Многие пользователи Windows 10 сталкиваются с тем, что процесс TiWorker.exe или Windows Modules Installer Worker грузит процессор, диск или оперативную память. Причем нагрузка на процессор бывает такой, что какие-либо другие действия в системе становятся затруднены.
В этой инструкции подробно о том, что такое TiWorker.exe, почему он может нагружать компьютер или ноутбук и что можно сделать в этой ситуации, чтобы исправить проблему, а также о том, как отключить этот процесс.
Что за процесс Windows Modules Installer Worker (TiWorker.exe)
Прежде всего о том, что такое TiWorker.exe — это процесс, запускаемый службой TrustedInstaller (установщик модулей Windows) при поиске и установке обновлений Windows 10, при автоматическом обслуживании системы, а также при включении и отключении компонентов Windows (в Панель управления — Программы и компоненты — Включение и отключение компонентов).
Удалить этот файл нельзя: он необходим для правильной работы системы. Даже если вы каким-то образом удалите этот файл, с большой вероятностью это приведёт к необходимости восстановления операционной системы.
Существует возможность отключить запускающую его службу, о чем тоже поговорим, но обычно, для того, чтобы исправить описываемую в текущем руководстве проблему и снизить нагрузку на процессор компьютера или ноутбука, этого не требуется.
Штатная работа TiWorker.exe может вызывать высокую нагрузку на процессор
В большинстве случаев то, что TiWorker.exe грузит процессор — это штатная работа Windows Modules Installer. Как правило, это происходит при автоматическом или ручном поиске обновлений Windows 10 или их установке. Иногда — при проведении обслуживания компьютера или ноутбука.
При этом обычно достаточно просто подождать, когда установщик модулей завершит свою работу, что на медленных ноутбуках с медленными жесткими дисками, а также в тех случаях, когда обновления давно не проверялись и не скачивались, может занять продолжительное время (вплоть до часов).
Если ждать нет желания, а также нет уверенности, что дело в вышеописанном, начать следует со следующих шагов:
- Зайдите в Параметры (клавиши Win+I) — Обновление и восстановление — Центр обновления Windows.
- Проверьте наличие обновлений и дождитесь их загрузки и установки.
- Перезагрузите компьютер для окончания установки обновлений.
И ещё один вариант, вероятно, нормальной работы TiWorker.exe, с которым несколько раз пришлось столкнуться: после очередного включения или перезагрузки компьютера вы видите черный экран (но не так как в статье Черный экран Windows 10), по Ctrl+Alt+Del можно открыть диспетчер задач и там виден процесс Windows Modules Installer Worker, который сильно грузит компьютер. В этом случае может показаться, что с компьютером что-то не так: но по факту, через 10-20 минут всё приходит в норму, загружается рабочий стол (и больше не повторяется). Судя по всему, такое происходит, когда загрузка и установка обновлений была прервана перезагрузкой компьютера.
Проблемы в работе Центра обновления Windows 10
Следующая по распространенности причина странного поведения процесса TiWorker.exe в диспетчере задач Windows 10 — неправильная работа Центра обновлений.
Здесь следует попробовать следующие способы исправления проблемы.
Автоматическое исправление ошибок
Возможно, помочь решить проблему смогут встроенные средства поиска и устранения неполадок, для использования которых выполните следующие шаги:
- Зайдите в Панель управления — Устранение неполадок и слева выберите «Просмотр всех категорий».
- Поочередно запустите следующие исправления: «Обслуживание системы», «Фоновая интеллектуальная служба передачи», «Центр обновления Windows».
После завершения выполнения, попробуйте выполнить поиск и установку обновлений в параметрах Windows 10, а после установки и перезагрузки компьютера посмотреть, была ли исправлена проблема с Windows Modules Installer Worker.
Ручное исправление проблем Центра обновлений
Если предыдущие шаги не решили проблему с TiWorker, попробуйте следующие:
- Способ с ручной очисткой кэша обновлений (папки SoftwareDistribution) из статьи Не скачиваются обновления Windows 10.
- Если проблема появилась после установки какого-либо антивируса или фаервола, а также, возможно, программы для отключения «шпионских» функций Windows 10, это также могло повлиять на возможность загрузки и установки обновлений. Попробуйте временно их отключить.
- Выполните проверку и восстановление целостности системных файлов, запустив командную строку от имени Администратора через меню правого клика мыши по кнопке «Пуск» и введя команду dism /online /cleanup-image /restorehealth (подробнее: Проверка целостности системных файлов Windows 10).
- Выполните чистую загрузку Windows 10 (с отключенными сторонними службами и программами) и проверьте, будет ли работать поиск и установка обновлений в параметрах ОС.
Если с вашей системой всё в целом в порядке, то один из способов к этому моменту уже должен был бы помочь. Однако, если этого не произошло, можно попробовать альтернативные варианты.
Как отключить TiWorker.exe
Последнее, что я могу предложить в плане решения проблемы — это отключить TiWorker.exe в Windows 10. Для этого проделайте следующие шаги:
- В диспетчере задач снимите задачу с Windows Modules Installer Worker
- Нажмите клавиши Win+R на клавиатуре и введите services.msc
- В списке служб найдите «Установщик модулей Windows» и дважды кликните по ней.
- Остановите службу, а в тип запуска установите «Отключена».
После этого процесс запускаться не будет. Еще один вариант этого же способа — отключение службы «Центр обновления Windows», но в данном случае исчезнет возможность устанавливать обновления вручную (как это описывается в упоминавшейся статье про не скачивающиеся обновления Windows 10).
Дополнительная информация
И еще несколько пунктов, касающихся высокой нагрузки, создаваемой TiWorker.exe:
- Иногда это может быть вызвано несовместимыми устройствами или их фирменным ПО в автозагрузке, в частности встречалось для HP Support Assistant и служб старых принтеров других марок, после удаления — нагрузка пропадала.
- Если процесс вызывает мешающую работать нагрузку в Windows 10, но это не является результатом проблем (т.е. проходит само через некоторое время), вы можете установить низкий приоритет для процесса в диспетчере задач: при этом, ему придется дольше выполнять свою работу, но TiWorker.exe будет в меньшей степени влиять на то, что вы делаете за компьютером.
Надеюсь, какие-то из предложенных вариантов помогут исправить ситуацию. Если же нет, попробуйте описать в комментариях, после чего появилась проблема и что уже предпринималось: возможно, у меня получится помочь.
Все способы:
- Что это за процесс
- Вариант 1: Снижаем нагрузку на диск
- Способ 1: Принудительная установка обновлений
- Способ 2: «Диспетчер задач»
- Способ 3: Отключение службы
- Вариант 2: Исправление ошибок в работе «Центра обновления»
- Способ 1: Ручная очистка папки с кешем
- Способ 2: Приостановка работы стороннего антивируса
- Способ 3: Использование диагностических утилит
- Способ 4: Проверка целостности системных файлов
- Способ 5: Чистая загрузка ОС
- Вопросы и ответы: 0
Что это за процесс
Нередко пользователи Windows 10 сталкиваются с проблемой, когда процесс «Windows Module Installer Worker» грузит жесткий диск и память, что затрудняет работу с системой. Этот процесс активируется специальным системным файлом – «Ti.Worker.exe», который запускает установщика модулей. Но если копнуть глубже, то все эти действия напрямую связаны со службой «TrustedInstaller», предназначенной для поиска обновлений для «десятки», а также автоматического выполнения обслуживания, например фоновой дефрагментации и других действий.
Когда службы работает, то, соответственно, рассматриваемый модуль начинает сильно грузить компоненты компьютера или ноутбука, и особенно это заметно на слабом «железе».
Следует отметить, что «Ti.Worker.exe» — важный программный компонент Виндовс. Без него необходимые обновления безопасности не будут найдены и установлены, что приводит к снижению защиты системы. Также он нужен для автоматического устранения проблемы, если какой-либо апдейт содержит в себе ошибки.
Если «Windows Module Installer Worker» грузит систему, то обычно достаточно немного подождать, пока установщик модулей завершит свою работу, – загруженность пройдет, когда все необходимые операции будут выполнены. К сожалению, это может занимать довольно долгое время – вплоть до нескольких часов, что зависит от вычислительных мощностей вашего ПК. Также долгое ожидание может быть связано и с тем, что ОС давно не обновлялась. Если выходит так, что работать за компьютером становится практически невозможно, а сделать что-либо необходимо прямо сейчас, можно вручную снизить нагрузку на диск, о чем мы и поговорим ниже.
Забегая наперед, добавим, что бывают ситуации, когда всему виной не деятельность компонента, а проблемы с «Центром обновления Windows». В этом случае может потребоваться исправления ошибок в его работе, и про это рассказано во второй части статьи.
Вариант 1: Снижаем нагрузку на диск
Поскольку процесс «Windows Module Installer Worker» является критически важным элементом для функционирования системы, то удалить его нельзя. Но есть несколько альтернативных методов, которые помогут снизить нагрузку на диск, что позволит более комфортно пользоваться ОС.
Способ 1: Принудительная установка обновлений
Попробуйте принудительно установить обновления, что также иногда занимает немало времени, но иногда даже такой процесс завершается намного быстрее, чем работа установщика модулей.
- Нажмите на кнопку «Пуск» и выберите запуск «Параметров».
- В появившемся окне перейдите в раздел «Обновление и безопасность».
- Оставаясь на вкладке «Центр обновления Windows», в центральной части окна кликните по кнопке «Проверить наличие обновлений».
После этого начнется принудительный поиск апдейтов для системы. Когда они будут найдены, нажмите на кнопку установки. По завершении перезагрузите компьютер, после чего процесс «Windows Module Installer Worker» перестанет беспокоить.
Способ 2: «Диспетчер задач»
По умолчанию установщик модулей запускается с высоким приоритетом, потребляя как можно больше ресурсов. Это позволяет достаточно оперативно установить обновления, но при этом оставшаяся мощность комплектующих распределяется на остальные задачи, что порой и приводит к зависаниям. Если процесс перестает нагружать диск через некоторое время, то это вряд ли является проблемой, поэтому можно изменить его приоритет через «Диспетчер задач»:
- Кликните правой кнопкой мыши по нижней панели и из меню выберите запуск «Диспетчера задач».
- На вкладке «Подробности» отыщите компонент «TiWorker.exe», нагружающий диск, и щелкните по его названию ПКМ, а из контекстного меню выберите опцию «Задать приоритет», затем отметьте «Низкий».
После настройки процесса он будет выполнять свою задачу медленнее, поскольку ресурсы для него будут несколько ограничены, но при этом он станет меньше грузить компоненты и не будет мешать работать.
Также можете приостановить работу процесса «Windows Module Installer Worker». Делается это через «Диспетчер задач» на вкладке «Процессы». Достаточно отыскать компонент и через контекстное меню завершить процесс. Но учтите — после перезагрузки системы служба продолжит свою работу, пока не найдет и не установит апдейты.
Способ 3: Отключение службы
Если в предыдущем способе после отключения установщик модулей Виндовс возобновит работу после перезапуска ПК, то этот метод предполагает деактивацию службы, связанной с компонентом, а также изменение типа запуска.
- Запустите оснастку «Службы», отыскав ее через поисковую строку «Пуска».
- В списке служб отыщите «Установщик модулей Windows» и дважды кликните по нему левой кнопкой мыши, чтобы перейти в окно с параметрами.
- В выпадающем меню «Тип запуска» выберите «Отключено», затем нажмите на кнопку «Остановить» ниже и сохраните настройку.
В этом случае поиск и инсталляция апдейтов будет насовсем отключены, но имейте в виду, что это ставит под угрозу безопасность компьютера.
Вариант 2: Исправление ошибок в работе «Центра обновления»
Также чрезвычайная нагрузка на диск установщиком модулей может быть причиной некорректной работы «Центра обновления Windows» и его компонентов. В этом случае может потребоваться исправить ситуацию вручную, но для большинства ситуаций в ОС предусмотрены автоматические инструменты.
Способ 1: Ручная очистка папки с кешем
Очистка папки с кешем обновлений, которая хранится на локальном диске, может помочь в тех случаях, когда установщик модулей конфликтует с предыдущими апдейтами. Чтобы исправить ситуацию, попытайтесь вручную удалить старые данные:
- Отключите интернет, затем запустите «Командную строку» от имени администратора. Чтобы открыть консоль, можете воспользоваться строкой системного поиска.
- Чтобы приостановить работу «Центра обновлений Windows», поочередно введите несколько команд, выполнив каждую из них нажатием на клавишу «Enter»:
net stop wuauserv
net stop bits - Когда обе команды успешно выполнены, откройте встроенный «Проводник» и перейдите по пути
C:\Windows\SoftwareDistribution\. Очистите содержимое последнего каталога – там хранится кеш обновлений. - Вернитесь к консоли и выполните две команды, запускающие службы «Центра обновления»:
net start bits
net start wuauserv
После этого снова подключитесь к интернету и проверьте, перестал ли грузить диск «Windows Module Installer Worker».
Способ 2: Приостановка работы стороннего антивируса
Если вы заметили, что проблема появилась после установки какого-либо стороннего антивируса или фаервола, есть смысл попробовать отключить такой софт. Все дело в том, что такие программы могут по ошибке заподозрить деятельность самой системы как небезопасную и заблокировать работу установщика модулей, и из-за этого конфликта происходит большая нагрузка на компоненты компьютера. Методы отключения различаются, завися от настроек антивирусного продукта, и в отдельном руководстве мы разбирали некоторые наиболее популярные решения.
Подробнее: Отключение антивируса
В том случае, когда причиной неполадки действительно стал антивирус, лучше поменять его на другой, если есть такая возможность, иначе он будет постоянно блокировать попытки установить апдейты.
Способ 3: Использование диагностических утилит
Для удобства в Windows 10 встроены специальные утилиты, которые способны проверить на ошибки многие системные компоненты. Те, которые связаны с обновлениями, также можно просканировать в автоматическом режиме:
- Откройте «Панель управления», отыскав средство в главном меню.
- В выпадающем меню «Просмотр» выберите «Крупные значки», затем перейдите в раздел «Устранение неполадок».
- В новом окне на левой панели кликните по строке «Просмотр всех категорий».
- Выполните диагностику трех компонентов, поочередно нажимая на них и следуя инструкции пошагового мастера: «Обслуживание системы», «Фоновая интеллектуальная служба передачи (BITS)» и «Центр обновления Windows».
Если проблема будет найдена и исправлена, установщик модулей должен корректно заработать.
Способ 4: Проверка целостности системных файлов
Нередко подобного рода ошибки и проблемы появляются из-за поврежденных системных файлов, целостность которых могла быть нарушена вследствие вирусных атак или серьезных сбоев в работе «десятки». Попробуйте использовать встроенные утилиты SFC и DISM, которые сканируют файлы и их хранилища в автоматическом режиме. Ранее мы писали о методах сделать это.
Подробнее: Использование и восстановление проверки целостности системных файлов в Windows 10
Способ 5: Чистая загрузка ОС
Попытайтесь выполнить установку апдейтов безопасности при чистой загрузке операционной системы. В таком режиме все сторонние службы и приложения будут отключены, а это может оказаться эффективным в том случае, если они вмешиваются в работу средств обновления.
- Перейдите в окно «Конфигурация системы». Для этого нажмите на клавиши «Win + R», затем в поле оснастки «Выполнить» введите
msconfigи кликните по «ОК». - Перейдите на вкладку «Службы», отметьте пункт «Не отображать службы Майкрософт». Если сторонние службы останутся в списке, выберите «Отключить все». Примените настройки.
- Далее откройте вкладку «Автозагрузка» и из нее запустите «Диспетчер задач».
- На той же вкладке менеджера отключите все элементы автозагрузки.
После выполнения вышеуказанных действий перезагрузите систему – произойдет чистый запуск. Если в таком режиме «Windows Module Installer Worker» не грузит диск или все обновления проходят успешно, значит, какая-то сторонняя служба или программа вмешивается в эту процедуру. Вспомните, когда появилась проблема и что с ней может быть связано, чтобы удалить этот софт.
Читайте также: Удаление программ в Windows 10
Наша группа в TelegramПолезные советы и помощь
Уровень сложностиПростой
Время на прочтение12 мин
Количество просмотров30K
В этой статье моей целью будет быстро и понятно внести памятку о легитимных процессах Windows. Немного расскажу, какой процесс за что отвечает, какие нормальные свойства имеют процессы, и приправлю это все небольшим количеством краткой, но полезной информации.
Я искренне приношу извинения за возможные неточности в изложении материала, информация в этой статье является «сборной солянкой» из моих слов и тысячи и тысячи источников!
По мере возможности я постараюсь обновлять материал, исправляя неточности, делая его более детализированным и актуальным.
System
Путь: Процесс не создается за счет исполняемого файла
Родительский процесс: Нет
Количество экземпляров: Один
Время запуска: Запуск системы
Здесь многословить не стоит: этот процесс отвечает за выполнение ядра операционной системы, других процессов и драйверов устройств, поэтому в основном под ним запускаются файлы .sys и некоторые важные для системы библиотеки. В обязанности System входит контроль за управлением оперативной и виртуальной памятью, объектами файловой системы.
smss.exe
Путь: %SystemRoot%\System32\smss.exe
Родительский процесс: System
Количество экземпляров: Один и дочерний, который запускается после создания сеанса
Время запуска: Через несколько секунд после запуска первого экземпляра
Session Manager Subsystem — диспетчер, отвечающий за создание новых сеансов, запуск процессов csrss.exe и winlogon.exe, отвечающих за графический интерфейс и вход в систему, а также за инициализацию переменных окружения. Первый экземпляр создает сеанс нуля и дочерний экземпляр, и как только дочерний экземпляр инициализирует новый сеанс, запуская csrss.exe и wininit.exe для сеанса 0 или winlogon.exe для сеанса 1, дочерний экземпляр завершается.
Если обнаружены проблемы с файловой системой, первостепенной функцией smss.exe является запуск системной утилиты для проверки диска — autochk.
После выполнения этих задач smss.exe переходит в пассивный режим.
Немного о сеансе 0 и сеансе 1
Сеанс 0 и сеанс 1 — это разные типы сеансов Windows, которые используются для запуска процессов.
Сеанс 0 создается при запуске системы, и в нем в фоновом режиме работают службы и процессы Windows.
Сеанс 1 создается для пользовательских процессов.Chkdsk и autochk — что это вообще, и зачем? А разница в чем?
На самом деле, autochk — это версия chkdsk, которая запускается автоматически smss.exe при обнаруженных проблемах с диском. А разница их в том, что chkdsk можно запустить в среде Windows напрямую из командной строки, а autochk — нет.
Да и autochk работает только с NTFS, что не скажешь про chkdsk — он, в дополнение к NTFS, поддерживает FAT и exFAT.Кстати!
По сути, chkdsk тоже может запускаться smss.exe, но это зависит от того, что указано в ключе реестраHKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\SessionManager(здесь хранится информация, предназначенная для Диспетчеpa сеансов ) в параметреBootExecute). При запуске chkdsk Диспетчер сеансов использует параметр/r, что позволяет утилите производить поиск повреждённых секторов (наряду с ошибками файловой системы).
csrss.exe
Путь: %SystemRoot%\System32\csrss.exe
Родительский процесс: smss.exe, который, запустив csrss.exe, завершает работу
Количество экземпляров: Два или больше
Время запуска: Через несколько секунд после запуска первых двух экземпляров — для сеанса 0 и сеанса 1
Client/Server Run-Time Subsystem — подсистема выполнения «клиент/сервер» обеспечивает пользовательский режим подсистемы Windows. Csrss.exe отвечает за импорт многих DLL-библиотек, которые предоставляют WinAPI (kernel32.dll, user32.dll, ws_2_32.dll и другие), а также за обработку графического интерфейса завершения работы системы.
Процесс запускается для каждого сеанса, а именно 0 и 1, дополнительные сеансы создаются при помощи удаленного рабочего стола или за счет быстрого переключения между пользователями.
Что интересно для Windows Server
Можно проверить количество активных сеансов, введя
query SESSIONв командной строке. Так можно проверить, соответствует ли количество сеансов количеству запущенных csrss.exe.И еще..
До Windows 7 csrss.exe обеспечивал старт окна консоли, но теперь этим занимается conhost.exe.
wininit.exe
Путь: %SystemRoot%\System32\wininit.exe
Родительский процесс: smss.exe, который завершает работу перед запуском wininit.exe
Количество экземпляров: Один
Время запуска: Через несколько секунд после запуска системы
После получения управления от процесса smss.exe, wininit.exe помечает себя как критический, что позволяет ему избегать нежелательного отключения при аварийном завершении сеанса или входа систему в гибернацию. Целью Windows Initialisation (wininit.exe) является запуск ключевых фоновых процессов в рамках сеанса нуля. Он запускает:
-
services.exe — Диспетчер управления службами
-
lsass.exe — Сервер проверки подлинности локальной системы безопасности
-
lsaiso.exe — для систем с включенной Credential Guard.
Дополнительно на протяжении всего сеанса работы системы wininit.exe отвечает за создание и наполнение папки TEMP. Перед выключением wininit.exe снова «активизируется» — теперь уже для корректного завершения запущенных процессов. .
Кстати!
До Windows 10 lsm.exe (Диспетчер локальных сеансов) также запускался с помощью wininit.exe. Начиная с Windows 10, эта функция перенесена в lsm.dll, которая размещена в svchost.exe.
services.exe
Путь: %SystemRoot%\System32\services.exe
Родительский процесс: wininit.exe
Количество экземпляров: Один
Время запуска: Через несколько секунд после запуска системы
В функции services.exe входит реализация Унифицированного диспетчера фоновых процессов (UBPM), который отвечает за фоновую работу таких компонентов, как Диспетчер управления службами (SCM) и Планировщик задач (Task Sheduler). Словом, services.exe отвечает за управление службами, а также за контроль за взаимодействием служб, обеспечивая их безопасную и эффективную работу.
UBPM: немного для тех, кто видит первый раз
Унифицированный диспетчер фоновых процессов (UBPM) — компонент системы, который автоматически управляет фоновыми процессами, такими как службы и запланированные задачи. Словом, он помогает оптимизировать запущенные в фоновом режиме службы, приостанавливать или завершать фоновые процессы, что позволяет экономить ресурсы системы.
Кстати!
До Windows 10, как только пользователь успешно вошел в систему в интерактивном режиме, services.exe считал загрузку успешной и устанавливал для последнего удачного набора элементов управления
HKLM\SYSTEM\Select\LastKnownGoodзначениеCurrentControlSet.А LastKnownGood — что это вообще?
LastKnownGood являлся опцией восстановления, благодаря которой можно запустить систему с последней рабочей конфигурацией, если система не может загрузиться из-за каких-либо причин. LastKnownGood сохранял резервную копию части реестра, в которой хранится информация о системе, драйверах и настройках.
Когда это могло пригодиться? Например, если загрузка нового ПО или изменение параметров системы не привело ни к чему хорошему. Тогда можно было бы использовать эту опцию, чтобы отменить изменения и откатиться к прошлому состоянию.
svchost.exe
Путь: %SystemRoot%\system32\svchost.exe
Родительский процесс: services.exe (чаще всего)
Количество экземпляров: Несколько (обычно не менее 10)
Время запуска: В течение нескольких секунд после загрузки, однако службы могут запускаться в течение работы системы, что приводит к появлению новых экземпляров svchost.exe.
svchost.exe (в Диспетчере задач прописывается как Служба узла) — универсальный хост-процесс для служб Windows, использующийся для запуска служебных DLL. В системе запускается несколько экземпляров svchost.exe, и каждая служба работает в своем собственном процессе svchost, что позволяет изолировать ошибки в работе одной службы от других, хотя в системах с ОЗУ менее 3,5 ГБ службы приходится группировать (см. ниже). Ну а в системах с оперативной памятью более 3,5 ГБ можно увидеть даже более 50 экземпляров svchost.exe.
Злоумышленники часто пользуются преимуществом наличия большого количества процессов svchost.exe, и могут воспользоваться этим, чтобы разместить какую-либо вредоносную DLL в качестве службы, либо запустить вредоносный процесс с именем svchost.exe или что-то типа scvhost.exe, svhost.exe и так далее.
Хотя, как известно, так можно сделать с любым процессом, но с svchost.exe это происходит почаще.
Кстати!
До Windows 10 версии 1703 экземпляры svchost.exe по умолчанию запускались в системе с уникальным параметром
-k, благодаря которому была возможна группировка похожих служб. Типичные параметры-kвключают:
DcomLaunch — служба, которая запускает компоненты COM и DCOM, благодаря которым программы взаимодействуют между собой на удаленных компьютерах
RPCSS — служба RPC (удаленный вызов процедур), благодаря которой программы взаимодействуют между собой через сеть.
LocalServiceNetworkRestricted — локальная служба, которая работает в пределах компьютера и имеет доступ к сети только для определенных операций.
LocalServiceNoNetwork — локальная служба, идентичная LocalServiceNetworkRestricted, но не имеющая доступа к сети.
netsvcs — группа служб Windows, благодаря которым выполняются задачи, связанные с сетью.
NetworkService — служба, которая позволяет выполнять задачи на удаленных хостах, и имеет доступ к сети для обмена данными.
Здесь можно почитать о разделении служб SvcHost.
RuntimeBroker.exe
Путь: %SystemRoot%\System32\RuntimeBroker.exe
Родительский процесс: svchost.exe
Количество экземпляров: Один или больше
Время запуска: Может быть разным
Работающий в системах Windows, начиная с Windows 8, RuntimeBroker.exe действует как прокси между ограниченными приложениями универсальной платформы Windows (UWP) и набором функций и процедур Windows API. В целях безопасности приложения UWP должны иметь ограниченные возможности взаимодействия с оборудованием, файловой системой и другими процессами, поэтому процессы-брокеры а-ля RuntimeBroker.exe используются для обеспечения требуемого уровня доступа для таких приложений.
Обычно для каждого приложения UWP существует один файл RuntimeBroker.exe. Например, запуск сalculator.exe приведет к запуску соответствующего процесса RuntimeBroker.exe.
И такое было: об утечках памяти, связанных с RuntimeBroker
Когда процесс RuntimeBroker еще был в новинку, пользователи во время работы с системой начали замечать, что RuntimeBroker.exe нещадно занимает аж более 500 МБ памяти, что несвойственно для него.
Оказывается, ошибка заключалась в следующем: каждый вызов методаTileUpdater.GetScheduledTileNotificationsприводила к тому, что RuntimeBroker выделял память без ее дальнейшего высвобождения. Чаще всего с этим сталкивались пользователи, у которых было установлено приложение «The Time» для измерения времени — оно постоянно обновляло информацию на плитке.Об этом казусе в Windows 8 можно почитать тут.
Про метод TileUpdater.GetScheduledTileNotifications
Если кратко, это метод, позволяющий получать запланированные уведомления от плиток в универсальных приложениях Windows (UWP). Он позволяет приложениям отображать информацию на стартовом экране пользователя в виде динамически обновляемых плиток.
taskhostw.exe
Путь: %SystemRoot%\System32\taskhostw.exe
Родительский процесс: svchost.exe
Количество экземпляров: Один или больше
Время запуска: Может быть разным
Процесс Task Host Window отвечает за выполнение различных задач Windows.
С началом работы, taskhostw.exe начинает выполнять задачи, которые были назначены ему системой, а в течение работы системы выполняет непрерывный цикл прослушивания триггерных событий. Примеры триггерных событий, которые могут инициировать задачу, могут включать в себя:
-
Определенное расписание задач
-
Вход пользователя в систему
-
Запуск системы
-
Событие журнала Windows
-
Блокировка/ разблокировка рабочей станции и т.д.
Двое из ларца: В чем разница между Task Host Window и Task Scheduler?
Task Host Window отвечает за выполнение различных системных задач, например, запуск служб и выполнение запросов на исполнение программ. Taskhostw.exe может использоваться для запуска службы обновления Windows, перехода компьютера в режим сна или ожидания после определенного времени и так далее.
Task Sheduler, он же Планировщик задач, — инструмент, благодаря которому пользователь имеет возможность создавать задачи и запускать их по расписанию или при определенных событиях. Планировщик задач может быть использован для запуска программ, скриптов и автоматизации задач.
lsass.exe
Путь: %SystemRoot%\System32\lsass.exe
Родительский процесс: wininit.exe
Количество экземпляров: Один
Время запуска: В течение нескольких секунд после загрузки
Local Security Authentication Subsystem Service (Служба проверки подлинности локальной системы безопасности) отвечает за аутентификацию пользователей путем вызова соответствующего пакета аутентификации, указанного в HKLM\SYSTEM\CurrentControlSet\Control\Lsa. Обычно это Kerberos для учетных записей домена или MSV1_0 для локальных учетных записей. Помимо аутентификации пользователей, lsass.exe также отвечает за реализацию локальной политики безопасности (например, политики паролей и политики аудита), а также за запись событий в журнал событий безопасности.
Что любят котята: Mimikatz и LSASS
Многим известно, что злоумышленники могут использовать Mimikatz, зачастую для перехвата учетных данных в операционной системе, и делают они это за счет перехвата данных процесса lsass.exe.
Все просто: работает Mimikatz на уровне ядра и внедряется в процесс LSASS или использует метод DLL-injection. Кража учетных данных происходит либо за счет получения доступа к памяти процесса, в котором лежат заветные креды, либо за счет перехвата вызова функций до шифрования учетных данных.
Также Mimikatz не пренебрегает использованием стандартных функций Win32 LsaProtectMemory и LsaUnprotectMemory, которые используются для шифрования и расшифровки некоторых участков памяти с чувствительной информацией.Чуть больше об lsass.exe можно прочитать тут.
И о любви котят к LSASS — тут.
winlogon.exe
Путь: %SystemRoot%\System32\winlogon.exe
Родительский процесс: smss.exe, который, запустив winlogon.exe, завершает работу
Количество экземпляров: Один или больше
Время запуска: В течение нескольких секунд после загрузки первого экземпляра, дополнительные экземпляры запускаются по мере создания новых сеансов (подключение с удаленного рабочего стола и быстрое переключение пользователей)
Winlogon обрабатывает интерактивный вход и выход пользователей из системы. Он запускает LogonUI.exe, который использует поставщика учетных данных для сбора учетных данных пользователя, а затем передает учетные данные lsass.exe для проверки.
После аутентификации пользователя Winlogon загружает NTUSER.DAT пользователя в HKCU, настраивает окружение пользователя, включая его рабочий стол, настройки реестра и т.д., и запускает оболочку пользователя explorer.exe через userinit.exe.
Совсем чуть-чуть об logonUI.exe
Да, название говорит само за себя: logonUI.exe отвечает за отображение экрана входа пользователя и за взаимодействие с пользователем при входе в систему. Если просто, то вывод того самого экрана входа и поля для ввода учетных данных — старания logonUI.exe.
..И об userinit.exe
Основная функция userinit.exe заключается в подготовке среды пользователя для работы в операционной системе.
Когда пользователь входит в систему, userinit.exe инициирует загрузку профиля пользователя, настройки оболочки (шаблоны рабочего стола, запуск программ и т.д.). После выполнения сих действий, userinit.exe запускает оболочку пользователя explorer.exe, которая отображает рабочий стол и другие элементы интерфейса, после чего завершает работу.Кстати!
Обработка команд из
CTRL+ALT+DEL, между прочим, тоже входит в обязанности winlogon.exe.
А тут можно почитать о Winlogon еще и узнать чуть больше — и про его состояния, и про GINA, и про все-все.
explorer.exe
Путь: %SystemRoot%\explorer.exe
Родительский процесс: userinit.exe, который завершает работу
Количество экземпляров: Один или больше, если включена опция Запускать окна с папками в отдельном процессе
Время запуска: Интерактивный вход пользователя
По своей сути, explorer.exe предоставляет пользователям доступ к файлам, хотя одновременно это файловый браузер через проводник Windows (тот самый Диспетчер файлов) и пользовательский интерфейс, предоставляющий такие функции, как:
-
Рабочий стол пользователя
-
Меню «Пуск»
-
Панель задач
-
Панель управления
-
Запуск приложений через ассоциации расширений файлов и файлы ярлыков
Словом, процесс отвечает за отображение действий пользователя: открытие и закрытие окон, перемещение и копирование файлов и тому подобное.
Запуск приложений через ассоциации расширений файлов
По сути, это процесс, при котором система использует информацию о расширении имени файла (например,
.txt) для определения программы, которая будет запущена, чтобы обработать этот файл. Например, файл расширения.txtассоциируется в системе с текстовым редактором, потому она запустит его при двойном щелчке мышью. Словом, ассоциации расширений файлов определяют, какие программы открываются по умолчанию для определенных типов файлов.Также и с ярлыками — при щелчке запускается связанные с ними ресурсы.
Explorer.exe — это пользовательский интерфейс по умолчанию, указанный в значении реестра HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell, хотя Windows может работать и с другим интерфейсом, например, с cmd.exe.
Следует заметить, что легитимный explorer.exe находится в каталоге %SystemRoot%, а не %SystemRoot%\System32.
Explorer — это же браузер, нет?
В старые добрые времена, когда на системах еще стоял Internet Explorer, запуск этого браузера инициировал процесс iexplore.exe, и с каждой новой вкладкой создавался новый экземпляр этого процесса. Сейчас остался только explorer.exe, который ни в коем случае не связан с браузером.
Вместо Internet Explorer на наших системах стоит MS Edge, который имеет процесс msedge.exe, исполняемый файл которого лежит в\Program Files (x86)\Microsoft\Edge\Application\.
ctfmon.exe
Путь: %SystemRoot%\System32\ctfmon.exe
Родительский процесс: Зависит от того, какой процесс запустил ctfmon.exe
Количество экземпляров: Один
Время запуска: При входе в систему
Процесс ctfmon.exe или, как привыкли его видеть, CTF-загрузчик, управляет функциями рукописного и сенсорного ввода, распознавания голоса и переключения языка на панели задач. Также процесс отслеживает активные программы и настраивает языковые параметры для обеспечения поддержки многоязычного ввода.
Ctfmon.exe может быть запущен разными процессами, и это напрямую зависит от того, какие функции ввода или языка используются в системе. Примеры родительских процессов и причины запуска:
-
svchost.exe — использование рукописного ввода или распознавания речи
-
winword.exe, excel.exe и т.д. — использование программ пакета Microsoft Office
-
searchUI.exe — использование поиска на панели задач или приложения из магазина Windows 10
Конечно, это не исчерпывающий список легитимных процессов, но, как минимум, основной. Хочется верить, что этот материал был полезен тем, кто пугается страшных букв в Диспетчере задач и тем, кто просто хочет узнать немного больше.
Спасибо за прочтение!
Сидите вы за компьютером, никого не трогаете, смотрите очередную подборку смешных видео с котиками и вдруг замечаете, что ПК начинает работать медленнее. Картинка с котиками меняется покадрово, звук периодически пропадает и вообще, на главном окне браузера написано «не отвечает». Открыв диспетчер задач, обнаруживается служба, которая жадно поедает аппаратные ресурсы. Так давайте выясним, почему Windows Modules Installer Worker грузит процессор в Windows 10?
Что это такое?
Windows Modules Installer Worker – это стандартная служба, которая ищет новые системные компоненты на серверах Microsoft и устанавливает их на компьютер.
Сразу стоит отметить, что данная функция не имеет ничего общего с «Центром обновления Windows». Дело в том, что служба WMIW работает отдельно и плевала на ваш выбор – некоторые компоненты все равно будут устанавливаться (хотите вы этого или нет). Невиданная дерзость, правда? Мало того, что вас не спросили, так еще и компьютер нагружают.
Но не стоит горячиться. Windows Modules Installer Worker призван устанавливать все самое необходимое – компоненты безопасности, которые заполняют «пробелы» в защите операционной системы. После каждого подобного обновления вероятность заразиться каким-либо вредоносным ПО снижается.
Почему служба WMIW грузит процессор?
Все дело в поиске этих самых обновлений. Разработчики настроили Windows так, чтоб она обновлялась в ночное время суток и не тревожила пользователей во время активной работы за компьютером. Но, как показывает практика, ночью почти все устройства выключаются. Выход из ситуации только один: загружать нужные компоненты днем.
«А какая разница, когда их скачивать? Разве это влияет на загруженность процессора?» – спросите вы. А отличия заключаются вот в чем: когда у вас день, на другой половине земного шара ночь. Соответственно, сервера используются машинами из другого часового пояса, а вы будете обслужены только в том случае, если для вашего ПК хватит ресурса. Поэтому служба WMIW пытается найти свободный источник для скачивания пакетов, чем грузит процессор.
Как остановить процесс?
Данную службу не рекомендуется останавливать, но если медленная работа компьютера продолжается длительное время и мешает комфортному пользованию, существует эффективный способ отключения.
Для этого произведите следующие действия:
- Нажмите клавиши Ctrl+Shift+Esc и перейдите в «Диспетчер задач».
- Найдите процесс Windows Modules Installer Worker (скорее всего, он будет первым в списке).
- Кликните ПКМ на поле, выберите «Снять задачу» и подтвердите действие.
Но это кратковременный способ уменьшить нагрузку на ПК. Через некоторое время или после перезагрузки процесс снова запустится. Для полного отключения модуля нужно изменить параметры запуска службы.
Для этого:
- Перейдите в «Диспетчер задач» – «Службы».
- В правом нижнем углу окна нажмите кнопку «Службы».
- В новом окне найдите Windows Modules Installer Worker, кликните ПКМ на поле службы и нажмите «Свойства».
- В поле «Тип запуска» выберите «Отключена» и подтвердите изменения кнопкой «ОК».
Внимание! После окончания всех важных дел рекомендуется снова включить WMIW для повышения уровня защищенности ОС Windows к внешним вирусным атакам.
Зная, почему Windows Modules Installer Worker грузит процессор в Windows 10, можно не переживать о возможном заражении вашего компьютера. Наоборот, этот компонент старается защитить ПК и данные. Лучше немного потерпеть неудобства, чем подвергать опасности личную информацию.
Windows Modules Installer Worker или Установщик модулей Windows — Позволяет выполнять установку, изменение и удаление обновлений Windows и дополнительных компонентов. Если эта служба отключена, установка или удаление обновлений Windows могут не работать на этом компьютере. Это стандартный процесс, который ищет новые компоненты системы на серверах Microsoft и устанавливает их на ваш компьютер. Важно заметить, что этот процесс не имеет ничего общего с центром загрузки Майкрософт. Windows Modules Installer Worker (Установщик модулей Windows) работает отдельно – некоторые компоненты могут быть установлены даже в том случае, если вы их не выбирали для установки.
Но самая важная проблема Windows Modules Installer Worker (Установщик модулей Windows) в том, что этот процесс может снизить скорость и эффективность работы вашего компьютера.
Но все не так плохо. Windows Modules Installer Worker (Установщик модулей Windows) необходим для установки важных обновлений: компоненты защиты, которые помогут вам сохранить вашу операционную систему в безопасности. Каждое такое обновление снижает вероятность вирусной атаки.
Почему Windows Modules Installer Worker или Установщик модулей Windows нагружает процессор?
Высокая нагрузка на процессор происходит из-за постоянного поиска обновлений для Windows. В операционной системе Windows обновления устанавливаются в ночное время (чтобы не мешать пользователю). Но в большинстве случаев, наши компьютеры выключены в ночное время, так что единственным решением этой проблемы является загрузка и установка обновлений во время работы компьютера.
Как остановить процесс Windows Modules Installer Worker?
Останавливать данный процесс не рекомендуется. Но в случае если ваш компьютер имеет низкую производительность в течение длительного периода, или он просто вас раздражает в рабочее время, вы можете отключить его.
Для этого выполните следующие действия:
- Нажмите Ctrl + Shift + Esc и перейдите в диспетчер задач.
- Найдите процесс Windows Modules Installer Worker (Установщик модулей Windows) в списке запущенных программ.
- Нажмите правой кнопкой мыши по процессу и в появившемся меню выберите «Завершить задачу».
Это решение быстрое, но не поможет вам в течение длительного периода времени. Через некоторое время или после перезагрузки компьютера процесс Windows Modules Installer Worker(Установщик модулей Windows) заработает снова. Чтобы полностью остановить этот процесс вам нужно изменить параметры запуска.
Выполните шаги ниже:
- Перейдите в Диспетчер задач > Службы.
- В самом низу нажмите на кнопку «Открыть службы».
- Найти Windows Modules Installer Worker в списке, щелкните по нему правой кнопкой мыши и перейдите в его свойства.
- В поле «Тип запуска» выберите «Отключена».
Важно помнить, что процесс Windows Modules Installer Worker (Установщик модулей Windows) поможет вам сохранить ваши личные данные и операционную систему в безопасности от вирусов, поэтому необходимо. Отключайте процесс только в случае реальной необходимости.