Что за файл svchost exe грузит систему. Как посмотреть, какие службы запущены с помощью svchost? Схожие названия должны вас насторожить

Статья обновлена 09.12.2011 г.

Симптомы:
Ваш компьютер вдруг сильно начал виснуть и тормозить систему. При этом у вас стоит антивирус с новейшими антивирусными базами. Нажмите Ctrl+Alt+Delete и щелкните по вкладке Процессы . Вы увидите список всех процессов, которые идут в данный момент; при этом вы увидите, что какой-то из процессов потребляет уйму ресурсов компьютера (хотя никакие программы вы в данный момент не используете). Тут вы и увидите некий процесс svchost (процессов с таким же названием будет несколько штук, но вам нужен именно тот, который загружает систему под 100%).

Решение:
1) Попробуйте, в первую очередь, просто перезагрузить компьютер.
2) Если после перезагрузки этот процесс продолжает грузить систему, то кликните правой клавишей по процессу и, в открывшемся списке, выберете Завершить дерево процессов . Затем перезагрузите компьютер.
3) Если вам не помогли первые два способа, то зайдите в папку Windows и найдите там папку Prefetch (C:\WINDOWS\Prefetch). Удалите эту папку (удалите именно папку Prefetch ; НЕ удалите случайно саму папку Windows !!!) Далее следуйте второму пункту (т.е. удалите дерево процессов svchost). Перезагрузите компьютер.

Сколько должно быть всего процессов svchost. exe во вкладке «Процессы»?
Количество процессов с таким названием зависит от того, сколько сервисов запущено через svchost. Количество может зависеть от версии Windows, свойств вашего компьютера и т.д. А потому, процессов с названием «svchost.exe» может быть от 4 (абсолютный минимум) до бесконечности. У меня на 4х-ядерном компьютере с Windows 7 (с учётом запускаемых сервисов) во вкладке «Процессы» стоит 12 svchost’ов.

Как определить, какой из них является вирусом?
Вы можете увидеть на скриншоте выше, что в колонке «Пользователь» рядом с каждым svchost’ом стоит название источника, который и запустил этот самый процесс. В нормальном виде рядом с svchost’ами будет написано «system», или «network service», или «local service». Вирусы же запускают себя от имени «user» (может быть написано «пользователь» или «администратор»).

Что такое, вообще, процесс svchost. exe?
Если говорить простым языком, то процесс svchost – это ускоритель запуска и работы сервисов и служб. Запускаются svchost’ы через системный процесс services.exe

Что будет если я, нажав на «Завершить дерево процессов», случайно завершу системный процесс svchost, а не сам вирус?
Ничего страшного не произойдёт. Система выдаст вам ошибку и перезагрузит компьютер. После перезагрузки всё встанет на свои места.

Какие вирусы маскируются под svchost. exe?
По данным Лаборатории Касперского под svchost.exe маскируются вирусы: Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn, Net-Worm.Win32.Welchia.a
По неподтверждённым данным некоторые версии Trojan.Carberp тоже маскируется под svchost.exe

Как работают эти вирусы?
Эти вирусы без вашего ведома заходят на специальные сервера, откуда либо скачивают ещё что-нибудь опасное, или же отправляют информацию на сервер (а именно ваши пароли, логи и т.д.)

Процесс svchost. exe грузит систему, но в графе «Пользователь» написано « system». Что это такое?
Скорее всего – это означает, что какая-то служба или сервис усиленно работает. Подождите немного, и этот процесс перестанет грузить систему. Или не перестанет... Есть некоторые вирусы (например: Conficker), которые используют настоящие svchost’ы, чтобы портить вашу систему. Это очень опасные вирусы, а потому вам стоит проверить свой компьютер антивирусом (а лучше несколькими сразу). Например, можно скачать DrWeb CureIt – он найдёт такие вирусы и удалит.

Зачем нужно завершать дерево процессов и удалять папку Prefetch?
Если вы завершите дерево процессов вашего, тормозящего систему, svchost’а, то компьютер в экстренном порядке перезагрузиться. А при запуске, когда вирус ещё раз попытается запуститься, то антивирус (который у вас должен быть установлен в обязательном порядке) сразу же обнаружит и удалит его. Хотя существует множество модификаций. Например, первоисточник такого вируса может находиться в папке Prefetch. Эта папка нужна для ускорения работы служб и сервисов. Её удаление не повредит вашему компьютеру.

Мне не помогли ваши советы. Процесс svchost. exe продолжает грузить систему.
В первую очередь, проверьте компьютер антивирусом. А ещё лучше, проверьте компьютер несколькими антивирусами.
Ещё я могу посоветовать, почистить папку System Volume Information. В этой папке находятся точки восстановления для вашего компьютера. Вирусы прописывают себя в эту папку, так как система не позволяет антивирусу удалять что-либо из этой папки. Но это вряд ли вам пригодиться. Я ещё пока не слышал о таких модификациях вирусов, которые бы выдавали себя за svchost.exe и находились в папке System Volume Information.

Если возникнут ещё вопросы, то я с радостью на них отвечу.

Последние советы раздела «Компьютеры & Интернет»:

Комментарии совета:

Отключение поиска и автообновления виндовс спасло мой ноут от поедания ресурсов оперативы процессом svchost. Жрал он 2гб из 6 это без учёта других работающих процессов, вообщем выходило 5гб занятых. Следуя совету отключил центр обновления виндовс убрав флажки с поиска и автоматической установки, завершил дерево процессов svchost и перезагрузил ноут, все прошло) Спасибо советам.

Данную проблему для себя решил давно: 1.Отключено Центр обновления Windows 2.Отключено Клиент сетей Майкрософ

А у меня даже после восстановления системы svchost.exe съедал примерно 17% ЦП. Антивирус касперского ничего не находит. Я отключил службу обновления windows, помогло. Но раньше я ничего не отключал и все нормально работало. Подозрения на игрухи скачанные из интернета.

По своему опыту, svchost (съедал 1,5 гб из 8 гб) грузит установленное ПО, в моем случае прога для настройки локальной сети Network Magic, даже после её сноса, который тоже требует танцев с бубном, svchost безбожно жрет оперативу, выход - удаление процессов в диспетчере задач Windows (Ctrl+Alt+Del): nmsrvc.exe nmapp.exe nmctxth.exe После чего удаление папки с остатками проги "Pure networks shared" (её местонахождение можно узнать кликнув правой кнопкой мыши на вышеуказанных процессах). Вылечил таким образом свой ноут и комп. Надеюсь кому-то поможет.

Дополнение к моему комментарию: Я проверил все svchost.exe в диспетчере которые были запущены системой и данный запрет сработал только на тот который я запретил системе запускать, так что можете использовать этот способ спокойно, если это вирус то можете сами найти его, они обычно скрыты, поэтому отключите скрытие системных файлов и папок и включите показ скрытых файлов и папок, дальше просто проверьте места где данный вирус может быть

Сделал всё что было написано в статье, ничего не помогло, процесс продолжал грузить ЦП ровно на 50%. Я решил что если он был запущен системой, то можно запретить системе запускать его, нажал правой кнопкой мышки на процесс/свойства/безопасность/ выделил систему, нажал "Изменить" и запретил доступ системы к этому процессу, потом завершил дерево процессов и он больше не запускается, компьютер ещё не перезагружал, опасаюсь что теперь система вообще не сможет запускать процессы svchost.exe так что если будете тоже делать так, то будьте готовы к худшему варианту

Есть ещё один вариант, сам проверил. Нужно отключить автообновление системы: открываем Панель управленияЦентр обновления WindowsНастройка параметров и установить "Не проверять наличие обновлений". И ещё один пункт: Панель управленияАдминистрированиеСлужбы в самом низу Центр обновления Windows открываем двойным нажатием и отключаем

Проверил авирами Касперким, 360тотал, Авирой _ результат=0. Грузит даже без подключения паутины.

Я скачал антивирус Касперского и он сразу удалил вирус svchost.exe !Помогло спасибо!

Прошу прощения, они есть, но запущены по всем правилам, системой либо «network service», или «local service». Наверно, надо дальше разбираться, за статью все равно спасибо!

Указанный процесс жрет рабочий трафик. Пыталась последовать описанному выше совету - но у меня в процессах вообще нет svchost, ни одного. Так может быть? Или он по другому называется?

Ден красава!написал прохожий Дата: 13.05.2015 мне помогло в администрирование в службах отключить процесс центр обновления windows и теперь так не грузит оперативку svchost да, спасибо, это действительно помогло. только ещё там же в настройках Центра обновления Виндовс нужно поставить флажок, чтоб включать вручную, а то через некоторое время Центр обновления сам включится.

Ильнар, отключи Центр обновления Windows.

У меня такая проблема. Хост-Процесс для служб Windows постоянно использует интернет, скачивает что-то всегда. А я играю в онлайн игры, где пинг очень важен. А этот вот процесс постоянно что-то качает. Перезапускал, не помогало. Саму систему он не грузит, но интернет жрет.

Спасибо пользователю с ником: " Денис К. " ПОМОГЛО! Отключил в службах службу центр обновления виндовс и проблема ушла))) Советую)

Пишу, как получилось разобраться у себя. Через Диспетчер задач нашёл место расположения.exe файла. Попробовал удалить, не получается- перезапускается. Через Диспетчер в наглую залез и запретил процессу доступ ко всему. Закрыл всё дерево, удалил файл. Всё работает.

господа,все проще,чаще всего этот фаил увеличивается в весе из-за обновлений,когда винда начинает искать обновы СВхост может легко и до 6 гиг весить,отключаете овтопоиск обновлений и вам будет счастье,полностью отключайте

ТОРМОЗИТ ХОСТ УБИВАЕШЬ И ЦП С ОП СТРЕЛЫ ПАДАЮТ.ЧТО ОН ДЕЛАЕТ ТАК И НЕ ПОНЯЛ? НО СО СВОЕЙ ЗАДАЧЕЙ ЖРАТЬ РЕСУРСЫ ПК ОН ХОРОШО СПРАВЛЯЕТСЯ

Могу сказать одно - в подавляющем числе случаев svhost не является вирусом, а продуктом криворукости Майкрософт. У меня два компьютера пострадало от этой беды. Но! На втором я вовремя откатил систему за день до "установки обновления виндоус" и запретил системе любой контакт с производителем (из допустимых для запрета), а именно - отключил загрузку обновлений в службах. Это помогло. Увы, на первом компьютере я ещё не понимал, что это за такое и он до сих самых пор временами зависает, пока я не убью вредоносный процесс.

Здравствуйте. Начало грузить оперативную память на 100% но в диспетчере этот процесс не показан. Сторонние программы показывают что это svhost но не могут его завершить = отказано в доступе. Как быть в таком случае?

Одним из первых процессов, который обращает на себя внимание любого новичка, открывшего Диспетчер задач Windows, становится svсhost.exe. Здесь играет свою роль и то, что пользователь мог слышать о вирусах, маскирующихся под этот процесс, и то, что данный процесс даже в норме может быть запущен многократно, и то, что траффик через него идет вполне серьезный, и ресурсов ПК он может потреблять значимое количество. А вообще, я помню настоящую истерию, когда любой процесс с таким именем воспринимался многими, как вирус в ста случаях из ста - вот, что делала с людской психикой эпидемия Kido.

Что такое svchost.exe

В действительности же, svchost.exe - это один из важнейших процессов ОС Windows, являющийся главным для служб, которые загружаются из динамических библиотек. Встречается он, на момент написания статьи, в следующих официально выпущенных ОС семейства Microsoft Windows: 2000, XP, Vista, 7. С помощью данного процесса выполняется запуск многих системных служб, которые участвуют в работе сервисов операционной системы. Почему запускается так много копий svchost.exe? Дело в том, что каждая из них может отвечать за одну или несколько служб. Группирование служб определяется по данным ветки реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost. Оттого и количество процессов с этим именем варьируется в достаточно широких пределах. Именно из-за этого маскировка вирусов под этот системный процесс достаточно популярна и по сей день. Давайте попробуем разобраться, как отличить реальный процесс svchost.exe от вируса, который самым беспардонным образом маскируется под него.

Схожие названия должны вас насторожить

Некоторые вирусы имеют не полностью аналогичные, а просто схожие названия с системным процессом svchost. Обнаружить их проще всего. Вирусописатели изменяют 1-2 буквы или меняют их местами, как китайские умельцы, подделывающие кроссовки Adidas, но "не знающие" как пишется название этого бренда. Так появляются различные svhost.exe, svchosts.exe или svshost.exe. Вариантов довольно много. Лично мне в моей практике встречалось более десятка. Их достаточно непросто обнаружить при беглом просмотре списка процессов в стандартном диспетчере задач Windows, однако если пользователь знает, что искать, то это вполне реально. Обнаружив такого гостя в своей системе, можно с вероятностью 99,9% быть уверенным, что данный процесс - вирус. Поэтому можно смело его убить.

Настоящий svchost.exe имеет четкую прописку

Файл Svchost.exe имеет четкое положение на диске в системе. В 32-битных ОС он располагается в папке %SystemRoot%\System32. В случае, если у вас установлена 64-битная Windows искать данный файл следует в %SystemRoot%\SysWOW64. Не хочется путать читателей, но необходимо отметить, что копии данного файла также могут содержаться в следующих директориях:

• C:\WINDOWS\Prefetch
• C:\WINDOWS\ServicePackFiles\i386
• С:\WINDOWS\winsxs\[длинное_имя_папки]

В стандартном диспетчере задач Windows нет возможности определить файл, из которого запущен тот или иной процесс. Только в Диспетчер задач ОС Windows 7 встроена возможность отображать путь к файлу без дополнительного программного обеспечения. Здесь можно настроить показ дополнительной колонки, которая называется «Путь к образу» (делается через меню «Вид») или через контекстное меню, появляющеся при клике правой кнопкой мыши на интересующем процессе (нужно выбрать пункт «Открыть место хранения файла»).

Тем у кого на ПК стоит более старая версия Windows не стоит расстраиваться. Воспользуйтесь для проверки пути к файлу svchost.exe дополнительными инструментами. Самый распространенный из тех, что я бы предложил вам попробовать - . Однако есть приложения не хуже. Например, который покажет не только путь к файлу запущенного процесса, но и даже завязанные на каждую копию svchost.exe сервисы. Оба бесплатны, поэтому выбирайте любой.

В том случае, если процесс запущен не из перечисленных выше папок, то это с высокой степенью вероятности будет вирус. Есть ряд приложений, которые используют копии данного файла, находящиеся в других директориях, но это, скорее, казуистика.

Автора! Автора!

Многое о процессе svchost.exe может сказать имя его родителя - того, кто его запустил. Нужно помнить, что настоящий системный svchost.exe не запускается от имени пользователя. Он может быть запущен от имени SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Эти данные видны в столбце «Имя пользователя» в Диспетчере задач.

Кроме того, «правильный» svchost.exe запускается исключительно с помощью механизма системных сервисов. Он не запускается из раздела Run системного реестра и никоим образом не может оказаться в списке автозагрузки системной утилиты msconfig.

Тяжелый случай или если друг оказался вдруг…

Большинство вирусописателей отнюдь не дураки. Поэтому все вышеописанные способы маскировки вирусов под системный процесс svchost.exe, сравнительно легко распознаваемые даже не самыми опытными пользователями, не являются апофеозом искусства изготовления вредоносного ПО. Ряд вирусов заражают непосредственно сам системный файл svchost.exe, модифицируя его. Вирусное тело включается в этот файл, что часто приводит к различным ошибкам, которые указывают на файл svchost.exe. Часто такие измененные файлы начинают потреблять подозрительно много системных ресурсов (та ситуация, когда svchost грузит процессор - до 100% его ресурсов и т.п.) или сетевого трафика (легко спутать с различными автоматическими обновлениями). С абсолютной уверенностью опознать в таких файлах вирус может только антивирусная проверка.

Лечение

Из-за большого разнообразия вредоносных программ, которые используют данный системный файл, универсального лечения не существует. Процессы, которые однозначно идентифицированы нами, как вирусы, - должны быть завершены, а файлы, которые их запускали, помещены в карантин или удалены. Это может быть сделано с помощью упомянутых выше AnVir Task Manager и Process Explorer. Наилучшим лечением будет адекватная и полная проверка системы антивирусом с актуальной базой. Не стоит также забывать про резидентную защиту от вирусов.

Случалось ли вам, зайдя в Диспетчер задач вашей операционной системы, обнаружить несколько запущенных копий одного и того же файла под названием svchost.exe? Что это за файл и способен ли он нанести вред вашему компьютеру? Можно и нужно ли его удалять? Об этом и о многих других вопросах, связанных с этим файлом, мы поговорим в данной статье.

Определение

Svchost.exe - общее название главного процесса для служб, запускаемых из динамических библиотек в линейке ОС Windows. Каждая служба, которая обращается к файлу svchost.exe, запускает на персональном компьютере свою копию этого файла. Таким образом, в диспетчере задач может отображаться сразу несколько десятков его копий. Такая система придумана для того, чтобы сохранить как можно больше свободного места в памяти устройства.

Безопасен ли этот файл?

Сам файл svchost.exe является важным компонентом операционной системы и никой угрозы в себе не таит. Однако нередко вредоносный код, подхваченный в Сети, маскируется под этот файл. Расчет сделан на то, что файл с таким именем вам будет труднее обнаружить и вы побоитесь его удалять, посчитав системным.

Где находится этот файл?

Распознать, является ли вирусом тот или иной запущенный процесс с именем svchost, достаточно просто. В первую очередь необходимо знать, где может быть расположен настоящий, безопасный файл svchost.exe:

• C:\WINDOWS\system32
• C:\WINDOWS\ServicePackFiles\i386
• C:\WINDOWS\Prefetch
• С: \WINDOWS\winsxs\любая папка, находящаяся в данном разделе.

Если вы нашли файл svchost по любому другому пути, знайте - вы имеете дело с вирусом. Исключения составляют лишь антивирусные и некоторые другие программы, которые также создают одноименные папки, но угрозы для вашего компьютера не представляют.

Как посмотреть, какие службы запущены с помощью svchost?

Рассмотрим данный вопрос на примере ОС Windows 7.

1. Зажмите одновременно клавиши Ctrl+Alt+Del и выберите пункт "Запустить диспетчер задач".
2. Перейдите на вкладку процессы и выберите пункт "Отображать процессы всех пользователей".
3. В открывшемся списке вы сможете увидеть, сколько копий файла запущено на вашем компьютере в данный момент и от имени какого пользователя. Необходимо знать, что системный файл svchost.exe может быть запущен только от имени пользователей LOCAL SERVICE, SYSTEM, NETWORK SERVICE или Система. Если файл вызван именем локальной машины, вы имеете дело с вирусом.
4. Чтобы посмотреть, какая служба запустила конкретную копию файла, щелкните по данной копии из списка правой кнопкой мыши и выберите пункт "Перейти к службам" или выберите копию из списка левой кнопкой мыши и откройте соседнюю вкладку "Службы".
5. Чтобы узнать, что представляет собой та или иная служба и какие функции она выполняет на компьютере, нажмите на кнопку "Службы…" в нижнем правом углу открывшегося окна.

Как удалить вирус, маскирующийся под svchost?

Если у вас возникли подозрения, что ваш компьютер заражен вирусом, который маскируется под файл svchost, самым правильным решением будет скачать программу, специально разработанную для удаления с компьютера файлов такого типа. Примером такой программы может послужить Security Task Manager или антивирусная утилита AVZ . После удаления подозрительных файлов вам необходимо будет перегрузить компьютер и провести полную проверку системы на вирусы. Только после этого вы сможете быть полностью уверены, что избавились от вируса, и этот файл больше не угрожает безопасности компьютера.