C windows syswow64 svchost exe

Если вы читаете эту статью, то наверняка уже обратили внимание на системный процесс, имеющий название «svchost.exe». Причём обычно он не одинок, и компанию ему составляют ещё несколько одноимённых процессов:

В нормальной ситуации быстродействие компьютера от выполнения данного процесса не страдает, и обычные пользователи внимание на него не обращают. Совсем иначе обстоит ситуация, когда процесс начинает «пожирать» от половины до 100% ресурсов компьютера. Причем не эпизодически, а постоянно. Радикальным решением проблемы в таком случае иногда становится переустановка Windows или откат системы к тому моменту, когда она работала нормально. Эти способы не только излишни, но и не всегда помогают, поэтому сегодня мы расскажем вам о более простых решениях проблемы, когда процесс svchost.exe грузит процессор компьютера «на полную».

Что такое svchost.exe

Начнём с теории. Svchost.exe — системный процесс Windows, который отвечает за запуск различных служб на компьютере (например, Служба печати или Брандмауэр Windows). С помощью него на компьютере могут быть запущены несколько служб одновременно, что позволяет сократить потребление ресурсов компьютера этими службами. Кроме того, сам процесс может быть запущен в нескольких копиях. Именно поэтому в «Диспетчере задач» всегда запущено больше одного процесса svchost.exe.

Так из-за чего же svchost.exe может создавать высокую нагрузку на процессор и память компьютера? В сети можно встретить мнение, что процесс svchost.exe инициируется вирусом или вовсе является вирусом. Это не так. Строго говоря, некоторые вирусы и трояны могут маскироваться под него, создавая дополнительную нагрузку на ресурсы компьютера, но их довольно легко вычислить и обезвредить.

Как удалить вирус, замаскированный под процесс svchost.exe

Запустите «Диспетчер задач» (с помощью комбинации клавиш Control+Atl+Delete или из меню Пуск > Программы > Стандартные > Служебные) и откройте вкладку «Процессы». В первой колонке вы увидите названия процессов, а во второй — указание, от чьего имени он был запущен. Так вот, обратите внимание на то, что svchost.exe может запускаться только от имени пользователей LOCAL SERVICE, SYSTEM (или «система»), а также NETWORK SERVICE.

Если вы заметили, что процесс запущен от имени вашего пользователя (например, от имени User), то перед вами — вирус. Так как настоящий svchost.exe может запускаться только системными службами, то он не может находиться в «Автозагрузке» текущего пользователя Windows. Поэтому именно там мы и попробуем найти вирус, замаскированный под системный процесс svchost.exe. Попасть в Автозагрузку можно двумя способами: через стороннюю программу, например, CCleaner или стандартными средствами Windows.

Для того, чтобы попасть в Автозагрузку без установки дополнительных программ, откройте Пуск и в строке поиска программ (в Windows XP — в Пуск > Выполнить) напишите msconfig, после чего нажмите ОК. Появится окно «Конфигурация системы». Перейдите на вкладку Автозагрузка и внимательно просмотрите список программ, запускаемых при загрузке системы. Если в этом списке вы обнаружите процесс svchost.exe, то можете не сомневаться в его вирусном происхождении.

Настоящий svchost.exe может быть запущен только из папки C:\WINDOWS\system32, где «C» — диск, на котором установлена Windows. (В 64-битной операционной системе 32-битная версия svchost.exe расположена в папке C:\WINDOWS\SysWOW64, и теоретически процесс может быть запущен также из неё. Однако по умолчанию все системные процессы, включая svchost.exe, в 64-разрядных Windows запускаются из C:\WINDOWS\system32.) На скриншоте выше видно, файл расположен в папке WINDOWS, да ещё и называется «svhost.exe», а не «svchost.exe», что прямо говорит о его вирусном происхождении.

Список самых излюбленных папок для маскировки вируса выглядит примерно так:

C:\WINDOWS\svchost.exe
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\drivers\svchost.exe
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\sistem\svchost.exe
C:\WINDOWS\windows\svchost.exe
C:\Users\имя-вашего-пользователя\svchost.exe

Файл вирусного процесса может не только находится в одной из перечисленных выше папок (а не в стандартной папке, где находится настоящий svchost.exe), но и называться по-другому:

svhost.exe
svch0st.exe
svchost32.exe
svchosts.exe
syshost.exe
svchosl.exe
svchos1.exe

…И так далее, — фантазия вирусописателей не знает границ :-).

Итак, вы нашли вирус svchost.exe в Автозагрузке. Первое, что нужно сделать — отключить его автозапуск, убрав галку напротив него в столбце «Элемент автозагрузки». Теперь нужно завершить его процесс через «Диспетчер задач» (правая кнопка мыши на процессе > Завершить процесс) и удалить сам файл. Полный путь к файлу, как и на скриншоте выше, всегда указан в столбце «Команда». Вполне возможно, что файл процесса не даст себя удалить, — в этом случае попробуйте сначала перезагрузить компьютер и повторить операцию, или воспользуйтесь программой для удаления подобных, «неудаляемых» файлов Unlocker.

После этого не лишним будет также провести антивирусную проверку компьютера. Если на вашем компьютере до сих пор не установлен антивирус, рекомендуем ознакомиться с нашей статьей о выборе бесплатного антивируса.

Вирусов в системе нет, но svchost.exe всё равно «грузит» компьютер?

Вы нашли и обезвредили все вирусы в системе или убедились, что вирусов на компьютере нет, а svchost.exe по-прежнему мешает работать? Попробуйте выяснить, какая программа или служба использует данный процесс. Это легко сделать с помощью простой бесплатной программы Process Explorer. Очень часто процесс svchost.exe использует служба Windows Update, автоматически устанавливающая обновления на компьютер:

В данном случае можно либо подождать, когда все обновления Windows будут загружены и установлены, либо временно отключить автоматическое обновление Windows. Это можно сделать через Панель управления в разделе Система и безопасность > Центр обновления Windows, открыв Настройки параметров (в боковом меню окна) и выбрав в выпадающем списке пункт Не проверять наличие обновлений:

Если отключение автоматического обновления не помогло, то точно также можно проверить все остальные службы Windows. Остановить или отключить любую службу Windows можно через оснастку «Службы». Попасть в неё легко: нажмите Пуск > кликните на Компьютер правой кнопкой мыши, в раскрывшемся меню выберете Управление > перейдите в Службы и приложения > Службы. Выбрав искомую службу, кликните на неё правой кнопкой мыши и выберите Остановить. Если нагрузку на компьютер создавала именно она, то после остановки службы процесс svchost.exe перестанет загружать ваш компьютер на 100%.

Не удалось решить проблему самостоятельно? Мы готовы вам помочь! «Помощь онлайн» — подробная информация здесь.

Среди процессов внутри диспетчера задач присутствует «svchost.exe» и часто не в единственном числе. Когда ноутбук при этом не перегружен и работоспособность рабочая, значит все в порядке, и трогать его нет смысла. Когда же происходит потеря половины и более мощности и ресурсов, начинается торможение и зависание, следует разобраться. Возможно именно svchost exe грузит процессор и прочие системы ноутбука/ПК.

Примечание: Можно выполнить откат системы с помощью точки восстановления, либо выполнить полную переустановку ОС. Однако, годятся методы не для всех случаев, начните с более простых.

Что за файл

Он присутствует в Windows 7,8 и 10,служит для чтения DLL библиотек виндовс. Все процессы которые появятся в списках если запустить строчку исполнения (Win+R) и вписать туда «services.msc» запущены посредством службы svchost.exe:

Поэтому вы видите список файлов svhost если открываете диспетчера задач. Все они необходимы для работы ОС и запущены при загрузке windows. С помощью св-хоста запускаются:

• Все виды подключений к сетям, которые обеспечивают вам Интернет соединение (как проводное, так и Wi-Fi);
• Процедуры эксплуатации подключаемых устройств – мыши, клавиатуры, веб-камеры, флешки и прочие;
• Системные процессы обновлений данных, встроенные защитники и брандмауэры;

Использование некоторых компонентов может отображаться «svchost.exe» — хост процесс для служб windows. Вместо него работает важное приложение, отключив которое вы получите сбой ОС, ошибку и даже автоматическую перезагрузку системы. Поэтому, когда перегрузка процессора отсутствует, лучше не вмешиваться в работу этих приложений. Стандартное расположение хост-файла C:\Windows\System32 либо C:\Windows\SysWOW64.

Как убрать вирус

Когда svchost.exe грузит процессор, это не нормально. Наиболее вероятной причиной становится вирус, выдающий себя за мирную программу. Определить это просто даже без антивируса. Нужно лишь:

• Выполнить запуск «Диспетчера задач», применив «Atl+Control+Delete»;
• На вкладочке процессы вы найдите хост процессы для служб Windows;
• Присмотритесь к списку, во втором столбце, найдите от имени какого приложения запущено приложение;
• Безвредные будут иметь приложения: LOCALSERVICE, система, NETWORKSERVICE либо SYSTEM;

• Когда имеется вариант, имеющий в столбце надпись User, Administrator, Нет данных и прочие варианты, вы обнаружили вредоносный файл;
• Знайте главное правило — svchost никогда не вносится в списки автоматически загружаемых приложений;

Начните изыскания с удаления файла из списков автоматической загрузки. Для этого есть удобная утилита CCleaner, либо настройки Виндовс. Чтобы применить утилиту, скачайте ее, установите и задействуйте. Раскройте подраздел «Сервис», оттуда войдите в «Автозагрузку». Отыщите svchost.exe, кликните его ЛКМ и далее вверху справа клавишу «Выключить», затем «Удалить».

Через настройки ОС действуют так: Win+R пишут в строчке «msconfig». Откроется окошко «КонфигурацияСистемы». Выберите закладку «Автозагрузка», чтобы увидеть все загружаемые файлы. Наличие там «svchost» означает – вредоносный файл. Отключите его автозагрузку.

После отключения автозагрузки следует завершить работу вредителя в диспетчере приложений, кликнув его ПКМ и выбрав «ЗавершитьПроцесс». После этого следует удаление вредителя с компьютера.

Системный файлик располагается исключительно по адресу C:\WINDOWS\system32, у нас «С» обозначает системный носитель. В системах с разрядностью 64 файлик располагается по адресу C:\WINDOWS\SysWOW64 и оттуда запускается. Любимые места расположения вирусных программ C:\WINDOWS:

• \cоnfig\svchost.еxe;
• \system\svcоst.exе;
• \windows\svchоst.exе;
• \drivеrs\svchоst.exе;
• \sistеm\svchоst.exе;

А так же папка C:\Usеrs\имя-пользователя\svchost.exe. Помимо нахождения в иной папке, вирусный файлик имеет расхождение в наименовании, с оригинальным процессом:

• svсh0st.exе;
• syshоst.exе;
• svсhost32.еxe;
• svchоsl.exe;
• svchos1.exe;

И прочее, зависит от фантазии его творца. Если процесс не удаляется, примените антивирус, или специальную утилиту для разблокировки защищенных программ «Unlocker». Попробуйте перезагрузить систему.

Когда svchost.exe грузит процессор – значит вирус–майнер просто использует ноутбук для майнинга криптовалюты в пользу хозяина. Удалив вирус вы снимите нагрузку, и он заработает как раньше. Не стоит только заниматься необдуманным удалением, можно повредить систему. Хорошая защита от проникновения любых (даже самых современных) вирусов утилита «HideFolders». Достаточно ею скрывать путь к папке windows, чтобы ни один вирус туда не попал.

Вирус не обнаружен, но процессор все равно перегружен

Удалили, либо не обнаружили его, но заметили, что хост процесс для служб windows по-прежнему тормозит работу компьютера. Тогда следует разобраться, какое приложение или процесс эксплуатирует вспомогательный файлик «svchost.exe». Воспользуйтесь утилитой «ProcessExplorer», она бесплатная. Чаще всего перегружает процессор обновление виндовс – WindowsUpdate.

Она захватывает svchost для скачивания и установки обновлений системы. Варианта решения вопроса два: Дождаться пока WindowsUpdate завершит свою работу или выполнить отключение обновлений.

Выключить службу перегружающую компьютер можно так же через вкладку «Службы». Шаги следующие:

• «Пуск»,затем клик ПКМ по «Компьютер» и переход в строчку «Управление»;
• Оттуда в подраздел «Службы иПриложения» —» «Службы»;
• Найдите объект, мешающий ноутбуку функционировать и кликните его ПКМ;
• Выберите в списке «Остановить»;

Если именно она была виновником перегрузки, тогда все снова заработает нормально. Возможно, потребуется перезагрузка.

Как правило, большинство троянских и шпионских программ стараются скрыть своё присутствие на компьютере для чего прибегают к различного рода хитростям, например, тщательно прячут свои процессы либо маскируются под процессы системные. Потенциальной «жертвой» вируса может стать любой системный процесс, но чаще всего вредоносные программы прикрываются маской процесса svchost.

И на это у них есть свои причины. Дело в том, что svchost запускается в нескольких экземплярах внешне практически ничем неотличимых друг от друга, так что если в Диспетчере задач появится ещё один процесс svchost, а их число может достигать нескольких десятков, особого подозрения со стороны пользователя это не вызовет. Но если они одинаковы, как определить, какой из них является настоящим, а какой волком в овечьей шкуре?

Оказывается, что не так уже и сложно, но перед тем как приступать к их идентификации, позвольте пару слов о самом процессе svchost. Как видно из его полного названия Generic Host Process for Win32 Services, отвечает он за работу служб и сервисов, причём как системных, так и сторонних, использующих динамические библиотеки DLL, которые в свою очередь составляют немалую часть файлов Windows и прикладных программ.

Этот процесс настолько важен, что если файл svchost.exe будет повреждён, Windows не сможет нормально работать. В работающей системе присутствует как минимум четыре экземпляра процесса svchost, но их может быть и значительно больше. Необходимость такого дублирования объясняется количеством обслуживаемых процессом служб и сервисов, а также необходимостью обеспечения стабильности системы.

Итак, как же узнать, является ли svchost настоящим? Первым критерием подлинности файла svchost.exe является его месторасположение. Его законным местом обитания являются следующие папки:

• C:/WINDOWS/system32
• C:/Windows/SysWOW64
• C:/WINDOWSPrefetch
• C:WINDOWS/ServicePackFiles/i386
• С:/WINDOWS/winsxs/*

Примечание: звёздочка в конце пути С:/WINDOWS/winsxs обозначает, что в папке winsxs может быть ещё один каталог. Как правило, он имеет длинное название из набора символов, например, amd64_3ware.inf.resources_31bf3856ad364e35_6.3.9600.16384_ru-ru_7f622cb60fd30b1c. В виде исключения из правил файл svchost.exe может располагаться в каталоге антишпионской программы Malwarebytes Anti-Malware.

Если же он обнаружится в какой-нибудь другой папке, особенно в корневой Windows или в «Пользователи», то скорее всего вы имеете дело с маскирующимся вирусом. Проверить расположение файла svchost.exe можно из Диспетчера задач, кликнув по процессу правой кнопкой мыши и выбрав в меню опцию «Открыть расположение файла» либо с помощью сторонних утилит вроде Process Explorer. Используя сторонние файловые менеджеры, также можно выполнить поиск всех файлов svchost.exe по маске.

Последний способ не столь надёжен, так как подделывающийся под процесс svchost вирус может использовать более хитрый способ маскировки. Так, в имени файла одна из латинских букв может быть заменена кириллической. Внешне такой файл ничем не будет отличаться от настоящего, более того, он может располагаться в том же каталоге, что и «правильный» svchost.exe. Впрочем, проверить его подлинность не составляет особого труда. Достаточно сравнить коды символов имени файла воспользовавшись таблицей символов Юникода. Иногда в название файла svchost добавляется лишняя буква, либо наоборот, пропускается. Невнимательный пользователь может и не заметить разницу между, скажем, svchost.exe и svhost.exe.

Тем не менее, спешить удалять подозрительный svchost сходу не стоит. Для начала неплохо было бы проверить его на мульти антивирусном сервисе вроде VirusTotal и, если подозрительный файл окажется подделкой, хотя одна из антивирусных программ выдаст положительный результат. Вредоносный файл, маскирующийся под svchost удаляем с помощью Dr.Web LiveDisk либо утилиты AVZ. Если будете использовать AVZ, вам также понадобиться специальный скрипт, скачать который можно по ссылке ниже.

Алгоритм удаления вируса в AVZ следующий: запускаем утилиты, в меню Файл выбираем опцию «Выполнить скрипт» после чего вставляем код скрипта из прилагаемого файла и нажимаем кнопку «Запустить». При этом будет выполнена перезагрузка компьютера.

После старта проверяем, был ли удалён вирус и проводим полную проверку системного раздела антивирусным сканером.

Скрипт для AVZ: yadi.sk/i/aMnvkKS0m7kp6

This article explains what svchost.exe is, how to know if it’s safe, and what to do if you find a svchost.exe virus.

What Is Svchost.exe?

The svchost.exe (Service Host) file is a critical system process provided by Microsoft in Windows operating systems. Under normal circumstances, this file isn’t a virus but a crucial component in many Windows services.

The purpose for svchost.exe is to, as the name would imply, host services. Windows uses it to group services that need access to the same DLLs to run in one process, helping to reduce their demand for system resources.

Because Windows uses the Service Host process for so many tasks, it’s common to see increased RAM usage of svchost.exe in Task Manager. You’ll also see many instances of svchost.exe running in Task Manager because Windows groups similar services together, such as network-related services.

Given that this is such a critical component, you shouldn’t delete it or quarantine it unless you’ve verified that the specific svchost.exe file you’re dealing with is unnecessary or malicious. There can be only two folders where the real version is stored, making it easy to spot a fake.

Which Software Use Svchost.exe?

The svchost.exe process starts when Windows starts, and then checks the HKLM hive of the registry (under SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost) for services it should load into memory.

Svchost.exe can be seen running in Windows 11, Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, and Windows 2000.

A few examples of Windows services that use svchost.exe include:

• Windows Update
• Background Tasks Infrastructure Service
• Plug and Play
• World Wide Web Publishing Service
• Bluetooth Support Service
• Windows Firewall
• Task Scheduler
• DHCP Client
• Windows Audio
• Superfetch
• Network Connections
• Remote Procedure Call (RPC)

Is Svchost.exe a Virus?

Not usually, but it doesn’t hurt to check, especially if you have no idea why svchost.exe is taking up all the memory on your computer.

The first step in identifying whether svchost.exe is a virus is determining which services each svchost.exe instance is hosting. Since you probably have multiple instances running in Task Manager, you have to dive a little deeper to see what each process is doing before deciding whether to delete the svchost process or disable the service running inside.

Once you know what services are running within svchost.exe, you can see if they’re real and necessary or if malware is pretending to be svchost.exe.

If you have Windows 11, 10, or 8, you can “open” each svchost.exe file from Task Manager.

1. Open Task Manager.

2. Select the Processes tab.

3. Scroll down to the Windows processes section and locate a Service Host: <service name> entry.

4. Tap-and-hold or right-click the entry and select Open file location.

   If the location that opens is anything other than either of the following paths, which are where Windows stores authentic copies of svchost.exe, then you might have a virus:

   • %SystemRoot%\System32\svchost.exe
   • %SystemRoot%\SysWOW64\svchost.exe

   The second path is where 32-bit services running on a 64-bit machine are located. Not all computers have that folder.

5. Back in Task Manager, select the arrow to the left of the entry to expand it. Located directly under the svchost.exe instance is every service it’s hosting.

For other versions of Windows like Windows 7, you can also use Task Manager to see all the services used by svchost.exe, but it isn’t as clearly laid out as it is in newer versions. Do that by right-clicking a svchost.exe instance in the Processes tab, choosing Go to Services, and then reading through the list of highlighted services in the Services tab.

Another option is to use the tasklist command in Command Prompt to product a list of all the services used by all the svchost.exe instances.

To do that, open Command Prompt and enter the following command:

tasklist /svc | find “svchost.exe”

If you don’t identify something on the list, it doesn’t necessarily mean you have a virus. It could just be a service you don’t recognize, but that is vital to the essential operations of Windows. There are probably dozens of “virus-looking” services that are entirely safe.

If you’re hesitant about anything you see, search online. You can do that in newer versions of Windows through Task Manager: right-click the service and select Search online. For Windows 7, Vista, or XP, note the service in Command Prompt and type it into Google.

To shut down a service running in svchost.exe, see the two sets of instructions at the bottom of this page.

Why Is Svchost.exe Using So Much Memory?

Like any process, this one requires memory and CPU power to run. It’s normal to see the increased memory usage of svchost.exe, mainly when one of the services using Service Host is being used.

A big reason for svchost.exe to use lots of memory (and even bandwidth) is if something is accessing the internet, in which case “svchost.exe netsvcs” might be running. It could happen if Windows Update is working to download and install patches and other updates. Other services that are used under svchost.exe netsvcs include BITS (Background Intelligent Transfer Service), Schedule (Task Scheduler), Themes, and iphlpsvc (IP Helper).

One way to stop the svchost process from sucking away so much memory or some other system resource is to stop the services that are to blame. For example, if Service Host slows down your computer because of Windows Update, stop downloading/installing updates or disable the service entirely. Or maybe Disk Defragmenter is defragmenting your hard drive, in which case Service Host will use more memory for that task.

However, it shouldn’t, under everyday situations, be hogging all the system memory. If svchost.exe uses upwards of 90–100 percent of the RAM, you might be dealing with a malicious, non-genuine copy of svchost.exe. If you think that’s what’s happening, keep reading to learn how to delete svchost.exe viruses.

How to Shut Down an Svchost.exe Service

What most people probably want to do with the svchost process is delete or disable a service running inside svchost.exe because it’s using too much memory. However, even if you’re going to delete svchost.exe because it’s a virus, follow these instructions anyway because it’ll be helpful for the service to be disabled before trying to delete it.

1. Open Task Manager.

2. Identify the service you want to disable.

   To do this in Windows 11, 10, or 8, expand the Service Host: [service name] entry.

3. Right-click the Task Manager entry for the service you want to shut down, and choose Stop. Windows will immediately stop that service. Any system resources it was using will be freed for other services and applications.

   If you don’t see the option to stop the service, make sure you’re selecting the service itself and not the “Service Host” line.

4. If the service won’t stop because the program is running, exit it. If you can’t, you might be left having to uninstall the software.

You can verify that it’s been shut down, or permanently disable it, by locating the same service in the Services program (search for services.msc from the Start menu). To stop it from running again, double-click the service from the list and change the startup type to Disabled.

How to Remove an Svchost.exe Virus

You can’t delete the actual svchost.exe file from your computer because it’s too integral and essential of a process, but you can remove fake ones. If you have a svchost.exe file that’s anywhere, but in the \System32\ or \SysWOW64\ folder mentioned earlier, it’s 100 percent safe to delete.

For example, if your Downloads folder contains a Service Host file, or there’s one on your Desktop or a flash drive, it’s evident that Windows isn’t using it for important service hosting purposes, in which case you can remove it.

However, svchost.exe viruses are probably not as easy to delete as regular files. Follow these steps to remove the virus:

1. Right-click the svchost.exe process in Task Manager and select Open file location.

   We won’t do anything with that window just yet, so keep it open.

   Remember that if the folder that opens is one of the System folders mentioned above, your svchost.exe file is clean and should not be deleted. However, take special care to read the file name; if it’s spelled even one letter off of svchost.exe, you’re not dealing with the legitimate file used by Windows.

2. Right-click the same svchost.exe process and choose End task.

   If that doesn’t work, open Process Explorer and right-click the svchost.exe file, and then select Kill Process to shut it down.

3. If there are services nested in the svchost.exe file, open them in Task Manager like explained above, and stop each of them.

4. Open the folder from Step 1 and try deleting the svchost.exe file like you would any other file, by right-clicking it and choosing Delete.

   If you can’t, install LockHunter and tell it to delete the file on the next reboot (this will delete the locked file, something you can’t normally do in Windows).

5. Install Malwarebytes or some other spyware removal tool, and perform a full system scan to delete the svchost process.

   Reboot your computer if something was found.

   If the svchost.exe virus won’t let you install a program on your computer, download a portable virus scanner to a flash drive and scan from there.

6. Use a full antivirus program to scan for viruses.

   It’s a great idea to have one of these always-on virus scanners anyway, even if a different virus scanner was able to delete the svchost.exe file.

7. Use a free bootable antivirus program to scan your computer before Windows starts up. These are helpful when the other scanners fail because the svchost.exe virus can’t run unless Windows is running, and a bootable AV tool runs outside of Windows.

Thanks for letting us know!