C windows system32 svchost exe k dcomlaunch

Пишу со своего компа.

Вчера создавал логи с проблемного компа.Мало того,что делал все в первый раз,так еще и комп мучил.Даже текст в сообщение впечатывался с опозданием,не говоря уже об отправке логов.Поэтому и была полная неразбериха.

Теоретически, дальнейшие действия по выполнению написанных скриптов понятны.Но есть ряд вопросов.

Прежде чем приступить к их исполнению,необходимо ли обратно отключить антивирус,файервол,автоматическое обновление и восстановление системы?(вчера их отключал,но после завершения логов обратно включил.)

Как я понял,AVZ создаст ‘quarantine.zip’. Его надо письмом отослать по указанному адресу.Однако не понял,как в теле письма создать пароль на архив вирус?

Архивировать ведь будет AVZ. Мне необходимо будет извлечь содержимое из архива и заного с архивировать,но уже с паролем?

Вчера старался делать как рекомендовано.Естественно не до сути исполняемых процессов было.Все таки интересно,можно сейчас уже предположить,что в итоге с тем компом? Вирус или глючит сама ОС ?

C. Tantin

Отключил в службах этот DCOM.

перезагрузил комп.

Результат: процессор так же загружен 97%,только теперь уже грузит его svchost.exe (Network Service)

Анвиртаскменеджер пишет,что удаленный вызов процедур.(RPC)

Есть еще одно непонятное. При первом подходе к больному компу видел что загружено обновление.Тогда запустил его.Комп из sp2 превратился в sp3.

Потом опять перед выключением увидел,что он опять грузит обновления.

Вчера тоже в процессе работы видел,что грузит обновления,медленно,но грузит.

Попытка щелчком мышки посмотреть,что же он так долго грузит ни к чему не приводит.

Сегодня мы поговорим про Svchost.exe, что это за процесс и почему он может грузить систему.

Как зайти во вкладку процессы

Пока компьютер работает нормально, обычного пользователя мало интересует, какие процессы запущены в системе и для чего они нужны вообще.

А вот нестандартное поведение ОС Windows XP/Vista/7 – торможение, зависание, частые перезагрузки, заставляет нас искать причины.

С чего же начать поиск? Давайте попробуем запустить «Диспетчер задач».

Варианты запуска.

1. Нажимаем комбинацию клавиш «Ctrl»+ «Alt»+ «Del».
2. Нажимаем кнопку «Пуск», выбираем команду «Выполнить», вводим taskmgr.exe и нажимаем кнопку «Ok».

Теперь переходим на вкладку «Процессы» и изучаем список.

Большое количество процессов svchost.exe сразу настораживает. Ну что ж, самое время разобраться с возможностями этого приложения.

Вернуться к содержанию ^

В последнее время для компоновки служб Windows вместо привычных исполняемых файлов с расширением .exe все чаще применяются динамически подключаемые библиотеки с расширением .dll.

Этот способ считается более эффективным. Однако, библиотечный файл, в отличие от исполняемого, сам стартовать не может.

Запустить службу (сервис) из dll-файла «помогает» приложение svchost.exe.

Вот, например, как запускается служба DNS-клиента:

C:\WINDOWS\system32\svchost.exe -k NetworkService.

Вернуться к содержанию ^

Несколько слов о процессах svchost.exe

Каждый экземпляр процесса svhost.exe инициируется родителем — системным процессом services.exe.

Один процесс svshost.exe может запускать одну службу или группу, состоящую из нескольких логически связанных служб Windows.

Вариант запуска «один процесс svchost -> несколько служб Windows» позволяет экономить ресурсы оперативной памяти и процессора.

Для просмотра svchost-групп и их состава переходим в реестр Windows:

• нажимаем кнопку «Пуск» и находим команду «Выполнить»;
• в командной строке вводим regedit.exe и нажимаем кнопку «Ok».
• в реестре переходим к ветке HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost;
• находим параметры REG_MULTI_SZ со списками служб каждой группы.

Например, в состав группы DcomLaunch входят следующие сервисы:

1. Power – служба, которая управляет конфигурацией питания и отправкой уведомлений об установленных конфигурациях питания;
2. PlugPlay – служба, благодаря которой компьютер автоматически распознает подключенные к нему устройства и настраивает их на работу без участия пользователя или минимизирует это участие.
3. DcomLaunch – служба запуска серверов COM и DCOM для устойчивой работы программ использующие данные сервера.

Ни одну из выше указанных служб отключать не рекомендуется.

При просмотре данных процесса svchost обязательно обратите внимание на колонку «Имя пользователя».

В ней может находиться только одно из следующих значений: «Local Service», «System», «Network Service».

Где живет файл.

В операционных системах Windows XP/Vista/7 местоположение файла svchost.exe – стандартное:

• 32-битные ОС – C:\Windows\System32\;
• 64-битные ОС – C:\Windows\SysWOW64\.

Запомним точный адрес файла. Это нам пригодится в дальнейшем.

Вернуться к содержанию ^

Процесс svchost.exe и его связи

Диспетчер задач выдает нам целый список запущенных процессов svchost.exe, но этой информации явно недостаточно.

Естественно, нас интересует, какие именно сервисы запускает конкретный экземпляр этого процесса.

Итак, несколько способов узнать о связях svchost’а.

Команды tasklist и sc.

Применение команд tasklist и sc возможно в любой версии Windows. Поэтому, этот способ можно считать универсальным.

Прежде всего, запускаем cmd – интерпретатор командной строки Windows:

• нажимаем кнопку «Пуск»;
• выбираем команду «Выполнить»;
• вводим cmd и нажимаем кнопку «Ok».

Для получения списка служб на экране интерпретатора запускаем команду tasklist с ключом svc и нажимаем клавишу «Enter»:

• tasklist /svc «Enter».

Для сохранения результатов запроса в текстовый файл svc.txt, находящийся на диске C: в папке temp, делаем перенаправление вывода команды tasklist:

• tasklist /svc > C:\temp\svc.txt «Enter»

Заметим, что файл будет сохранен в dos-кодировке.

Фрагмент листинга tasklist.exe.

Имя образа PID Службы:

+++

• svchost.exe 1216 DcomLaunch
• svchost.exe 1300 RpcSs
• svchost.exe 1384 WudfSvc
• svchost.exe 1528 Dnscache
• svchost.exe 1584 LmHosts, SSDPSRV

+++

Колонки таблицы:

• «Имя образа» – имя исполняемого файла;
• «PID» – идентификатор процесса;
• «Службы» – список сервисов.

Чтобы получить информацию о конкретном сервисе, задаем его краткое название в качестве параметра команды управления сервисами sc.

Пример получения сведений о службе TermService.

– sc qc TermService «Enter».

Два способа перехода к списку сервисов.

1. Нажимаем кнопку «Пуск», находим команду «Выполнить», в командной строке вводим services.msc и нажимаем кнопку «Ok».
2. Нажимаем кнопку «Пуск», затем выбираем Настройка ->Панель управления -> Администрирование -> Службы.

Диспетчер задач Windows Vista/7.

Получаем список сервисов, связанных с процессом svchost с помощью диспетчера задач Windows Vista/7:

• устанавливаем курсор на название процесса;
• вызываем контекстное меню нажатием правой кнопки мыши и выбираем опцию «Перейти к службам»;
• получаем список, в котором подсветкой выделены связанные с нашим процессом сервисы.

В операционной системе Windows XP опция «Перейти к службам», к сожалению, отсутствует. Этот вариант нельзя считать универсальным.

Утилита Process Explorer.

Эта программа не входит в дистрибутивы Windows, но доступна к скачиванию с сайта Microsoft либо со страницы загрузки Process Explorer.

Процесс запуска очень простой и не требующий инсталляции:

• скачиваем zip-архив;
• разархивируем в папку на диске;
• запускаем файл procexp.exe.

Утилита выдает детальную информацию о процессах, запущенных в системе: pid, загрузку cpu, краткое описание, сведения о производителе и т.д.

При наведении мыши на название одного из экземпляров svchost’а мы получили следующую информацию:

• Command Line – строка запуска сервиса или группы сервисов через svchost;
• Path – путь к файлу svchost.exe;
• Services – список сервисов.

Контекстное меню, вызываемое нажатием правой кнопки мыши, предоставляет большие возможности по управлению процессом и службами, которые он запускает.

Утилита AnVir Task Manager.

Программа AnVir Task Manager не только обеспечивает управление запущенными процессами, сервисами, драйверами и автозагрузкой, но и выполняет функции антивируса.

Порядок запуска такой же, как и у Process Explorer’а:

• скачиваем бесплатную версию AnVir Task Manager в формате zip-архива;
• разархивируем в папку на диске;
• запускаем файл AnVir.exe.

Для переключения языка при первом запуске программы пользуемся главным меню:

«View->Language->Russian».

Выбираем вкладку «Процессы» для получения подробной информации о наших svchost’ах.

В строке процесса мы видим сведения о производителе, путь к исполняемому файлу, процент загрузки ЦП и т.д.

Но самые интересные данные представлены в колонке «Автозагрузка». Здесь вы найдете список запускаемых svchost’ом сервисов.

Дважды щелкаем левой кнопкой мыши по названию процесса и получаем более детальную информацию о нем (окно с вкладками в нижней части экрана).

Система тормозит что делать

Какие симптомы указывают на виновность svchost и как устранить проблемы. Давайте разберемся.

Система может тормозить по разным причинам. Но если в диспетчере задач вы обнаружите процесс svchost.exe c высоким процентом загрузки центрального процессора (иногда даже около 100%) – вполне вероятно, что причина именно в нем.

Многие пользователи считают, что в этом случае svchost обязательно является вирусом. Но это не так. Процесс может грузить систему и по другим причинам.

Давайте рассмотрим, как решить проблему с svchost’ом в обоих случаях.

Вернуться к содержанию ^

Svchost – вирус или нет?

Многие трояны и другие компьютерные вирусы маскируются под известные системные приложения Windows. Svchost – не исключение.

По данным лаборатории Касперского svchost’ом «прикидываются» вирусы Trojan-Clicker.Win32.Delf.cn, Virus.Win32.Hidrag.d, Net-Worm.Win32.Welchia.a, а также известный большинству пользователей вирус Kido.

Итак, начинаем проверять наш процесс.

В первую очередь обратите внимание на расположение файла svchost.exe. Если оно отличается от стандартного – файл смело можно удалять.

Проверьте имя пользователя, запустившего процесс. Список допустимых имен приведен в разделе «Несколько слов о процессах svchost.exe».

Внимательно перечитайте имя процесса. Вирусописатели часто используют похожие имена: svhost, svchosts и т.д.

Приложение никогда не может запускаться через раздел «Run» реестра Windows.

Поэтому обязательно нужно проверить его наличие в автозагрузке:

• нажимаем кнопку «Пуск», выбираем команду «Выполнить», вводим msconfig и нажимаем кнопку «Ok»;
• переходим на вкладку «Автозагрузка»;
• если файл svchost.exe найден — отключаем запуск.

Для удаления подозрительного процесса в диспетчере задач вызываем контекстное меню нажатием правой кнопки мыши и выбираем команду «Завершить дерево процессов».

После выполнения всех описанных действий необходимо обязательно запустить антивирусную программу и пролечить компьютер.

Вернуться к содержанию ^

Svchost не является вирусом, но грузит систему

Если вы убедились, что svchost – реальный системный процесс, давайте разберемся со службами, которые он запускает.

Порядок действий следующий – по очереди останавливаем службы, связанные с процессом, и смотрим, что получится.

Мы уже рассказывали о том, как перейти к списку сервисов в разделе «Процесс svchost.exe и его связи». Теперь разберемся, как их останавливать.

Отключение сервиса в стандартной программе «Службы» ОС Windows:

• устанавливаем курсор на имя службы и двойным щелчком левой кнопки мыши открываем окно службы;
• переходим на вкладку «Общие», нажимаем кнопку «Стоп», затем – «Ok».

Отключение сервиса в программе Process Explorer:

• устанавливаем курсор на нужный процесс svchost.exe, вызываем контекстное меню нажатием правой кнопки мыши и выбираем опцию «Properties»;
• в открывшемся окне переходим на вкладку «Services»;
• выбираем нужную службу в списке и нажимаем кнопку «Stop».

Отключение сервиса в программе AnVir Task Manager:

• устанавливаем курсор на нужный процесс svchost.exe, вызываем контекстное меню нажатием правой кнопки мыши и выбираем «Перейти->Перейти к сервису»;
• выбираем нужный сервис в списке, вызываем контекстное меню нажатием правой кнопки мыши и выбираем опцию «Стоп».

Отключение сервиса с помощью команды sc:

• нажимаем кнопку «Пуск»;
• выбираем команду «Выполнить»;
• вводим cmd и нажимаем кнопку «Ok»;
• в окне интерпретатора вводим команду: sc stop «имя службы» «Enter».

Если остановленная вами служба не является причиной загрузки процессора, ее следует запустить и повторить те же действия со следующей службой.

Перезапуск сервисов:

• программа «Службы» — кнопка «Пуск»;
• программа Process Explorer – кнопка «Restart»;
• программа AnVir Task Manager – кнопка «Пуск»;
• команда sc — sc start «имя службы» «Enter».

Отметим, что остановка службы действует только до перезагрузки Windows. Поэтому, если вы нашли «виновницу», которая грузит систему, нужно отключить ее запуск в программе «Службы»:

• нажимаем кнопку «Пуск», выбираем меню «Настройка ->Панель управления -> Администрирование -> Службы»;
• устанавливаем курсор на имя сервиса и двойным щелчком левой кнопки мыши открываем его окно;
• переходим на вкладку «Общие»;
• находим параметр «Тип запуска», устанавливаем значение «Отключено» и нажимаем кнопку «Ok».

Перед отключением службы вы должны четко представлять, какие функции она выполняет и не приведет ли ее отключение к нарушению работы системы.

Заметим, что при установке Windows включается стандартный набор служб. Некоторые из них могут быть совершенно не нужны вам для работы, и только потреблять ресурсы компьютера.

Поэтому желательно разобраться в назначении каждой из них и отключить лишние службы.

Вернуться к содержанию ^

Четыре возможных причины большой загрузки процессора

Если список служб, запускаемых svchost’ом, достаточно велик – поиск «виновника» превращается в довольно утомительное занятие.

Несколько полезных советов, на что следует обратить внимание в первую очередь.

1. Служба автоматического обновления может работать некорректно для Windows XP. Причина – ошибки в реализации механизма проверки обновлений. Поскольку количество «заплаток» достаточно велико, компьютер способен искать их не один день и зависать при этом.
2. Работа «Проводника Windows», связанного с нашим процессом, напрямую зависит от Internet Explorer. Поэтому устаревшая версия IE – одна из вероятных причин торможения. Решение проблемы – установка новой версии Internet Explorer’а (можно воспользоваться службой автоматического обновления Windows).
3. «Кривые» драйверы, запускаемые svchost’ом из динамических библиотек, также одна из вероятных причин неприятностей. Испытывая трудности в поиске драйверов, пользователи иногда устанавливают найденный в Сети софт от неизвестных производителей. Чаще всего проблемы возникают с драйверами звуковых плат и видеокарт. Проблемные драйверы следует удалить и заменить стабильными версиями.
4. Программа «Защитник Windows» из стандартного дистрибутива Windows 7/Vista предназначенная для защиты ПК от вредоносных программ не может работать в связке с антивирусными программами. Но, к сожалению, не каждый антивирусник может деактивировать «Защитника» (пример — Eset Nod). Для решения вопроса заходим в «Панель управления» через кнопку «Пуск», находим «Защитника» и выключаем флажок «Запускать проверку в состоянии простоя».

Надеемся, что материалы нашей статья помогут вам разобраться в проблемных ситуациях с процессом svchost.exe. Удачи.

Вернуться к содержанию ^

svchost.exe — это исполняемый файл в операционной системе Windows, который используется для запуска и выполнения служб (services) в фоновом режиме. Он играет важную роль в работе системы, но иногда может стать причиной высокой загрузки процессора и замедления компьютера. Особенно это часто происходит, когда svchost.exe dcomlaunch начинает использовать большое количество ресурсов процессора.

Одной из причин, почему svchost.exe dcomlaunch грузит процессор, может быть наличие вредоносных программ или вирусов на компьютере. Эти вредоносные программы могут злоупотреблять процессом svchost.exe путем запуска дополнительных служб и вызывать его повышенную активность. В таких случаях необходимо произвести сканирование системы антивирусным ПО и удалить обнаруженные угрозы.

Еще одной возможной причиной является несовместимость или неоптимальная работа определенных служб, запускаемых svchost.exe dcomlaunch. Это может произойти, когда служба периодически выполняет операции, требующие большого количества ресурсов, что приводит к высокой загрузке процессора. В таких случаях можно попробовать изменить настройки или отключить эти службы вручную, чтобы снизить нагрузку на процессор.

Также возможно, что проблема с загрузкой процессора вызвана ошибками в системе или поврежденными файлами, отвечающими за работу служб. В таких случаях рекомендуется использовать инструменты восстановления системы или переустановить операционную систему для исправления этих проблем.

В целом, загрузка процессора связанная с работой svchost.exe dcomlaunch может быть вызвана различными причинами, включая вредоносные программы, несовместимость служб или системные ошибки. Чтобы решить эту проблему, можно попробовать выполнить сканирование антивирусным ПО, изменить настройки служб или воспользоваться инструментами восстановления системы.

Почему процессор загружается svchost.exe dcomlaunch: причины и способы решения проблемы

При работе на компьютере пользователи иногда сталкиваются с проблемой, когда процессор загружается в результате выполнения процесса svchost.exe, связанного с службой dcomlaunch. Эта проблема может привести к замедленной работе компьютера и повышенному энергопотреблению.

Причины данной проблемы могут быть различными. Ниже приведены некоторые из них:

1. Вирус или вредоносное ПО:

Наличие вируса или вредоносного ПО на компьютере может привести к неправильной работе процесса svchost.exe dcomlaunch. Вирусы могут использовать этот процесс для выполнения своих действий и загружать процессор. Для решения этой проблемы необходимо выполнить полное сканирование компьютера антивирусной программой и удалить обнаруженные угрозы.

2. Проблемы со службой DCOM:

Служба DCOM (Distributed Component Object Model) играет важную роль в обмене информацией между приложениями в операционной системе Windows. Если служба DCOM не работает должным образом, она может вызвать загрузку процессора svchost.exe dcomlaunch. Для решения этой проблемы можно попробовать перезапустить службу DCOM.

3. Обновление Windows:

При выполнении обновления операционной системы Windows некоторые компоненты могут вызывать перегрузку процессора. Это связано с тем, что система проверяет и устанавливает новые обновления, а также выполняет другие задачи, которые могут быть ресурсоемкими. В таких случаях рекомендуется дождаться завершения обновления и перезагрузить компьютер.

4. Проблемы с драйверами:

Некорректные или устаревшие драйверы могут вызывать проблемы с процессом svchost.exe dcomlaunch. Рекомендуется обновить или переустановить драйверы, чтобы решить данную проблему.

В заключение, загрузка процессора svchost.exe dcomlaunch может быть вызвана различными причинами. Но решение проблемы обычно связано с удалением вредоносного ПО, перезапуском службы DCOM, выполнением обновлений операционной системы и обновлением драйверов. Если проблема не устраняется, рекомендуется обратиться к специалисту для дальнейшего анализа и решения проблемы.

Что такое svchost.exe и dcomlaunch

svchost.exe — это исполняемый файл, который запускает и управляет службами операционной системы Windows. Связывает различные службы в один процесс, чтобы оптимизировать использование ресурсов и повысить безопасность. Каждый экземпляр svchost.exe может выполнять несколько служб одновременно.

dcomlaunch (DCOM Launch) — это служба, которая отвечает за запуск и управление распределенными компонентами объектной модели компонентов (DCOM) в операционной системе Windows. DCOM позволяет различным приложениям взаимодействовать друг с другом на разных компьютерах в сети.

Причины, по которым svchost.exe и dcomlaunch могут использовать большую часть процессорного времени, могут быть разными. Одной из вероятных причин является наличие в системе вредоносных программ или вирусов, которые маскируются под эти процессы и используют их для своих операций. Другой причиной может быть сбой какой-либо службы, вызванный неправильными настройками или поврежденными файлами.

Для решения проблемы с загрузкой процессора, вызванной svchost.exe и dcomlaunch, можно предпринять следующие шаги:

1. Проверить наличие вредоносных программ. Сканируйте компьютер с помощью антивирусной программы и антишпионского ПО, чтобы обнаружить и удалить вредоносные программы, если они присутствуют.
2. Выполнить чистку системы. Используйте инструменты, такие как «Диспетчер задач» и «Очистка диска», чтобы удалить временные файлы и другие ненужные данные, которые могут нагружать систему.
3. Обновить операционную систему и службы. Установите все доступные обновления, которые могут содержать исправления для известных проблем со службами.
4. Отключить ненужные службы. Используйте инструмент «Услуги» для отключения служб, которые вам не требуются и могут использовать ресурсы процессора.
5. Перезапустить службы. Если определенная служба вызывает проблемы, попробуйте перезапустить ее, используя команду «services.msc» в командной строке.

Если ни один из этих методов не решает проблему, может потребоваться провести более детальный анализ системы или обратиться к специалистам службы поддержки операционной системы.

Почему процессор загружается и расходует ресурсы на svchost.exe dcomlaunch

Одной из причин, по которой процесс svchost.exe dcomlaunch может загружать процессор и расходовать ресурсы, является наличие вредоносного программного обеспечения на компьютере. Вирусы и другие вредоносные программы могут маскироваться под этот служебный процесс, чтобы скрыть свою активность. В этом случае процессор загружается в результате выполнения вредоносного кода, что приводит к неэффективному использованию ресурсов и замедлению работы системы.

Еще одной причиной может быть неправильная конфигурация служебных служб Windows. Служебные службы поддерживают работу различных функций операционной системы и приложений. Если служба, связанная с процессом svchost.exe dcomlaunch, настроена неправильно или испытывает проблемы, это может привести к перегрузке процессора и высокому потреблению ресурсов.

Для решения проблемы загрузки процессора и расхода ресурсов на svchost.exe dcomlaunch могут быть предприняты следующие шаги:

1. Проверить систему на наличие вредоносного программного обеспечения с помощью антивирусного сканера. Если обнаружены угрозы, следует удалить их и проследить за тем, чтобы система оставалась защищенной.
2. Проанализировать список служб Windows, связанных с процессом svchost.exe dcomlaunch, и проверить их настройки. Может потребоваться изменение конфигурации или отключение ненужных служб, чтобы снизить нагрузку на процессор.
3. Обновить операционную систему и установить все доступные обновления. Иногда проблемы с процессом svchost.exe dcomlaunch могут быть связаны с уязвимостями, которые исправляются путем установки обновлений.
4. Провести диагностику системы с помощью специальных инструментов, таких как диспетчер задач Windows или дополнительные программы для мониторинга процессов. Это может помочь определить, какие именно процессы и приложения вызывают повышенную нагрузку на процессор.
5. При необходимости обратиться к специалистам технической поддержки или форумам сообщества Windows. Они могут предложить конкретные рекомендации и помощь в решении проблемы.

Загрузка процессора и расход ресурсов на svchost.exe dcomlaunch могут быть вызваны различными причинами, включая наличие вредоносного программного обеспечения и неправильную конфигурацию служебных служб Windows. Путем проведения анализа и применения соответствующих мер можно минимизировать нагрузку на процессор и обеспечить более эффективное использование ресурсов системы.

Сегодня мы поговорим про Svchost.exe, что это за процесс и почему он может грузить систему.

Как зайти во вкладку процессы

Пока компьютер работает нормально, обычного пользователя мало интересует, какие процессы запущены в системе и для чего они нужны вообще.

А вот нестандартное поведение ОС Windows XP/Vista/7 – торможение, зависание, частые перезагрузки, заставляет нас искать причины.

С чего же начать поиск? Давайте попробуем запустить «Диспетчер задач».

Варианты запуска.

1. Нажимаем комбинацию клавиш «Ctrl»+ «Alt»+ «Del».
2. Нажимаем кнопку «Пуск», выбираем команду «Выполнить», вводим taskmgr.exe и нажимаем кнопку «Ok».

Теперь переходим на вкладку «Процессы» и изучаем список.

Большое количество процессов svchost.exe сразу настораживает. Ну что ж, самое время разобраться с возможностями этого приложения.

Вернуться к содержанию ^

В последнее время для компоновки служб Windows вместо привычных исполняемых файлов с расширением .exe все чаще применяются динамически подключаемые библиотеки с расширением .dll.

Этот способ считается более эффективным. Однако, библиотечный файл, в отличие от исполняемого, сам стартовать не может.

Запустить службу (сервис) из dll-файла «помогает» приложение svchost.exe.

Вот, например, как запускается служба DNS-клиента:

C:WINDOWSsystem32svchost.exe -k NetworkService.

Вернуться к содержанию ^

Каждый экземпляр процесса svhost.exe инициируется родителем — системным процессом services.exe.

Один процесс svshost.exe может запускать одну службу или группу, состоящую из нескольких логически связанных служб Windows.

Вариант запуска «один процесс svchost -> несколько служб Windows» позволяет экономить ресурсы оперативной памяти и процессора.

Для просмотра svchost-групп и их состава переходим в реестр Windows:

• нажимаем кнопку «Пуск» и находим команду «Выполнить»;
• в командной строке вводим regedit.exe и нажимаем кнопку «Ok».
• в реестре переходим к ветке HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost;
• находим параметры REG_MULTI_SZ со списками служб каждой группы.

Например, в состав группы DcomLaunch входят следующие сервисы:

1. Power – служба, которая управляет конфигурацией питания и отправкой уведомлений об установленных конфигурациях питания;
2. PlugPlay – служба, благодаря которой компьютер автоматически распознает подключенные к нему устройства и настраивает их на работу без участия пользователя или минимизирует это участие.
3. DcomLaunch – служба запуска серверов COM и DCOM для устойчивой работы программ использующие данные сервера.

Ни одну из выше указанных служб отключать не рекомендуется.

При просмотре данных процесса svchost обязательно обратите внимание на колонку «Имя пользователя».

В ней может находиться только одно из следующих значений: «Local Service», «System», «Network Service».

Где живет файл.

В операционных системах Windows XP/Vista/7 местоположение файла svchost.exe – стандартное:

• 32-битные ОС – C:WindowsSystem32;
• 64-битные ОС – C:WindowsSysWOW64.

Запомним точный адрес файла. Это нам пригодится в дальнейшем.

Вернуться к содержанию ^

Процесс svchost.exe и его связи

Диспетчер задач выдает нам целый список запущенных процессов svchost.exe, но этой информации явно недостаточно.

Естественно, нас интересует, какие именно сервисы запускает конкретный экземпляр этого процесса.

Итак, несколько способов узнать о связях svchost’а.

Команды tasklist и sc.

Применение команд tasklist и sc возможно в любой версии Windows. Поэтому, этот способ можно считать универсальным.

Прежде всего, запускаем cmd – интерпретатор командной строки Windows:

• нажимаем кнопку «Пуск»;
• выбираем команду «Выполнить»;
• вводим cmd и нажимаем кнопку «Ok».

Для получения списка служб на экране интерпретатора запускаем команду tasklist с ключом svc и нажимаем клавишу «Enter»:

• tasklist /svc «Enter».

Для сохранения результатов запроса в текстовый файл svc.txt, находящийся на диске C: в папке temp, делаем перенаправление вывода команды tasklist:

• tasklist /svc > C:tempsvc.txt «Enter»

Заметим, что файл будет сохранен в dos-кодировке.

Фрагмент листинга tasklist.exe.

Имя образа PID Службы:

+++

• svchost.exe 1216 DcomLaunch
• svchost.exe 1300 RpcSs
• svchost.exe 1384 WudfSvc
• svchost.exe 1528 Dnscache
• svchost.exe 1584 LmHosts, SSDPSRV

+++

Колонки таблицы:

• «Имя образа» – имя исполняемого файла;
• «PID» – идентификатор процесса;
• «Службы» – список сервисов.

Чтобы получить информацию о конкретном сервисе, задаем его краткое название в качестве параметра команды управления сервисами sc.

Пример получения сведений о службе TermService.

– sc qc TermService «Enter».

Два способа перехода к списку сервисов.

1. Нажимаем кнопку «Пуск», находим команду «Выполнить», в командной строке вводим services.msc и нажимаем кнопку «Ok».
2. Нажимаем кнопку «Пуск», затем выбираем Настройка ->Панель управления -> Администрирование -> Службы.

Диспетчер задач Windows Vista/7.

Получаем список сервисов, связанных с процессом svchost с помощью диспетчера задач Windows Vista/7:

• устанавливаем курсор на название процесса;
• вызываем контекстное меню нажатием правой кнопки мыши и выбираем опцию «Перейти к службам»;
• получаем список, в котором подсветкой выделены связанные с нашим процессом сервисы.

В операционной системе Windows XP опция «Перейти к службам», к сожалению, отсутствует. Этот вариант нельзя считать универсальным.

Утилита Process Explorer.

Эта программа не входит в дистрибутивы Windows, но доступна к скачиванию с сайта Microsoft либо со страницы загрузки Process Explorer.

Процесс запуска очень простой и не требующий инсталляции:

• скачиваем zip-архив;
• разархивируем в папку на диске;
• запускаем файл procexp.exe.

Утилита выдает детальную информацию о процессах, запущенных в системе: pid, загрузку cpu, краткое описание, сведения о производителе и т.д.

При наведении мыши на название одного из экземпляров svchost’а мы получили следующую информацию:

• Command Line – строка запуска сервиса или группы сервисов через svchost;
• Path – путь к файлу svchost.exe;
• Services – список сервисов.

Контекстное меню, вызываемое нажатием правой кнопки мыши, предоставляет большие возможности по управлению процессом и службами, которые он запускает.

Утилита AnVir Task Manager.

Программа AnVir Task Manager не только обеспечивает управление запущенными процессами, сервисами, драйверами и автозагрузкой, но и выполняет функции антивируса.

Порядок запуска такой же, как и у Process Explorer’а:

• скачиваем бесплатную версию AnVir Task Manager в формате zip-архива;
• разархивируем в папку на диске;
• запускаем файл AnVir.exe.

Для переключения языка при первом запуске программы пользуемся главным меню:

«View->Language->Russian».

Выбираем вкладку «Процессы» для получения подробной информации о наших svchost’ах.

В строке процесса мы видим сведения о производителе, путь к исполняемому файлу, процент загрузки ЦП и т.д.

Но самые интересные данные представлены в колонке «Автозагрузка». Здесь вы найдете список запускаемых svchost’ом сервисов.

Дважды щелкаем левой кнопкой мыши по названию процесса и получаем более детальную информацию о нем (окно с вкладками в нижней части экрана).

Система тормозит что делать

Какие симптомы указывают на виновность svchost и как устранить проблемы. Давайте разберемся.

Система может тормозить по разным причинам. Но если в диспетчере задач вы обнаружите процесс svchost.exe c высоким процентом загрузки центрального процессора (иногда даже около 100%) – вполне вероятно, что причина именно в нем.

Многие пользователи считают, что в этом случае svchost обязательно является вирусом. Но это не так. Процесс может грузить систему и по другим причинам.

Давайте рассмотрим, как решить проблему с svchost’ом в обоих случаях.

Вернуться к содержанию ^

Svchost – вирус или нет?

Многие трояны и другие компьютерные вирусы маскируются под известные системные приложения Windows. Svchost – не исключение.

По данным лаборатории Касперского svchost’ом «прикидываются» вирусы Trojan-Clicker.Win32.Delf.cn, Virus.Win32.Hidrag.d, Net-Worm.Win32.Welchia.a, а также известный большинству пользователей вирус Kido.

Итак, начинаем проверять наш процесс.

В первую очередь обратите внимание на расположение файла svchost.exe. Если оно отличается от стандартного – файл смело можно удалять.

Проверьте имя пользователя, запустившего процесс. Список допустимых имен приведен в разделе «Несколько слов о процессах svchost.exe».

Внимательно перечитайте имя процесса. Вирусописатели часто используют похожие имена: svhost, svchosts и т.д.

Приложение никогда не может запускаться через раздел «Run» реестра Windows.

Поэтому обязательно нужно проверить его наличие в автозагрузке:

• нажимаем кнопку «Пуск», выбираем команду «Выполнить», вводим msconfig и нажимаем кнопку «Ok»;
• переходим на вкладку «Автозагрузка»;
• если файл svchost.exe найден — отключаем запуск.

Для удаления подозрительного процесса в диспетчере задач вызываем контекстное меню нажатием правой кнопки мыши и выбираем команду «Завершить дерево процессов».

После выполнения всех описанных действий необходимо обязательно запустить антивирусную программу и пролечить компьютер.

Вернуться к содержанию ^

Svchost не является вирусом, но грузит систему

Если вы убедились, что svchost – реальный системный процесс, давайте разберемся со службами, которые он запускает.

Порядок действий следующий – по очереди останавливаем службы, связанные с процессом, и смотрим, что получится.

Мы уже рассказывали о том, как перейти к списку сервисов в разделе «Процесс svchost.exe и его связи». Теперь разберемся, как их останавливать.

Отключение сервиса в стандартной программе «Службы» ОС Windows:

• устанавливаем курсор на имя службы и двойным щелчком левой кнопки мыши открываем окно службы;
• переходим на вкладку «Общие», нажимаем кнопку «Стоп», затем – «Ok».

Отключение сервиса в программе Process Explorer:

• устанавливаем курсор на нужный процесс svchost.exe, вызываем контекстное меню нажатием правой кнопки мыши и выбираем опцию «Properties»;
• в открывшемся окне переходим на вкладку «Services»;
• выбираем нужную службу в списке и нажимаем кнопку «Stop».

Отключение сервиса в программе AnVir Task Manager:

• устанавливаем курсор на нужный процесс svchost.exe, вызываем контекстное меню нажатием правой кнопки мыши и выбираем «Перейти->Перейти к сервису»;
• выбираем нужный сервис в списке, вызываем контекстное меню нажатием правой кнопки мыши и выбираем опцию «Стоп».

Отключение сервиса с помощью команды sc:

• нажимаем кнопку «Пуск»;
• выбираем команду «Выполнить»;
• вводим cmd и нажимаем кнопку «Ok»;
• в окне интерпретатора вводим команду: sc stop «имя службы» «Enter».

Если остановленная вами служба не является причиной загрузки процессора, ее следует запустить и повторить те же действия со следующей службой.

Перезапуск сервисов:

• программа «Службы» — кнопка «Пуск»;
• программа Process Explorer – кнопка «Restart»;
• программа AnVir Task Manager – кнопка «Пуск»;
• команда sc — sc start «имя службы» «Enter».

Отметим, что остановка службы действует только до перезагрузки Windows. Поэтому, если вы нашли «виновницу», которая грузит систему, нужно отключить ее запуск в программе «Службы»:

• нажимаем кнопку «Пуск», выбираем меню «Настройка ->Панель управления -> Администрирование -> Службы»;
• устанавливаем курсор на имя сервиса и двойным щелчком левой кнопки мыши открываем его окно;
• переходим на вкладку «Общие»;
• находим параметр «Тип запуска», устанавливаем значение «Отключено» и нажимаем кнопку «Ok».

Перед отключением службы вы должны четко представлять, какие функции она выполняет и не приведет ли ее отключение к нарушению работы системы.

Заметим, что при установке Windows включается стандартный набор служб. Некоторые из них могут быть совершенно не нужны вам для работы, и только потреблять ресурсы компьютера.

Поэтому желательно разобраться в назначении каждой из них и отключить лишние службы.

Вернуться к содержанию ^

Четыре возможных причины большой загрузки процессора

Если список служб, запускаемых svchost’ом, достаточно велик – поиск «виновника» превращается в довольно утомительное занятие.

Несколько полезных советов, на что следует обратить внимание в первую очередь.

1. Служба автоматического обновления может работать некорректно для Windows XP. Причина – ошибки в реализации механизма проверки обновлений. Поскольку количество «заплаток» достаточно велико, компьютер способен искать их не один день и зависать при этом.
2. Работа «Проводника Windows», связанного с нашим процессом, напрямую зависит от Internet Explorer. Поэтому устаревшая версия IE – одна из вероятных причин торможения. Решение проблемы – установка новой версии Internet Explorer’а (можно воспользоваться службой автоматического обновления Windows).
3. «Кривые» драйверы, запускаемые svchost’ом из динамических библиотек, также одна из вероятных причин неприятностей. Испытывая трудности в поиске драйверов, пользователи иногда устанавливают найденный в Сети софт от неизвестных производителей. Чаще всего проблемы возникают с драйверами звуковых плат и видеокарт. Проблемные драйверы следует удалить и заменить стабильными версиями.
4. Программа «Защитник Windows» из стандартного дистрибутива Windows 7/Vista предназначенная для защиты ПК от вредоносных программ не может работать в связке с антивирусными программами. Но, к сожалению, не каждый антивирусник может деактивировать «Защитника» (пример — Eset Nod). Для решения вопроса заходим в «Панель управления» через кнопку «Пуск», находим «Защитника» и выключаем флажок «Запускать проверку в состоянии простоя».

Надеемся, что материалы нашей статья помогут вам разобраться в проблемных ситуациях с процессом svchost.exe. Удачи.

Вернуться к содержанию ^

Пишу со своего компа.

Вчера создавал логи с проблемного компа.Мало того,что делал все в первый раз,так еще и комп мучил.Даже текст в сообщение впечатывался с опозданием,не говоря уже об отправке логов.Поэтому и была полная неразбериха.

Теоретически, дальнейшие действия по выполнению написанных скриптов понятны.Но есть ряд вопросов.

Прежде чем приступить к их исполнению,необходимо ли обратно отключить антивирус,файервол,автоматическое обновление и восстановление системы?(вчера их отключал,но после завершения логов обратно включил.)

Как я понял,AVZ создаст ‘quarantine.zip’. Его надо письмом отослать по указанному адресу.Однако не понял,как в теле письма создать пароль на архив вирус?

Архивировать ведь будет AVZ. Мне необходимо будет извлечь содержимое из архива и заного с архивировать,но уже с паролем?

Вчера старался делать как рекомендовано.Естественно не до сути исполняемых процессов было.Все таки интересно,можно сейчас уже предположить,что в итоге с тем компом? Вирус или глючит сама ОС ?

C. Tantin

Отключил в службах этот DCOM.

перезагрузил комп.

Результат: процессор так же загружен 97%,только теперь уже грузит его svchost.exe (Network Service)

Анвиртаскменеджер пишет,что удаленный вызов процедур.(RPC)

Есть еще одно непонятное. При первом подходе к больному компу видел что загружено обновление.Тогда запустил его.Комп из sp2 превратился в sp3.

Потом опять перед выключением увидел,что он опять грузит обновления.

Вчера тоже в процессе работы видел,что грузит обновления,медленно,но грузит.

Попытка щелчком мышки посмотреть,что же он так долго грузит ни к чему не приводит.

Давайте разберем популярные вопросы связанные с службой узла, он же svchost.exe. В частности: Что такое svchost.exe? Почему в диспетчере задач отображается несколько процессов svchost.exe? Как узнать имя службы и описания svchost? Почему svchost.exe грузит процессор, память, диск или систему в целом? В диспетчере задач можно увидеть такие имена, как «Служба узла», «Узел служб» или «svchost.exe». Запомните, это одно и тоже.

Что такое svchost.exe в Windows?

Svchost.exe — это общее имя хост-процесса для служб, которые запускаются из динамически подключаемых библиотек. По сути svchost.exe управляет системными службами, которые запускаются из динамически подключаемых библиотек DLL. Что это значит? К примеру, вы наверняка устанавливали игры на свой ПК и, если в Windows запустить исполняемый файл «.exe», то он запуститься привычным нам способом, чтобы установить эту игру. Проблема в том, что вы не можете запустить файл DLL напрямую из Windows так же, как исполняемый файл «.exe». Вместо этого используется оболочка, загружаемая из исполняемого файла. Так и родился процесс Svchost.exe для запуска DLL, который находится в каталоге System32. Примерами таких системных служб являются: «Автоматическое обновление», «Брандмауэр Windows», «Plug and Play», «Служба факсов», «Темы Windows» и многие другие.

Почему запущено так много svchost.exe?

При запуске системы, Svchost.exe проверяет часть раздела реестра со службами и создает список служб, которые ему необходимо загрузить. Каждый сеанс Svchost.exe может содержать группирование служб. Это сделано для уменьшения количества различных запущенных служб и улучшает отладку, если в этом будет необходимость. К примеру, один процесс svchost.exe запускает три службы связанные с брандмауэром. Согласитесь, ведь удобно видеть один процесс, чем три? Если ошибка случается в одной из трех запущенных служб, то это колоссально упрощает отладку и решение проблемы. И это касается остальных служб, которые может загружать svchost.exe и группировать их в один.

Где посмотреть, какие службы запускает svchost.exe

Вы можете посмотреть в редакторе реестра службы, которые запускает svchost.exe. Для этого нажмите Win+R и введите regedit, чтобы запустить редактор реестра. Далее перейдите по пути:

• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost

Вы можете заметить, что я открыл DcomLaunch и в нем 7 связанных служб, которые будут видны как один процесс svchost.exe.

Вы также можете проверить список служб с которыми связан svchost.exe через командную строку. Для этого запустите командную строку от имени админа и введите команду:

• Tasklist /SVC

Вы можете заметить, что svchost.exe запускает 4 службы и объединяет их в одну. Также может и не объединять, как с примером PlugPlay.

svchost.exe грузит систему — ЦП, Память или Диск

Когда вы видите в диспетчере задач, что Служба узла (svchost.exe) грузит вашу систему, в частности ЦП, память или диск, то это может быть не то, что вы себе представляли, и грузить могут совершенно другие службы. К примеру, мы запускаем обновления Windows 10 в центре обновлений, и у нас svchost.exe будет грузить процессор, память или диск почти до 100%. Когда обновления установятся, то процесс svchost.exe больше не будет грузит вашу систему. В другом случае, может быть запущена автоматическая проверка защитником Windows, и в этот момент у вас будет грузится система до 70-90%. Нужно всего лишь подождать. В некоторых других случаях это может быть вирус.

Как узнать, что за служба связанна с svchost.exe

Жмем Ctrl+Shift+Esc, чтобы открыть диспетчер задач. Далее смотрим, что именно у нас под нагрузкой. В моем случае я вижу, что «Узел службы: локальная система» грузит мой диск. Раздвигаю список «Узла службы», и там куча служб. Я бегло посмотрел и обнаружил, что там есть такая служба как «Центр обновления Windows«, далее я перешел в параметры центра обновлений и обнаружил, что идет установка новых обновлений для системы. Я просто пережду, и мой диск после окончания всех процессов по обновлению, перестанет грузиться.

К примеру, если вы не знаете, что за служба в списке «Узла служб», то нажмите правой кнопкой мыши по службе и выберите «Открыть службу«. Там вы обнаружите описание данной службы и для чего она нужна. Вы также можете выбрать «Поиск в Интернете» для описания данной службы.

Как проверить, является ли svchost.exe вирусом

Вредоносное ПО может грузить вашу систему до 80%. В частности, вирусу могут иметь точно такое же имя как и svchost.exe. ,Откройте диспетчер задач, нажав Ctrl+Shift+Esc, и нажмите правой кнопкой мыши по той службе узла, которую считаете за вирус. Далее выберите «Открыть местоположение файла» и, если svchost.exe находиться в каталоге C:WindowsSystem32, то это не вирус. Также рекомендую воспользоваться антивирусным сканером, как Zemana.

---

[ Telegram | Поддержать ]