOM — Microsoft IMAPI. Далее «Свойства», вкладка «Расположение», убираем галочку «Запустить приложение на данном компьютере». Для данной службы режим — Отключено

Служба администрирования диспетчера логических дисков (Logical Disk Manager Administrative Service)
Выполняет настройку жестких дисков и томов.
Имя службы: dmadmin
Исполняемый файл или название процесса: C:\WINDOWS\System32\dmadmin.exe /com
Эта служба выполняется только во время процессов настройки конфигурации, а затем останавливается. Рекомендуемый режим — Вручную

Служба восстановления системы (System Restore Service)
Выполняет функции восстановления системы. Чтобы остановить данную службу, следует отключить восстановление системы на вкладке Восстановление системы, в которую можно попасть, нажав правой кнопкой мыши на ярлыке Мой компьютер на рабочем столе и выбрав пункт Свойства
Имя службы: srservice
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Конечно отключение данной службы повлияет на производительность, но при сбоях в работе системы или после вирусной активности всегда можно выполнить восстановление раннего состояния системы. Так что я рекомендую тип запуска — Авто.

Служба времени Windows (Windows Time)
Управляет синхронизацией даты и времени на всех клиентах и серверах в сети.
Имя службы: W32Time
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Если эта служба остановлена, синхронизация даты и времени не будет доступна. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Выставляем режим — Авто

Служба загрузки изображений (WIA) (Windows Image Acquisition)
Обеспечивает службы получения изображений со сканеров и цифровых камер.
Имя службы: stisvc
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k imgsvc
Выставляем режим — Вручную

Служба индексирования (Indexing Service)
Индексирует содержимое и свойства файлов на локальном и удаленных компьютерах, обеспечивает быстрый доступ к файлам с помощью гибкого языка запросов.
Имя службы: cisvc
Исполняемый файл или название процесса: C:\WINDOWS\system32\cisvc.exe
Система индексирования может включиться не только во время простоя компьютера, но и в любое самое неподходящее время. Данную службу переводим в режим — Отключено

Служба обеспечения сети
Управляет XML-файлами конфигурации на базе домена для автоматического обеспечения поддержки сети.
Имя службы: xmlprov
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Тип запуска для данной службы оставляем — Вручную

Служба обнаружения SSDP (SSDP Discovery Service)
Включить обнаружение UPnP-устройств в домашней сети.
Имя службы: SSDPSRV
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k LocalService
Данную службу отключаем. Режим — Отключено

Служба протокола EAP
Позволяет клиентам Windows использовать службу протокола EAP
Имя службы: EapHost
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k eapsvcs
Тип запуска для данной службы оставляем — Вручную

Служба регистрации ошибок (Error Reporting Service)
Позволяет регистрировать ошибки для служб и приложений, выполняющихся в нестандартной среде.
Имя службы: ERSvc
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
При возникновении ошибки служба отправляет информацию в корпорацию Microsoft. Мне такая служба не нужна — Отключено

Служба серийных номеров переносных устройств мультимедиа
Получает серийный номер переносного проигрывателя мультимедиа, подключенного к этому компьютеру.
Имя службы: WmdmPmSp
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Если эта служба остановлена, то защищенное содержимое может не загружаться на устройство. Оставим эту службу в режиме — Вручную

Служба сетевого DDE (Network DDE)
Обеспечивает сетевой транспорт и безопасность для динамического обмена данными (DDE) для программ, выполняющихся на одном или на различных компьютерах.
Имя службы: NetDDE
Исполняемый файл или название процесса: C:\WINDOWS\system32\netdde.exe
Если Ds не используете Сервер папки обмена (ClipBook), то режим — Отключено

Служба сетевого расположения (NLA) (Network Location Awareness)
Данная служба собирает и хранит сведения о размещении и настройки сети, а также уведомляет приложения об их изменении
Имя службы: Nla
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Рекомендуемый режим — Вручную

Служба сообщений (Messenger)
Посылает и получает сообщения, переданные администраторами или службой оповещений. Данная служба не имеет отношения к программа Windows Messenger.
Имя службы: Messenger
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Если Вы не используете Windows Messenger, то рекомендуемый режим — Отключено

Служба управления сертификатами и ключами работоспособности
Управляет сертификатами и ключами работоспособности (которые используются для защиты доступа к сети)
Имя службы: hkmsvc
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Рекомендуемый режим — Вручную

Служба шлюза уровня приложения (Application Layer Gateway Service)
Предназначена для поддержки подключаемых модулей, которые позволяют сетевым протоколам проходить через брандмауэр и функционировать в случае использования общего доступа к подключению Интернета.
Имя службы: ALG
Исполняемый файл или название процесса: C:\WINDOWS\System32\alg.exe
Рекомендуемый режим — Вручную

Службы IPSEC (IPSEC Services)
Управляет политикой IP-безопасности и запускает ISAKMP/Oakley (IKE) и драйвер IP-безопасности.
Имя службы: PolicyAgent
Исполняемый файл или название процесса: C:\WINDOWS\system32\lsass.exe
На домашнем компьютере данную службу можно — Отключить

Службы криптографии (Cryptographic Services)
Предоставляет три службы управления: службу баз данных каталога, которая проверяет цифровые подписи файлов Windows; службу защищенного корня, которая добавляет и удаляет сертификаты доверенного корня центра сертификации с этого компьютера; и службу ключей, которая позволяет подавать заявки на сертификаты с этого компьютера.
Имя службы: CryptSvc
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Если эта служба остановлена, все эти службы управления не будут работать. По сути, эта служба проверяет подписи файлов Windows. Рекомендуемый режим — Авто

Службы терминалов (Terminal Services)
Данная служба предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов.
Имя службы: TermService
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost -k DComLaunch
Рекомендуемый режим для этой службы — Вручную

Смарт-карты (Smart Card)
Данная служба управляет доступом к устройствам чтения смарт-карт.
Имя службы: SCardSvr
Исполняемый файл или название процесса: C:\WINDOWS\System32\SCardSvr.exe
Если эта служба остановлена, этот компьютер не сможет считывать смарт-карты. Мне это не надо — Отключено

Совместимость быстрого переключения пользователей (Fast User Switching Compatibility)
Данная служба осуществляет управление приложениями, которые требуют поддержки в многопользовательской среде.
Имя службы: FastUserSwitching Compatibility
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Службу имеет смысл включить, если в вашей системе работает несколько пользователей, в противном случае нет необходимости в запуске этой службы. Если вы все-таки решили включить службу, то она позволит переключаться между пользователями без закрытия работающих программ, что бывают очень удобно. Рекомендуемый режим — Вручную

Справка и поддержка (Help and Support)
Обеспечивает возможность работы центра справки и поддержки на этом компьютере.
Имя службы: helpsvc
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Данная служба необходима для запуска справочных документов Microsoft. Рекомендуемый режим — Вручную

Съемные ЗУ (Removable Storage)
Данная служба управляет съемными носителями, дисками и библиотеками. Она необходима для работы со сменными носителями (магнито-оптическими приводами и т.д.).
Имя службы: NtmsSvc
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Если у вас стали возникать проблемы (перестал работать автозапуск и т.д.) с вашими CD-ROM, DVD-ROM и т.д., то поставьте значение Авто. Рекомендуемый режим — Вручную

Телефония (Telephony)
Обеспечивает поддержку Telephony API (TAPI) для программ, управляющих телефонным оборудованием и голосовыми IP-подключениями на этом компьютере, а также через ЛВС — на серверах, где запущена соответствующая служба.
Имя службы: TapiSrv
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Рекомендуемый режим — Вручную

Темы (Themes)
Управление темами оформления.
Имя службы: Themes
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Если используются темы, то режим — Авто. Меня устраивает классический вид. Режим — Отключено

Теневое копирование тома (Volume Shadow Copy)
Управляет созданием теневых копий (контрольных точек состояния) дисковых томов, которые используются для архивации и восстановления или для иных целей.
Имя службы: VSS
Исполняемый файл или название процесса: C:\WINDOWS\System32\vssvc.exe
Если эта служба остановлена, теневые копии томов для восстановления не будут доступны и архивация и восстановление могут не работать. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Рекомендуемый режим — Вручную

Уведомление о системных событиях (System Event Notification)
Данная служба протоколирует системные события, такие как регистрация в Windows, в сети и изменения в подаче электропитания. Уведомляет подписчиков из разряда COM+ системное событие, рассылая оповещения.
Имя службы: SENS
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Рекомендуемое значение — Авто

Удаленный вызов процедур (RPC) (Remote Procedure Call)
Эту службу можно назвать ключевой в Windows XP, ваша система не будет без нее работать, именно поэтому это единственная служба, которую вы не можете отключить через консоль Службы
Имя службы: RpcSs
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost -k rpcss
Эта служба всегда должна быть в режиме — Авто

Удаленный реестр (Remote Registry Service)
Позволяет удаленным пользователям изменять параметры реестра на этом компьютере
Имя службы: RemoteRegistry
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k LocalService
Данную службу рекомендуется перевести в режим — Отключено

Узел универсальных PnP-устройств (Universal Plug and Play Device Host)
Данная служба обеспечивает поддержку универсальных PnP-устройств узла
Имя службы: UPNPhost
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k LocalService
Рекомендуемый режим — Отключено

Управление приложениями (Application Management)
Обеспечивает службы установки программного обеспечения, такие, как назначение, публикация и удаление.
Имя службы: AppMgmt
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Рекомендуемый режим — Вручную

Установщик Windows
Позволяет добавлять, изменять или удалять приложения, предоставленные пакетом установщика Windows (*.msi). Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.
Имя службы: MSIServer
Исполняемый файл или название процесса: C:\WINDOWS\system32\msiexec.exe /V
Рекомендуемый режим — Вручную

Фоновая интеллектуальная служба передачи (Background Intelligent Transfer Service)
Обеспечивает передачу данных между клиентами и серверами в фоновом режиме.
Имя службы: BITS
Исполняемый файл или название процесса: C:\WINDOWS\system32\svchost.exe -k netsvcs
Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать. Особо и не надо. Режим — Отключено

Центр обеспечения безопасности (Security Center)
Ведет наблюдение за настройками и параметрами безопасности системы.
Имя службы: wscsvc
Исполняемый файл или название процесса: C:\WINDOWS\System32\svchost.exe -k netsvcs
Центр обеспечения безопасности не несет никакой дополнительной функциональности кроме облегчения доступа к настройкам защиты вашего компьютера. Рекомендуемый режим — Отключено

Источник

svchost, почему их так много?

	От:	CryptoPlus Картинка с сайта: www.rsdn.org
Дата:	10.09.04 16:42
	Оценка:

Доброго дня суток!!!

Подскажите плиз, если знаете, почему в виндузе вместо одного svchost.exe наблюдается аж целых три , ну может у когото и два. Если в этом процессе запускаются сервайсы, зачем их размещать по разным однотипным процессам ????

Заранее благодарен !!!

Re: svchost, почему их так много?

	От:	adontz Картинка с сайта: www.rsdn.org	http://adontz.wordpress.com/
Дата:	10.09.04 19:22
	Оценка:

Здравствуйте, CryptoPlus, Вы писали:

Вот все запущенные у меня.

Alerter:
C:\WINDOWS\system32\svchost.exe -k LocalService
COM+ Event System:
C:\WINDOWS\system32\svchost.exe -k netsvcs
Computer Browser:
C:\WINDOWS\system32\svchost.exe -k netsvcs
Cryptographic Services:
C:\WINDOWS\system32\svchost.exe -k netsvcs
DHCP Client:
C:\WINDOWS\system32\svchost.exe -k NetworkService
Distributed Link Tracking Client:
C:\WINDOWS\system32\svchost.exe -k netsvcs
DNS Client:
C:\WINDOWS\system32\svchost.exe -k NetworkService
Error Reporting Service:
C:\WINDOWS\System32\svchost.exe -k WinErr
Help and Support:
C:\WINDOWS\System32\svchost.exe -k netsvcs
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS):
C:\WINDOWS\system32\svchost.exe -k netsvcs
Logical Disk Manager
C:\WINDOWS\System32\svchost.exe -k netsvcs
Network Connections
C:\WINDOWS\System32\svchost.exe -k netsvcs
Network Location Awareness (NLA)
C:\WINDOWS\system32\svchost.exe -k netsvcs
Remote Access Connection Manager
C:\WINDOWS\system32\svchost.exe -k netsvcs
Remote Procedure Call (RPC)
C:\WINDOWS\system32\svchost -k rpcss
Remote Registry
C:\WINDOWS\system32\svchost.exe -k regsvc
Secondary Logon
C:\WINDOWS\System32\svchost.exe -k netsvcs
Server
C:\WINDOWS\system32\svchost.exe -k netsvcs
Shell Hardware Detection
C:\WINDOWS\System32\svchost.exe -k netsvcs
System Event Notification
C:\WINDOWS\system32\svchost.exe -k netsvcs
TCP/IP NetBIOS Helper
C:\WINDOWS\system32\svchost.exe -k LocalService
Telephony
C:\WINDOWS\System32\svchost.exe -k tapisrv
Terminal Services
C:\WINDOWS\System32\svchost.exe -k termsvcs
Themes
C:\WINDOWS\System32\svchost.exe -k netsvcs
Windows Audio
C:\WINDOWS\System32\svchost.exe -k netsvcs
Windows Management Instrumentation
C:\WINDOWS\system32\svchost.exe -k netsvcs
Windows Time
C:\WINDOWS\System32\svchost.exe -k netsvcs
Wireless Configuration
C:\WINDOWS\System32\svchost.exe -k netsvcs
Workstation
C:\WINDOWS\system32\svchost.exe -k netsvcs
World Wide Web Publishing Service
C:\WINDOWS\System32\svchost.exe -k iissvcs

Причём в Task Manager у меня их 9. Остальные 22 прячутся

Re: svchost, почему их так много?

	От:	Valerio Картинка с сайта: www.rsdn.org	linkedin.com/in/boronin
Дата:	11.09.04 05:05
	Оценка:

CP> Подскажите плиз, если знаете, почему в виндузе вместо одного svchost.exe наблюдается аж целых три , ну может у когото и два. Если в этом процессе запускаются сервайсы, зачем их размещать по разным однотипным процессам ????
для экономии системных ресурсов
три это очень мало еще

… << RSDN@Home 1.1.4 @@subversion >>

Valery A. Boronin, RSDN Team, linkedin.com\in\boronin
R&D Mgmt & Security. AppSec & SDL. Data Protection and Systems Programming. FDE, DLP, Incident Management. Windows Filesystems and Drivers.

Re[2]: svchost, почему их так много?

	От:	CryptoPlus Картинка с сайта: www.rsdn.org
Дата:	11.09.04 09:10
	Оценка:

Здравствуйте, adontz, Вы писали:

A>Здравствуйте, CryptoPlus, Вы писали:

A>Вот все запущенные у меня.
A>[list]
…
A>

DHCP Client:
A>C:\WINDOWS\system32\svchost.exe -k NetworkService
…
A>Причём в Task Manager у меня их 9. Остальные 22 прячутся

понятно, а случаем не подскажешь как узнать программно какой сервайс висит в текущем svchost ?
или как получить PID потока в котором запущен DHCP Server ?

Заранее благодарен!!!

Re[3]: svchost, почему их так много?

	От:	butcher Картинка с сайта: www.rsdn.org	http://bu7cher.blogspot.com
Дата:	13.09.04 04:44
	Оценка:	2 (1)

Здравствуйте, CryptoPlus, Вы писали:

CP>понятно, а случаем не подскажешь как узнать программно какой сервайс висит в текущем svchost ?
CP> или как получить PID потока в котором запущен DHCP Server ?
Может попробовать перечислить все прослушиваемые порты и узнать какой ПИД слушает 67 UDP-порт? Начните с

этого

Автор:
Дата: 18.08.04

топика.

Нет ничего невозможного..

Re: svchost, почему их так много?

	От:	TarasCo
Дата:	13.09.04 06:54
	Оценка:

Здравствуйте, CryptoPlus, Вы писали:

CP>Доброго дня суток!!!

CP>Заранее благодарен !!!

Зачем их так много? Если посмотрите, они запущены с разными привелегиями
SYSTEM
LOCAL SERVICE
NETWORK SERVICE
svchost дарит привелегии с которыми он запущен сервису, который в нем «паразитирует»

Есть (по крайней мере под ХР) одна маленькая но гордая птичка — rpcss — она живет в отдельном svchost. Ну RPC — это изветстный «любимчик» майкрософта. Может потому, что слабых и больных детей родители всегда больше любят ?

Кста, должно быть API, позволяющее узнать, какие сервисы живут в данном процессе. Потому что эта хрень умеет это делать:
tasklist /svc
значит и мы можем!!!

Да пребудет с тобою сила

Re[3]: svchost, почему их так много?

	От:	Михаил
Дата:	01.10.04 01:03
	Оценка:

как вариант
копай в сторону
CreateToolhelp32Snapshot -> список pid -> CommandLine
или дополнительно список pid -> список модулей -> поиск процесса с нужным модулем
также можно в реестре порыть как должен запускаться dhcp (если не родной или что-то подстраивали), чтобы точно знать Command line.
Хотя вроде вряд ли это актуально, вроде как из всех DHCP серверов только один самый DHCP-шный : )

Здравствуйте, CryptoPlus, Вы писали:

CP>Здравствуйте, adontz, Вы писали:

A>>Здравствуйте, CryptoPlus, Вы писали:

A>>Вот все запущенные у меня.
A>>[list]
CP>…
A>>

DHCP Client:
A>>C:\WINDOWS\system32\svchost.exe -k NetworkService
CP>…
A>>Причём в Task Manager у меня их 9. Остальные 22 прячутся

CP>понятно, а случаем не подскажешь как узнать программно какой сервайс висит в текущем svchost ?
CP> или как получить PID потока в котором запущен DHCP Server ?

CP>Заранее благодарен!!!

…А отсюда наливаем, когда рецепт написан совсем неразборчиво…

Re: svchost, почему их так много?

	От:	Donz Картинка с сайта: www.rsdn.org	http://donz-ru.livejournal.com
Дата:	01.10.04 07:50
	Оценка:

Здравствуйте, CryptoPlus, Вы писали:

CP>Доброго дня суток!!!

CP>Заранее благодарен !!!

В описании к svchost.exe сказано: Generic Host Process for Win32 Services. То бишь, это процесс-оболочка для сервисов.

Переместить
Удалить
Выделить ветку

Пока на собственное сообщение не было ответов, его можно удалить.

Источник