Что такое svchost exe в диспетчере задач windows 10 — Ваш верный помощник с OS Windows

Все способы:

Что такое «svchost.exe»
Снижение нагрузки на процессор и оперативную память
Выявление вирусного процесса и его удаление
Вопросы и ответы: 1

Что такое «svchost.exe»

Для того чтобы понять причину появления множества процессов «svchost.exe» в «Диспетчере задач», необходимо разобраться в предназначении этого приложения в операционной системе. «svchost.exe» служит своего рода оболочкой для запуска служб, которые не имеют личного исполняемого файла. Зачастую они представлены в виде кода, помещенного в динамические библиотеки, имеющие расширение DLL. В Windows 10 множество служб запускаются именно таким образом, соответственно для каждой из них создается свой экземпляр процесса. Следовательно, большое количество «svchost.exe» в «Диспетчере задач» — это нормальное явление.

Но это только общее представление процесса «svchost.exe», более подробную информацию вы можете узнать в тематической статье на нашем сайте. Воспользуйтесь ссылкой ниже, чтобы открыть ее в своем браузере.

Подробнее: Что такое svchost.exe в «Диспетчере задач»

много svchost в диспетчере задач в windows 10_01

Снижение нагрузки на процессор и оперативную память

Несмотря на то что «svchost.exe» является системной утилитой, она может работать некорректно, тем самым максимально загружая центральный процессор и оперативную память компьютера. Это не нормальное поведение, которое является следствием сбоев в работе операционной системы. Также это может происходить из-за заражения компьютера вирусом. Дело в том, что некоторые хакеры намерено дают своим вредоносным программам имя, похожее на «svchost.exe», заменяя в оригинальном названии некоторые символы.

Если в «Диспетчере задач» вы заметили, что процесс «svchost.exe» потребляет чрезмерное количество ресурсов компьютера, примите меры по устранению этой неполадки. На нашем сайте есть инструкция, посвященная этой теме. В ней автор подробно рассматривает причины возникновения проблемы и предлагает способы их устранения.

Подробнее: Что делать, если svchost.exe грузит процессор на 100%

Выявление вирусного процесса и его удаление

Если помимо многочисленных экземпляров «svchost.exe» вы замечаете в «Диспетчере задач» и чрезмерное потребление ресурсов компьютера, есть вероятность, что какой-то из них является вредоносной программой, попавшей в операционную систему во время инсталляции другого софта. В таком случае необходимо выявить проблемный процесс и удалить его. Для этого выполните следующие действия:

Откройте «Диспетчер задач» любым доступным способом. Например, сделать это можно через системный поиск. Для этого установите курсор в соответствующее поле на панели задач, введите запрос «Диспетчер задач», а затем кликните по появившемуся пункту «Открыть».

Картинка с сайта: lumpics.ru

Читайте также: Как открыть «Диспетчер задач» в Windows 10
В появившемся окне сразу перейдите во вкладку «Подробности», именно там будет находиться весь список запущенных в операционной системе процессов. В нем вам необходимо найти все экземпляры «svchost.exe». Для удобства выполните сортировку по имени от А до Я. Для этого кликните по заголовку соответствующего поля, чтобы стрелочка в его центральной части указывала вверх.
Определить проблемный процесс можно визуально. Обратите свое внимание на поле «ЦП». Если в нем будет значение больше 50, вероятнее всего, что этот процесс и является вирусным. Косвенно это также можно подтвердить большими показателями в колонке «Память».

много svchost в диспетчере задач в windows 10_04

Откройте свойства подозрительного процесса. Для этого щелкните по нему правой кнопкой мыши и выберите в появившемся контекстном меню пункт «Свойства».

много svchost в диспетчере задач в windows 10_05

В открывшемся окне, находясь во вкладке «Общие», обратите внимание на строку «Расположение». Системный процесс «svchost.exe» обычно находится по следующему адресу:
C:\Windows\System32

Если в вашем случае его месторасположение другое, значит, он является вредоносным и его следует удалить.

Картинка с сайта: lumpics.ru

Примечание! При необходимости просмотрите свойства других процессов, возможно, вирус запускает сразу несколько экземпляров.
Выявив таким образом вирус, откройте в «Проводнике» его корневую директорию. Для этого закройте окно свойств, чтобы вернуться в «Диспетчер задач», и в контекстном меню проблемного процесса выберите пункт «Открыть расположение файла».

много svchost в диспетчере задач в windows 10_07

В открывшемся окне файлового менеджера удалите выделенную программу. Для этого щелкните по ее названию правой кнопкой мыши и в контекстном меню выберите «Удалить».

Картинка с сайта: lumpics.ru

Если это сделать не получается, вернитесь в «Диспетчер задач» и завершите выполнение проблемного процесса. Для этого щелкните по нему правой кнопкой мыши и выберите опцию «Снять задачу».

Картинка с сайта: lumpics.ru

В случае появления диалогового окна, показанного на изображении ниже, установите отметку напротив пункта «Не сохранять данные и завершить работу», после чего щелкните по кнопке «Завершить работу».

Картинка с сайта: lumpics.ru

Как только это будет сделано, вернитесь в окно файлового менеджера с зараженным исполняемым файлом и удалите его. На этот раз ошибки появиться не должно.

Важно! Есть вероятность, что после удаления вируса в операционной системе остались его побочные файлы, которые впоследствии снова запустят зараженный процесс. По этой причине после выполнения всех описанных выше действий проверьте Windows 10 антивирусным программным обеспечением. При выявлении любой угрозы поместите ее в карантин или удалите. При необходимости воспользуйтесь руководством на нашем сайте, перейдя по ссылке ниже. В нем пошагово описывается каждое действие и предоставляется несколько способов выполнения поставленной задачи.

Подробнее: Как удалить вирус с компьютера в Windows 10

много svchost в диспетчере задач в windows 10_09

Наша группа в TelegramПолезные советы и помощь

Источник

Уровень сложностиПростой

Время на прочтение12 мин

Количество просмотров30K

В этой статье моей целью будет быстро и понятно внести памятку о легитимных процессах Windows. Немного расскажу, какой процесс за что отвечает, какие нормальные свойства имеют процессы, и приправлю это все небольшим количеством краткой, но полезной информации.

Я искренне приношу извинения за возможные неточности в изложении материала, информация в этой статье является «сборной солянкой» из моих слов и тысячи и тысячи источников!
По мере возможности я постараюсь обновлять материал, исправляя неточности, делая его более детализированным и актуальным.

System

Путь: Процесс не создается за счет исполняемого файла
Родительский процесс: Нет
Количество экземпляров: Один
Время запуска: Запуск системы

Здесь многословить не стоит: этот процесс отвечает за выполнение ядра операционной системы, других процессов и драйверов устройств, поэтому в основном под ним запускаются файлы .sys и некоторые важные для системы библиотеки. В обязанности System входит контроль за управлением оперативной и виртуальной памятью, объектами файловой системы.

smss.exe

Путь: %SystemRoot%\System32\smss.exe
Родительский процесс: System
Количество экземпляров: Один и дочерний, который запускается после создания сеанса
Время запуска: Через несколько секунд после запуска первого экземпляра

Session Manager Subsystem — диспетчер, отвечающий за создание новых сеансов, запуск процессов csrss.exe и winlogon.exe, отвечающих за графический интерфейс и вход в систему, а также за инициализацию переменных окружения. Первый экземпляр создает сеанс нуля и дочерний экземпляр, и как только дочерний экземпляр инициализирует новый сеанс, запуская csrss.exe и wininit.exe для сеанса 0 или winlogon.exe для сеанса 1, дочерний экземпляр завершается.

Если обнаружены проблемы с файловой системой, первостепенной функцией smss.exe является запуск системной утилиты для проверки диска — autochk.
После выполнения этих задач smss.exe переходит в пассивный режим.

Немного о сеансе 0 и сеансе 1

Сеанс 0 и сеанс 1 — это разные типы сеансов Windows, которые используются для запуска процессов.
Сеанс 0 создается при запуске системы, и в нем в фоновом режиме работают службы и процессы Windows.
Сеанс 1 создается для пользовательских процессов.

Chkdsk и autochk — что это вообще, и зачем? А разница в чем?

На самом деле, autochk — это версия chkdsk, которая запускается автоматически smss.exe при обнаруженных проблемах с диском. А разница их в том, что chkdsk можно запустить в среде Windows напрямую из командной строки, а autochk — нет.
Да и autochk работает только с NTFS, что не скажешь про chkdsk — он, в дополнение к NTFS, поддерживает FAT и exFAT.

Кстати!
По сути, chkdsk тоже может запускаться smss.exe, но это зависит от того, что указано в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\SessionManager (здесь хранится информация, предназначенная для Диспетчеpa сеансов ) в параметре BootExecute). При запуске chkdsk Диспетчер сеансов использует параметр /r , что позволяет утилите производить поиск повреждённых секторов (наряду с ошибками файловой системы).

csrss.exe

Путь: %SystemRoot%\System32\csrss.exe
Родительский процесс: smss.exe, который, запустив csrss.exe, завершает работу
Количество экземпляров: Два или больше
Время запуска: Через несколько секунд после запуска первых двух экземпляров — для сеанса 0 и сеанса 1

Client/Server Run-Time Subsystem — подсистема выполнения «клиент/сервер» обеспечивает пользовательский режим подсистемы Windows. Csrss.exe отвечает за импорт многих DLL-библиотек, которые предоставляют WinAPI (kernel32.dll, user32.dll, ws_2_32.dll и другие), а также за обработку графического интерфейса завершения работы системы.
Процесс запускается для каждого сеанса, а именно 0 и 1, дополнительные сеансы создаются при помощи удаленного рабочего стола или за счет быстрого переключения между пользователями.

Что интересно для Windows Server

Можно проверить количество активных сеансов, введя query SESSION в командной строке. Так можно проверить, соответствует ли количество сеансов количеству запущенных csrss.exe.

И еще..

До Windows 7 csrss.exe обеспечивал старт окна консоли, но теперь этим занимается conhost.exe.

wininit.exe

Путь: %SystemRoot%\System32\wininit.exe
Родительский процесс: smss.exe, который завершает работу перед запуском wininit.exe
Количество экземпляров: Один
Время запуска: Через несколько секунд после запуска системы

После получения управления от процесса smss.exe, wininit.exe помечает себя как критический, что позволяет ему избегать нежелательного отключения при аварийном завершении сеанса или входа систему в гибернацию. Целью Windows Initialisation (wininit.exe) является запуск ключевых фоновых процессов в рамках сеанса нуля. Он запускает:

services.exe — Диспетчер управления службами
lsass.exe — Сервер проверки подлинности локальной системы безопасности
lsaiso.exe — для систем с включенной Credential Guard.

Дополнительно на протяжении всего сеанса работы системы wininit.exe отвечает за создание и наполнение папки TEMP. Перед выключением wininit.exe снова «активизируется» — теперь уже для корректного завершения запущенных процессов. .

Кстати!

До Windows 10 lsm.exe (Диспетчер локальных сеансов) также запускался с помощью wininit.exe. Начиная с Windows 10, эта функция перенесена в lsm.dll, которая размещена в svchost.exe.

services.exe

Путь: %SystemRoot%\System32\services.exe
Родительский процесс: wininit.exe
Количество экземпляров: Один
Время запуска: Через несколько секунд после запуска системы

В функции services.exe входит реализация Унифицированного диспетчера фоновых процессов (UBPM), который отвечает за фоновую работу таких компонентов, как Диспетчер управления службами (SCM) и Планировщик задач (Task Sheduler). Словом, services.exe отвечает за управление службами, а также за контроль за взаимодействием служб, обеспечивая их безопасную и эффективную работу.

UBPM: немного для тех, кто видит первый раз

Унифицированный диспетчер фоновых процессов (UBPM) — компонент системы, который автоматически управляет фоновыми процессами, такими как службы и запланированные задачи. Словом, он помогает оптимизировать запущенные в фоновом режиме службы, приостанавливать или завершать фоновые процессы, что позволяет экономить ресурсы системы.

Кстати!

До Windows 10, как только пользователь успешно вошел в систему в интерактивном режиме, services.exe считал загрузку успешной и устанавливал для последнего удачного набора элементов управления HKLM\SYSTEM\Select\LastKnownGood значение CurrentControlSet.

А LastKnownGood — что это вообще?

LastKnownGood являлся опцией восстановления, благодаря которой можно запустить систему с последней рабочей конфигурацией, если система не может загрузиться из-за каких-либо причин. LastKnownGood сохранял резервную копию части реестра, в которой хранится информация о системе, драйверах и настройках.

Когда это могло пригодиться? Например, если загрузка нового ПО или изменение параметров системы не привело ни к чему хорошему. Тогда можно было бы использовать эту опцию, чтобы отменить изменения и откатиться к прошлому состоянию.

svchost.exe

Путь: %SystemRoot%\system32\svchost.exe
Родительский процесс: services.exe (чаще всего)
Количество экземпляров: Несколько (обычно не менее 10)
Время запуска: В течение нескольких секунд после загрузки, однако службы могут запускаться в течение работы системы, что приводит к появлению новых экземпляров svchost.exe.

svchost.exe (в Диспетчере задач прописывается как Служба узла) — универсальный хост-процесс для служб Windows, использующийся для запуска служебных DLL. В системе запускается несколько экземпляров svchost.exe, и каждая служба работает в своем собственном процессе svchost, что позволяет изолировать ошибки в работе одной службы от других, хотя в системах с ОЗУ менее 3,5 ГБ службы приходится группировать (см. ниже). Ну а в системах с оперативной памятью более 3,5 ГБ можно увидеть даже более 50 экземпляров svchost.exe.

Злоумышленники часто пользуются преимуществом наличия большого количества процессов svchost.exe, и могут воспользоваться этим, чтобы разместить какую-либо вредоносную DLL в качестве службы, либо запустить вредоносный процесс с именем svchost.exe или что-то типа scvhost.exe, svhost.exe и так далее.
Хотя, как известно, так можно сделать с любым процессом, но с svchost.exe это происходит почаще.

Кстати!

До Windows 10 версии 1703 экземпляры svchost.exe по умолчанию запускались в системе с уникальным параметром -k, благодаря которому была возможна группировка похожих служб. Типичные параметры -k включают:

DcomLaunch — служба, которая запускает компоненты COM и DCOM, благодаря которым программы взаимодействуют между собой на удаленных компьютерах

RPCSS — служба RPC (удаленный вызов процедур), благодаря которой программы взаимодействуют между собой через сеть.

LocalServiceNetworkRestricted — локальная служба, которая работает в пределах компьютера и имеет доступ к сети только для определенных операций.

LocalServiceNoNetwork — локальная служба, идентичная LocalServiceNetworkRestricted, но не имеющая доступа к сети.

netsvcs — группа служб Windows, благодаря которым выполняются задачи, связанные с сетью.

NetworkService — служба, которая позволяет выполнять задачи на удаленных хостах, и имеет доступ к сети для обмена данными.

Здесь можно почитать о разделении служб SvcHost.

RuntimeBroker.exe

Путь: %SystemRoot%\System32\RuntimeBroker.exe
Родительский процесс: svchost.exe
Количество экземпляров: Один или больше
Время запуска: Может быть разным

Работающий в системах Windows, начиная с Windows 8, RuntimeBroker.exe действует как прокси между ограниченными приложениями универсальной платформы Windows (UWP) и набором функций и процедур Windows API. В целях безопасности приложения UWP должны иметь ограниченные возможности взаимодействия с оборудованием, файловой системой и другими процессами, поэтому процессы-брокеры а-ля RuntimeBroker.exe используются для обеспечения требуемого уровня доступа для таких приложений.

Обычно для каждого приложения UWP существует один файл RuntimeBroker.exe. Например, запуск сalculator.exe приведет к запуску соответствующего процесса RuntimeBroker.exe.

И такое было: об утечках памяти, связанных с RuntimeBroker

Когда процесс RuntimeBroker еще был в новинку, пользователи во время работы с системой начали замечать, что RuntimeBroker.exe нещадно занимает аж более 500 МБ памяти, что несвойственно для него.
Оказывается, ошибка заключалась в следующем: каждый вызов метода TileUpdater.GetScheduledTileNotifications приводила к тому, что RuntimeBroker выделял память без ее дальнейшего высвобождения. Чаще всего с этим сталкивались пользователи, у которых было установлено приложение «The Time» для измерения времени — оно постоянно обновляло информацию на плитке.

Об этом казусе в Windows 8 можно почитать тут.

Про метод TileUpdater.GetScheduledTileNotifications

Если кратко, это метод, позволяющий получать запланированные уведомления от плиток в универсальных приложениях Windows (UWP). Он позволяет приложениям отображать информацию на стартовом экране пользователя в виде динамически обновляемых плиток.

Те самые «плитки» в Windows 8

taskhostw.exe

Путь: %SystemRoot%\System32\taskhostw.exe
Родительский процесс: svchost.exe
Количество экземпляров: Один или больше
Время запуска: Может быть разным

Процесс Task Host Window отвечает за выполнение различных задач Windows.
С началом работы, taskhostw.exe начинает выполнять задачи, которые были назначены ему системой, а в течение работы системы выполняет непрерывный цикл прослушивания триггерных событий. Примеры триггерных событий, которые могут инициировать задачу, могут включать в себя:

Определенное расписание задач
Вход пользователя в систему
Запуск системы
Событие журнала Windows
Блокировка/ разблокировка рабочей станции и т.д.

Двое из ларца: В чем разница между Task Host Window и Task Scheduler?

Task Host Window отвечает за выполнение различных системных задач, например, запуск служб и выполнение запросов на исполнение программ. Taskhostw.exe может использоваться для запуска службы обновления Windows, перехода компьютера в режим сна или ожидания после определенного времени и так далее.

Task Sheduler, он же Планировщик задач, — инструмент, благодаря которому пользователь имеет возможность создавать задачи и запускать их по расписанию или при определенных событиях. Планировщик задач может быть использован для запуска программ, скриптов и автоматизации задач.

lsass.exe

Путь: %SystemRoot%\System32\lsass.exe
Родительский процесс: wininit.exe
Количество экземпляров: Один
Время запуска: В течение нескольких секунд после загрузки

Local Security Authentication Subsystem Service (Служба проверки подлинности локальной системы безопасности) отвечает за аутентификацию пользователей путем вызова соответствующего пакета аутентификации, указанного в HKLM\SYSTEM\CurrentControlSet\Control\Lsa. Обычно это Kerberos для учетных записей домена или MSV1_0 для локальных учетных записей. Помимо аутентификации пользователей, lsass.exe также отвечает за реализацию локальной политики безопасности (например, политики паролей и политики аудита), а также за запись событий в журнал событий безопасности.

Что любят котята: Mimikatz и LSASS

Многим известно, что злоумышленники могут использовать Mimikatz, зачастую для перехвата учетных данных в операционной системе, и делают они это за счет перехвата данных процесса lsass.exe.
Все просто: работает Mimikatz на уровне ядра и внедряется в процесс LSASS или использует метод DLL-injection. Кража учетных данных происходит либо за счет получения доступа к памяти процесса, в котором лежат заветные креды, либо за счет перехвата вызова функций до шифрования учетных данных.
Также Mimikatz не пренебрегает использованием стандартных функций Win32 LsaProtectMemory и LsaUnprotectMemory, которые используются для шифрования и расшифровки некоторых участков памяти с чувствительной информацией.

Чуть больше об lsass.exe можно прочитать тут.
И о любви котят к LSASS — тут.

winlogon.exe

Путь: %SystemRoot%\System32\winlogon.exe
Родительский процесс: smss.exe, который, запустив winlogon.exe, завершает работу
Количество экземпляров: Один или больше
Время запуска: В течение нескольких секунд после загрузки первого экземпляра, дополнительные экземпляры запускаются по мере создания новых сеансов (подключение с удаленного рабочего стола и быстрое переключение пользователей)

Winlogon обрабатывает интерактивный вход и выход пользователей из системы. Он запускает LogonUI.exe, который использует поставщика учетных данных для сбора учетных данных пользователя, а затем передает учетные данные lsass.exe для проверки.
После аутентификации пользователя Winlogon загружает NTUSER.DAT пользователя в HKCU, настраивает окружение пользователя, включая его рабочий стол, настройки реестра и т.д., и запускает оболочку пользователя explorer.exe через userinit.exe.

Совсем чуть-чуть об logonUI.exe

Да, название говорит само за себя: logonUI.exe отвечает за отображение экрана входа пользователя и за взаимодействие с пользователем при входе в систему. Если просто, то вывод того самого экрана входа и поля для ввода учетных данных — старания logonUI.exe.

..И об userinit.exe

Основная функция userinit.exe заключается в подготовке среды пользователя для работы в операционной системе.
Когда пользователь входит в систему, userinit.exe инициирует загрузку профиля пользователя, настройки оболочки (шаблоны рабочего стола, запуск программ и т.д.). После выполнения сих действий, userinit.exe запускает оболочку пользователя explorer.exe, которая отображает рабочий стол и другие элементы интерфейса, после чего завершает работу.

Кстати!

Обработка команд из CTRL+ALT+DEL, между прочим, тоже входит в обязанности winlogon.exe.
А тут можно почитать о Winlogon еще и узнать чуть больше — и про его состояния, и про GINA, и про все-все.

explorer.exe

Путь: %SystemRoot%\explorer.exe
Родительский процесс: userinit.exe, который завершает работу
Количество экземпляров: Один или больше, если включена опция Запускать окна с папками в отдельном процессе
Время запуска: Интерактивный вход пользователя

По своей сути, explorer.exe предоставляет пользователям доступ к файлам, хотя одновременно это файловый браузер через проводник Windows (тот самый Диспетчер файлов) и пользовательский интерфейс, предоставляющий такие функции, как:

Рабочий стол пользователя
Меню «Пуск»
Панель задач
Панель управления
Запуск приложений через ассоциации расширений файлов и файлы ярлыков

Словом, процесс отвечает за отображение действий пользователя: открытие и закрытие окон, перемещение и копирование файлов и тому подобное.

Запуск приложений через ассоциации расширений файлов

По сути, это процесс, при котором система использует информацию о расширении имени файла (например, .txt) для определения программы, которая будет запущена, чтобы обработать этот файл. Например, файл расширения .txt ассоциируется в системе с текстовым редактором, потому она запустит его при двойном щелчке мышью. Словом, ассоциации расширений файлов определяют, какие программы открываются по умолчанию для определенных типов файлов.

Также и с ярлыками — при щелчке запускается связанные с ними ресурсы.

Explorer.exe — это пользовательский интерфейс по умолчанию, указанный в значении реестра HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell, хотя Windows может работать и с другим интерфейсом, например, с cmd.exe.
Следует заметить, что легитимный explorer.exe находится в каталоге %SystemRoot%, а не %SystemRoot%\System32.

Explorer — это же браузер, нет?

В старые добрые времена, когда на системах еще стоял Internet Explorer, запуск этого браузера инициировал процесс iexplore.exe, и с каждой новой вкладкой создавался новый экземпляр этого процесса. Сейчас остался только explorer.exe, который ни в коем случае не связан с браузером.
Вместо Internet Explorer на наших системах стоит MS Edge, который имеет процесс msedge.exe, исполняемый файл которого лежит в \Program Files (x86)\Microsoft\Edge\Application\.

ctfmon.exe

Путь: %SystemRoot%\System32\ctfmon.exe
Родительский процесс: Зависит от того, какой процесс запустил ctfmon.exe
Количество экземпляров: Один
Время запуска: При входе в систему

Процесс ctfmon.exe или, как привыкли его видеть, CTF-загрузчик, управляет функциями рукописного и сенсорного ввода, распознавания голоса и переключения языка на панели задач. Также процесс отслеживает активные программы и настраивает языковые параметры для обеспечения поддержки многоязычного ввода.
Ctfmon.exe может быть запущен разными процессами, и это напрямую зависит от того, какие функции ввода или языка используются в системе. Примеры родительских процессов и причины запуска:

svchost.exe — использование рукописного ввода или распознавания речи
winword.exe, excel.exe и т.д. — использование программ пакета Microsoft Office
searchUI.exe — использование поиска на панели задач или приложения из магазина Windows 10

Конечно, это не исчерпывающий список легитимных процессов, но, как минимум, основной. Хочется верить, что этот материал был полезен тем, кто пугается страшных букв в Диспетчере задач и тем, кто просто хочет узнать немного больше.
Спасибо за прочтение!

Источник

В этой статье вы узнаете, почему в диспетчере задач Windows отображается несколько процессов svchost.exe и как определить нормальное количество этих процессов. Многие пользователи пугаются, видя множество строк с этим названием, подозревая заражение компьютера вирусами или системные проблемы. Однако на самом деле это стандартное поведение операционной системы, хотя существуют определенные границы нормы и ситуации, когда действительно стоит насторожиться. Мы подробно разберем, какие факторы влияют на количество svchost-процессов, как отличить легитимные системные процессы от потенциально опасных и что делать в случае обнаружения аномалий.

Что такое svchost.exe и почему их бывает несколько

Svchost.exe представляет собой важнейший компонент операционной системы Windows, служащий универсальным контейнером для выполнения различных системных служб. Этот процесс является частью архитектуры Windows уже более двух десятилетий и играет ключевую роль в функционировании операционной системы. Если провести аналогию, то svchost.exe можно сравнить с многофункциональным адаптером, который подключает к электросети сразу несколько приборов – он обеспечивает одновременную работу множества служб через единый механизм.

Microsoft спроектировала svchost именно как многозадачный процесс по нескольким важным причинам. Во-первых, такая архитектура позволяет эффективнее управлять ресурсами системы. Представьте, если бы каждая служба работала в отдельном процессе – это привело бы к значительному увеличению потребления памяти и процессорного времени. Во-вторых, группировка связанных служб в один svchost-процесс повышает стабильность системы: сбой одной службы не обязательно приведет к падению других.

Количество активных svchost-процессов напрямую зависит от конфигурации системы и запущенных служб. В современных версиях Windows 10 и 11 их число может варьироваться от 10 до 50 и более. Это объясняется тем, что Microsoft постоянно расширяет функциональность операционной системы, добавляя новые службы. Например, процессы обновления системы, работы с сетью, управления питанием и безопасности часто группируются в отдельные экземпляры svchost.

Особенно заметно увеличение числа svchost-процессов при использовании профессиональных или серверных версий Windows, где требуется работа дополнительных служб для корпоративных функций. Также количество процессов может временно возрастать при установке обновлений или выполнении специфических системных задач.

Как определить нормальное количество svchost-процессов

Для точной оценки количества svchost-процессов необходимо учитывать несколько ключевых факторов, которые могут существенно влиять на их число. Прежде всего, версия операционной системы играет первостепенную роль: в Windows 7 обычно наблюдается около 10-15 процессов, тогда как в Windows 10 их количество может достигать 30-40 даже при стандартной конфигурации. Более новая Windows 11 демонстрирует схожие показатели с Windows 10, но с тенденцией к небольшому увеличению из-за новых служб.

Конфигурация оборудования также оказывает значительное влияние. На мощных рабочих станциях с большим объемом оперативной памяти система может позволить себе запуск большего числа параллельных svchost-процессов для улучшения производительности. Например, при использовании серверных процессоров с поддержкой Hyper-Threading количество svchost.exe может возрасти на 15-20% по сравнению со стандартными настольными системами.

Установленное программное обеспечение способно существенно менять картину. Антивирусные решения, корпоративные системы управления, средства виртуализации и специализированные приложения часто создают собственные службы, работающие через svchost. Особенно это заметно при использовании таких продуктов, как VMware Tools, Symantec Endpoint Protection или Microsoft SQL Server, которые могут добавить до 5-7 дополнительных процессов.

Текущая нагрузка на систему и выполняемые задачи также являются важными факторами. При интенсивной работе с сетью, установке обновлений или выполнении резервного копирования количество svchost-процессов может временно увеличиваться. Например, во время обновления Windows количество процессов может кратковременно возрасти до 50-60, что является нормальным явлением.

Фактор	Минимальное влияние	Среднее влияние	Максимальное влияние
Версия Windows	+5-10 процессов	+15-25 процессов	+30-40 процессов
Объем RAM	+2-5 процессов	+5-10 процессов	+10-15 процессов
Профессиональное ПО	+3-5 процессов	+8-12 процессов	+15-20 процессов

Региональные настройки и установленные языковые пакеты также могут влиять на количество svchost-процессов. Системы с несколькими языками интерфейса или специфическими региональными требованиями могут иметь дополнительные службы локализации, что увеличивает общее число процессов примерно на 2-4 единицы.

Пошаговая проверка легитимности процессов

Для надежной проверки подлинности svchost-процессов рекомендуется следовать четко структурированному алгоритму действий. Первый шаг – использование встроенного инструмента “Диспетчер задач”. Для этого нажмите комбинацию клавиш Ctrl + Shift + Esc, перейдите на вкладку “Подробности” и найдите интересующие процессы svchost.exe. Щелкнув правой кнопкой мыши по каждому из них и выбрав пункт “Перейти к службам”, вы увидите список связанных служб – это первый признак легитимности процесса.

Более глубокий анализ возможен через утилиту Process Explorer от Sysinternals. После скачивания и запуска программы (ее не нужно устанавливать) найдите нужный svchost-процесс и дважды щелкните по нему. В открывшемся окне перейдите на вкладку “Services” и проверьте список связанных служб. Легальные процессы всегда будут иметь конкретные имена служб, такие как “wuauserv” (служба обновления Windows) или “Dnscache” (клиент DNS).

Проверьте расположение файла процесса
Используйте командную строку для анализа служб
Сравните цифровую подпись файла
Проведите сканирование антивирусом
Проверьте сетевую активность процесса

Особое внимание следует уделить проверке пути расположения файла. Все оригинальные svchost.exe должны находиться в системной директории C:WindowsSystem32. Для проверки используйте команду tasklist /svc в командной строке с правами администратора. Результат покажет полный путь к файлу каждого процесса. Если какой-либо svchost.exe находится в другой директории – это серьезный сигнал тревоги.

Для максимально достоверной проверки рекомендуется использовать комбинацию методов. Например, совместить анализ через Process Explorer с проверкой цифровой подписи файла (щелкните правой кнопкой по процессу в Process Explorer и выберите “Properties”). Оригинальные файлы всегда имеют цифровую подпись Microsoft Corporation. Дополнительно стоит проверить сетевую активность подозрительных процессов через вкладку “TCP/IP” в Process Explorer.

Экспертное мнение: Александр Иванович Кузнецов, системный архитектор

С профессиональной точки зрения, вопрос определения нормального количества svchost-процессов требует комплексного подхода, основанного на многолетнем опыте администрирования корпоративных систем. Как системный архитектор с 15-летним стажем работы в крупных IT-компаниях, включая руководство проектами по внедрению Windows Server и Active Directory, могу отметить несколько важных аспектов.

Во-первых, многие администраторы совершают типичную ошибку, фокусируясь исключительно на количестве процессов. Гораздо важнее анализировать характер их работы и взаимодействие между собой. Например, в практике нашего отдела технической поддержки был случай, когда клиент паниковал из-за 42 svchost-процессов, хотя реальной проблемой являлась только одна служба, некорректно настроенная в групповой политике.

Основные рекомендации, которые я даю своим клиентам:

Не пытайтесь искусственно ограничивать количество процессов
Регулярно проверяйте журналы событий Windows
Используйте мониторинг производительности
Поддерживайте актуальность системы
Создавайте резервные копии конфигурации служб

Особое внимание стоит уделить анализу производительности. Нормальное количество svchost-процессов может быть абсолютно безвредным, пока они не начинают чрезмерно нагружать системные ресурсы. В одном из реализованных проектов мы внедрили автоматизированную систему мониторинга, которая учитывает как количество процессов, так и их потребление ресурсов. Это позволило предотвратить несколько потенциально серьезных инцидентов.

Частые вопросы и практические рекомендации

При работе с svchost-процессами пользователи часто сталкиваются с рядом характерных ситуаций, требующих детального рассмотрения:

Почему количество процессов меняется? Динамическое изменение числа svchost-процессов – это нормальное явление. Например, при подключении к новой сети система может временно создать дополнительные процессы для обработки сетевых служб. После завершения операции некоторые из них автоматически закрываются.
Что делать при высокой нагрузке нескольких процессов? Первым шагом должно быть определение связанных служб через Process Explorer. Часто причина кроется в фоновых обновлениях или индексации. Не рекомендуется принудительно завершать такие процессы, лучше дождаться завершения операции. В крайнем случае можно временно отключить соответствующие службы через services.msc.
Как отличить вирус от настоящего svchost? Помимо проверки расположения файла и цифровой подписи, обратите внимание на родительский процесс. Легитимные svchost всегда запускаются от имени services.exe. Фальшивые копии часто имеют другие родительские процессы или вообще запускаются непосредственно при старте системы.
Можно ли уменьшить количество процессов? Технически возможно через реестр изменить параметр ServiceDllUnloadOnStop, но это может привести к нестабильности системы. Рекомендуется оставить группировку служб по умолчанию, так как она оптимизирована разработчиками Microsoft.
Что делать при подозрении на заражение? Первым делом сохраните все важные данные и выполните полное сканирование системы с помощью актуальных антивирусных баз. Затем проверьте автозагрузку через msconfig и убедитесь в отсутствии подозрительных записей. В сложных случаях может потребоваться восстановление системы или переустановка Windows.

Заключение и практические рекомендации

Анализируя всю представленную информацию, становится очевидным, что количество svchost-процессов само по себе не является показателем проблем в системе. Главное – понимать природу их появления и методы проверки подлинности. Современные версии Windows демонстрируют тенденцию к увеличению числа этих процессов, что связано с развитием функционала операционной системы и появлением новых служб.

Для обеспечения стабильной работы системы рекомендуется регулярно выполнять базовый мониторинг через Диспетчер задач и Process Explorer, особенно после установки обновлений или нового программного обеспечения. Создание резервных копий критически важных данных и периодическая проверка системы на наличие вредоносного ПО помогут избежать серьезных проблем.

Если вы столкнулись с необычным поведением svchost-процессов или хотите более глубоко разобраться в их работе, начните с документации Microsoft TechNet и официальных руководств по администрированию Windows. Практический опыт показывает, что большинство проблем решаются стандартными средствами диагностики при правильном подходе.

Источник

Кажется, что разговор о тех или иных ошибках Windows может стать бесконечным. На самом деле трудно отрицать тот факт, что вполне нормально сталкиваться с ошибками на своем компьютере, если своевременно не заботиться о его здоровье. На этот раз попробуем разобраться с проблеме, возникающей с процессом svchost в Windows.

♥ ПО ТЕМЕ: Папка «con» в Windows: почему нельзя создать директорию с таким названием?

Компьютер стал тормозить и зависать. Какие могут быть причины?

Итак, проблема состоит в следующем: компьютер начал неожиданно тормозить, зависать, при этом программы перестают отвечать, а нажатия на кнопки ни к чему не приводят.

Причиной может послужить длительный активный серфинг в интернете, из-за которого система накапливает гигабайты временных файлов.

Базовым решением для лечения компьютера может являться удаление кэша специальными «программами-чистильщиками» с последующей дефрагментацией. Если это не помогло, попробуйте сделать откат к более раннему состоянию при помощи Восстановления системы.

svchost.exe грузит память в Windows 7, 8, 10: что это за процесс

Естественно, это вариант уместен, если вы создавали точку восстановления (Свойства системы → Защита системы → Создать).

Если ни перезагрузка Windows, ни Восстановление системы не смогли помочь, то, возможно, причина проблемы кроется в процессе svchost.exe.

Чем же вообще является файл svchost.exe в Windows 7, 8 или 10. Дословно это название расшифровывается, как Service Host – главный процесс для служб, загружаемых из динамических библиотек системы. Использование единого процесса svchost.exe для работы нескольких сервисов позволяет существенно уменьшить затраты оперативной памяти.

♥ ПО ТЕМЕ: Зависает компьютер на Windows? Горячие клавиши, которые помогут решить проблему.

Причин может быть множество, однако мы остановимся на самых распространенных.

Ошибка при загрузке автоматических обновлений. В этом случае рекомендуется вручную скачать пакет обновления на сайте Microsoft, а затем установить его самостоятельно.

Вирусы, маскирующиеся под svchost.exe. Решением может послужить использование антивируса или анализ файлов svchost.exe в Диспетчере задач Windows (подробнее ниже).

♥ ПО ТЕМЕ: Пропал курсор мыши на Windows, что делать?

Используйте «Диспетчер задач» Windows 10 для завершения процесса Svchost

Вполне может быть, что службы svchost являются основной причины возникшей ошибки. Давайте попробуем использовать «Диспетчер задач» и попробуем найти неисправную службу, отключив ее.

1. Щелкните правой кнопкой мыши по панели задач и выберите в списке «Диспетчер задач».

2. Теперь в окне «Диспетчер задач» найдите вкладку «Подробности» и перейдите на нее.

3. Посмотрите внимательно на список и найдите в нем svchost.exe.

4. Почти наверняка вы столкнетесь с большим количеством svchost.exe.

Это может сбить с толку – непонятно, какой именно процесс нам нужен. Обратите внимание на степень загрузки по каждому процессу. Если какой-то процесс svchost.exe будет иметь загрузку близкую к 100%, то, вероятно, что это и есть главный виновник проблемы.

Обычно, системные процессы svchost.exe в Windows имеют следующие имена пользователя:

— СИСТЕМА
— LOCAL SERVICE
— NETWORK SERVICE

Вирусы могут прятаться (но не всегда) под именем пользователя учетной записи Windows или попросту ADMIN. Также возможен вариант распространения вируса, использующего настоящий Svchost, но выполняющей вредные действия, например, таким вирусом является Kido.

5. Завершите процесс svchost.exe, имеющий высокую загрузку системы. Для этого нажмите правую кнопку мыши и выберите пункт Завершить дерево процессов. Перезагрузите компьютер и попробуйте просканировать систему антивирусом.

Не волнуйтесь, если вы случайно завершите нормальный процесс svchost.exe. Windows восстановит необходимый процесс после перезагрузки.

♥ ПО ТЕМЕ: Как отключить пароль на вход в Windows 10: рабочие способы.

Очистите журналы «Просмотра событий» для исправления процесса Svchost

1. Найдите «Просмотр событий» с помощью окна поиска, расположенного в левом углу экрана вашей системы, и запустите приложение.

2. В окне «Просмотра событий» щелкните по «Журналам Windows», расположенным на левой боковой панели.

3. Когда вы развернете этот элемент, нажмите на «Приложение».

4. Теперь на в правой стороне журнала, в окне «Действия», нажмите на «Очистить журнал…», как показано на картинке.

5. После появления на экране всплывающего меню, нажмите «Очистить».

6. Выполните вышеуказанный шаг с журналами «Безопасность», «Установка», «Система» и «Перенаправленные события».

7. Перезагрузите компьютер.

♥ ПО ТЕМЕ: Как сделать Windows 10 похожей на Windows 7.

Остановите обновление Windows для избавления от проблемы

1. Нажмите одновременно клавиши Win + R, чтобы открыть окно «Выполнить».

2. Введите команду services.msc. и нажмите OK.

3. Найдите в списке «Центр обновления Windows», щелкните по этому элементу с помощью правой кнопки мыши. Нажмите «Остановить».

4. Теперь в Проводнике перейдите по пути Этот компьютер → Локальный диск (C:) → Windows.

5. Найдите папку SoftwareDistribution и удалите ее.

6. Перезагрузите компьютер.

♥ ПО ТЕМЕ: Как настроить Windows, чтобы извлекать USB-флешки и накопители без использования «Безопасного извлечения».

Заключение

Надеемся, что какой-то из вышеуказанных методов поможет вам решить проблему с svchost.exe в Windows 10, 8, 7. Есть еще один момент, с которого, пожалуй, вообще стоит начать – установить антивирусное программное обеспечение. Все дело в том, что есть вероятность появления в системе вирусов или вредоносных программ. Именно по этой причине svchost.exe так активно загружает процессор в Windows 10. Обязательно установите антивирусную программу, если любите исследовать новые web-сайты и экспериментировать с программами.

В некоторых случаях оказать помощь в решении проблем с вирусами может лечащая утилита Dr. Web CureIt, которая не требует установки и способна осуществлять поиск и обезвреживание вирусов на пораженных системах.

Мы что-то упустили, и вы нашли другой эффективный способ для решения проблемы с svchost в Windows? Расскажите нам об этом в комментариях.

Смотрите также:

32- или 64-битная Windows: какая разница и какую систему нужно устанавливать?
Как ускорить Windows 10, 8 или 7, отключив ненужные службы операционной системы.
Как автоматически переключать язык (раскладку) на клавиатуре в macOS или Windows.

Источник

В Диспетчере задач есть много различных процессов и загадочных файлов, которые постоянно потребляют какие-то ресурсы компьютера, включаются, отключаются и живут своей активной цифровой жизнью. Среди них пользователи находят и так называемый Хост-процесс для служб Windows, он же svhost.exe. Эта статья расскажет вам, для чего нужен этот процесс.

Что за процесс svchost.exe

Хост-процесс для служб Windows – это системный процесс операционной системы. Сервисы и службы Windows, которые запускаются из исполняемых файлов exe, регистрируются в диспетчере задач как полноценные отдельные процессы с собственными именами и графиками потребления памяти, процессора, диска и сети. Те сервисы, которые загружаются из динамически подключаемых библиотек (также известные как DLL – Dynamic Linked Library), не могу т «прописаться» как полноценный процесс. Вместо этого система регистрирует их в виде процесса, известного как Хост-процесс для служб Windows или svchost.exe. Среди этих сервисов числятся диспетчеры сетевых подключений, служба Plug-and-play, центр обновлений, механизмы защиты и так далее.

Другая его особенность заключается в том, что для каждого сервиса, основанного на динамически подключаемых библиотеках, система создает отдельный хост-процесс. Именно поэтому вы можете увидеть несколько svchost.exe в Диспетчере задач. Чтобы посмотреть, какое количество svhost.exe у вас запущено, откройте Диспетчер задач и перейдите на вкладку Подробности. Зачастую в системе работает несколько десятков хост-процессов для служб Windows. Это норма.

Хост-процессы. Тысячи их.

К сожалению, Диспетчер задач не разрешает посмотреть, сколько именно сервисов или групп связано с каждым хост-процессом. Если вам действительно интересно узнать, какие библиотеки подключены к хост-процессам вашего компьютера, понадобится небольшая утилита Process Explorer, разработанная Microsoft. Она «портативна», поэтому вам не нужна будет установка. Просто скачайте ее и распакуйте в нужную локацию. Запустите файл processxp64, если у вас 64-разрядная версия Windows или processxp, если 32-разрядная. В списке Process найдите svchost.exe – это те самые хост-процессы для служб Windows. Наведение курсора на один из них отображает список служб, связанных с конкретным процессом. К примеру, Диспетчер локальных сеансов, доступ к HID-устройствам, журнал локальных событий, служба профилей пользователей и так далее. Много различных служб, жизненно важных для работы Windows.

svchost.exe грузит процессор

Вы можете заметить, что сразу после включения компьютера все хост-процессы служб Windows сильнее загружают ваш компьютер, особенно процессор. Это тоже норма, так должно быть. Спустя некоторое время (не особо долго) все успокоится, и нагрузка упадет. Почему так происходит? Когда Windows стартует, хост-процесс сканирует все записи сервисов и реестра, а также составляет список DLL-сервисов, необходимых для запуска. Затем происходит загрузка этих сервисов, из-за чего увеличивается потребление ресурсов процессора.

На увеличение нагрузки CPU процессом svchost.exe также влияют также другие факторы. К примру, система проводит индексацию, скачивает обновление или выполняет другую фоновую задачу, которая требуется для обслуживания системы. Разумеется, бывают и внештатные ситуации, когда одна из служб системы работает некорректно, что приводит к нагрузке на процессор и замедлению быстродействия компьютера. Причин этому может быть большое количество. К примеру, поврежденные системные файлы, проблемный драйвер, сбой в работе службы, выход из строя жесткого диска или вредоносное ПО.

Зачастую главной причиной аномальной нагрузки на процессор служит сбой в работе одной или нескольких служб. Диагностировать такой сбой можно в той же утилите Process Explorer. Найдите в ней процесс, потребляющий больше всех ресурсов и наведите курсор мыши. В окне всплывающей подсказки появится список подключенных служб или службы. Попробуйте отключить их и понаблюдать за результатом. Обнаружив проблемное место, действуйте уже соответственно инструкции по решению проблем в работе службы.

Предупреждение: службы системы не стоит слепо отключать. Убедитесь, что вы знаете, что делаете, а также уверены в своих возможностях вернуть все обратно. Слепые манипуляции с системой могут привести к повреждению ее работы.

svchost.exe — вирус или нет

Мы уже уяснили, что процесс svchost.exe или Хост-процесс для служб Windows – это стандартный механизм системы, который в принципе не может быть вирусом на нормально работающем компьютере. Тем не менее, бывают случаи, когда вредоносное ПО или вирус выдает себя за svchost.exe.

Обратите внимание на расположение файла. В диспетчере задач на вкладке Подробнее нажмите правой кнопкой мыши на один из svchost.exe и выберите Расположение файла. Его основное местоположение – папка C:\Windows\System32 или SysWOW64. Файл с аналогичным именем встречается также в директориях Prefetch, WinSxS и ServicePackFiles, вы никогда не попадете из Диспетчера задач в эти папки, если svchost.exe работает в штатном режиме.

При подозрении наличия вредоносного ПО и обнаружении аномалий в расположении svchost.exe вам надо будет обратиться к услугам своего антивируса, что вполне очевидно. Это руководство лишь поможет вам понять, в чем причина увеличения нагрузки на компьютер процессом svchost.exe.

Источник