Svhost exe грузит память windows 7 решение
Содержание:
- Отключение обновлений
- Что такое Svchost.exe
- Svchost — что это
- Причины и решения
- Svchost.exe грузит процессор и память — причина автоматического обновления
- Восстановление системы
- Из-за чего Svchost загружает процессор
- Хост-процесс для служб Windows грузит память и процессор – причины дисфункции
- Информация о файле svchost.exe
- Как влияет svchost на процессор и оперативную память
- Как снизить загрузку процессора сетевыми компонентами?
- Отключение обновлений
- Ищем Svchost.exe в процессах
- Принцип исправления возникшей неполадки в системе
- Процесс svchost.exe и его связи
- Реализация
Отключение обновлений
Много процессов svchost.exe в диспетчере задач порой связано с обновлением операционной системы, а точнее сбоем, который возник при его проведении. В таком случае нужно отключить функцию получения и установки обновлений. Инструкция для Windows 7:
Открыть панель управления, раздел «Система и безопасность».
Из представленного списка выбрать «Центр обновления».
В меню слева кликнуть по строке «Настройка параметров».
Пункт «Важные обновления» выбрать вариант «Не проверять…». В двух других строках снять флажки.
Кликнуть «ОК», чтобы сохранить изменения. Для выполнения действия понадобятся права администратора.
Дополнительно, используя представленную в предыдущем разделе инструкцию, выполнить отключение службы «Центр обновления Windows».
Отключение функции делает систему уязвимой – на нее не будут устанавливаться актуальные заплатки, защищающие выявленные слабые места
Важно регулярно проводить ручной поиск новых компонентов и выполнять их установку
Что такое Svchost.exe
Svchost.exe netsvcs (сокращённые названия — Svchost.exe, Svchost) представляет собой системный процесс Windows 7, отвечающий за ускоренный запуск и работу других сервисов и служб системы. В нормальной ситуации Svchost.exe быстро исполняет свою функцию и освобождает оперативную память, но когда приложения испытывают трудности и начинают сбоить, процесс оказывается загруженным в память несколько раз.
Svchost.exe дублируется много раз
Одновременно работающих Svchost.exe может быть четыре и более. Верхнего предела нет, всё зависит от количества накопленных ошибок. Общая черта у всех клонов процесса в «Диспетчере задач» указывается в качестве пользователя system (система), local service или network service. Другие варианты, в том числе user, имя вашей учётной записи или администратор, говорят о высокой вероятности работы вируса, маскирующегося под Svchost.exe.
К сожалению, некоторые вредоносные программы научились заражать сам Svchost.exe. Заражённый клон внешне не выделяется на фоне других, но усиленно эксплуатирует систему в своих целях. Поэтому дополнительным тревожным признаком может служить чрезмерная загрузка оперативной памяти и ЦП одним из процессов.
Svchost.exe появляется в оперативной памяти по одной из следующих причин:
- Случайный сбой.
- Ошибки службы обновлений. Система может накапливать ошибки и при отказе от загрузки последних обновлений, и при их активной установке. В последнем случае причиной проблемы может быть конфликт с работающей системой или сбой при загрузке из-за некачественной связи. Кроме того, бывает, что и сами обновления содержат внутренние ошибки.
- Большой log-файл событий в журнале. Иногда причиной является чрезмерный размер log файла в журнале событий Windows 7.
- Вредоносные программы. Маскирующиеся по exe вирусы имитируют поведение процесса, чтобы затруднить своё обнаружение.
- Аппаратные проблемы. Повреждение планок оперативной памяти, загрязнение и перегрев процессора и так далее. Особенно актуально для подержанных компьютеров.
- Засорённость системы. Множество загруженных из интернета и временных файлов, давно нечищеный реестр приводят к сбоям в работе Windows 7, приводящим к появлению exe.
Svchost — что это
Впервые появившись в Windows XP, процесс обозначал сетевое подключение. В следующих редакциях операционной системы к нему были подвязаны другие функции. Так он обрел некую универсальность и стал отвечать за запуск и работу ряда системных служб.
Оказываемая нагрузка на процессор и оперативную память связана с неверной работой компонентов Windows или деятельностью вирусной программы, маскирующейся под системный процесс. В последнем случае выявить нестыковку получится путем сравнения месторасположения файла и его названия. Подробнее об этом поговорим позже.
Узнать текущую нагрузку на ресурсы получится через Диспетчер задач. В Windows 7 или 10 кликнуть правой кнопкой по панели задач и выбрать соответствующую команду. Непосредственно в целевом окне потребуется перейти на вкладку «Процессы» или «Подробности».
Выполнив сортировку по имени, будет легко увидеть все запущенные файлы «svchost.exe». Если какой-то из них потребляет много ОЗУ или мощности процессора, следует нажать правой кнопкой и выбрать один из двух вариантов: «Открыть расположение файла» или «Перейти к службам». Так удастся найти сам файл в проводнике и узнать, с какими службами он связан. Конкретные действия рассмотрим ниже в описании способов решения проблемы.
Причины и решения
Для начала стоит сказать, что приведенные решения подходят для Windows 7 и для других версий могут не подойти или работать некорректно, хоть они довольно похожи.
Самое первое что можно сделать в такой ситуации – это перезапустить компьютер. Этот способ универсальный и работает для многих проблем, хоть и временно.
Далее неплохо проверить систему антивирусом. Если он не поставлен, то срочно установите. После проверки посмотрите нет ли обновлений для Windows 7, если они имеются – установите. Для этого зайдите в Панель управления – Система и безопасность – Центр обновления Windows.
Также причиной может быть некорректное обновление системы или программ. Например, антивирус не может установить обновления и поэтому грузить систему. Поэтому попробуйте отключить автоматическое обновление Windows и фоновых программ. Если дело в этом, то компьютер вновь начнет работать нормально. Не забудьте перезагружать компьютер после изменений и проверять важные обновления раз-два в неделю.
Еще одна причина может крыться в том, что запущенно много программ в фоновом режиме и оперативная память просто не справляется. Попробуйте включать-выключать приложения чтобы определиться.
Активный серфинг в интернете тоже может стать причиной заторможенности. Собрав огромное количество временных файлов, вы захламляете реестр. Если причина в этом, то все решается с помощью специальных утилит типа CCleaner.
Если после всех этих манипуляций компьютер тупить, то можно открыть Диспетчер задач, зайти во вкладку «Процессы» и выявите самый прожорливый процесс svchost. Для удобства можно отсортировать их по количеству занимаемой памяти. Нажимаем на него правой кнопкой мыши и выбираем «Перейти к службам».
Появится список служб, ответственных за svchost. Теперь придется провести кропотливую работу. По очереди отключайте каждую из них и смотрите как ведет себя система.
Для отключения зайдите в Панель управления, найдите Администрирование и нажмите на ярлык Службы. Выберете из списка нужный файл, нажмите на него правой кнопкой мыши и щелкнете по «Остановить».
Можно удалить папку Prefetch. Она находится в папке Windows на диске с системой. Опасности это не несет, но может решить проблему.
Еще можно проверить, не накопилась ли пыль в системном блоке? Физическое повреждение чипов памяти тоже может стать причиной того, что Svchost потребляет много ресурсов.
Если ничего не помогает, можно попробовать откатить систему на несколько дней назад. Это можно сделать в Панели управления.
Что делать: оставлять процесс висеть или удалять его вручную – оставлено на усмотрение пользователя. Но стоит помнить, что завершение процесса может негативно сказаться на работе системы и памяти. Поэтому лучше запастись терпением и немного подождать, чем потом разгребать последствия, вплоть до полного краха системы и синего экрана. Не лезьте сразу Диспетчер задач, лучше сначала воспользуйтесь более безопасными методами.
https://youtube.com/watch?v=xiJ5JMDQKFA
Svchost.exe грузит процессор и память — причина автоматического обновления
В Windows 7 есть служба автоматического обновления, которая легко может приводить к тому, что svchost.exe будет грузить процессор и память. К сожалению, особых ограничений для этой службы нельзя выставить. На слабых компьютерах, она может пожирать чуть ли не все мощности. Но, вы всегда можете ее отключить и сами следить за состоянием компьютера. Более подробно о том как это сделать читайте в статье Как отключить обновления Windows 7.
Учтите, что периодически выходят достаточно критические исправления для системы, включая накопительные инструменты для проверки безопасности, поэтому при выставлении уровня лучше стоит оставить хотя бы уведомления, если, конечно, при этом служба не продолжит пожирать процессор и оперативную память.
Восстановление системы
Последний вариант устранения нагрузки на процессор и память – восстановление предыдущего состояния компьютера. Инструкция:
Найти и запустить средство «Восстановление системы».
Выбрать ранее сохраненное состояние.
Кликнуть «Далее» и согласиться на перезагрузку ПК.
Параметры и затрагивающие систему программы будут возвращены к тому состоянию, которое было на момент создания точки восстановления.
Надеемся, что один из представленных способов помог решить проблему и теперь компьютер работает в нормальном режиме.
Программы зависают, тормозит компьютер, приложения не отвечают. С подобными проблемами сталкивался практически каждый пользователь ПК и сталкивается до сих пор. Причин для этого есть огромное множество, но сегодня речь пойдет о файле svchost.exe, который пожирает большую часть ресурсов компьютера.
Мы расскажем, что за процессы связаны с этим файлом, почему он так сильно нагружает систему и как правильно с этим бороться.
Из-за чего Svchost загружает процессор
Ниже перечислены основные группы причин, из-за которых svchost грузит процессор:
- Высокая загруженность сетевых структур операционной системы. Чаще всего это вариант нормы, который встречается, например, во время скачивания и установки обновлений Windows. Нередко виновником бывает программа, активно использующая сеть, вроде торрент-клиента или браузера.
- Некорректная работа какой-либо службы или драйвера устройства. Эта и предыдущая причины тянут более чем на 50 процентов случаев.
- Заражение компьютера вредоносным ПО. Тянет примерно на 15-20% случаев.
- Повреждение, замена, изменение системных файлов (служб, динамических библиотек, самого svchost.exe). Могут быть вызваны не только вирусами, но и пиратскими активаторами Виндовс, а также программами для «улучшения, ускорения и украшения» системы.
- Аппаратная неисправность устройств.
Далее разберем по порядку, как выявить виновника проблемы и что делать дальше.
Хост-процесс для служб Windows грузит память и процессор – причины дисфункции
Итак, каковы же причины, при которых хост-процесс для служб Windows грузит память и процессор? Я бы отметил следующие:
- Случайный сбой операционной системы;
- Повреждение реестра ОС Виндовс;
- Аппаратные проблемы компьютера (засорение внутренностей ПК пылью, проблемы в работе памяти и так далее);
- Проблемы с установкой обновлений в данной операционной системе;
- Работа вирусных программ;
- Раздутый размер log-файла.
После того, как мы определились с причинами того, почему хост-процесс загружает систему, перейдём к списку действий для решения проблемы.
Svchost.exe грузит процессор на 50%
Информация о файле svchost.exe
Процесс Host Process for Windows Services или Generic Host Process for Win32 Services или Хост процес за услугите на Windows или SvcHost Service Host или winrscmde или Хост-процесс для служб Window или TJprojMain или Win
принадлежит программе Microsoft Windows Operating System или ??????????? ?????? Microsoft Windows или Средство построения конечных точек Windows Audio или Background Intelligent Transfer Service или Служба сведений о подключенных сетях или Cryptographic Services или DHCP Client или Windows Audio Endpoint Builder или Computer Browser или Application Experience или Human Interface Device Access или DCOM Server Process Launcher или Application Information или Network Connections или Project1
от Microsoft (www.microsoft.com) или JProof или «Ask-Integrator» или Advanced Systems International SAC или Ufasoft (www.ufasoft.com) или LLC «Master-Sintez или HFFcMjEat20pvMXTR или TEPDT.
Описание: svchost.exe — это общее название главного процесса, связанного с системными функциями Windows, которые запускаются из динамически подключаемых библиотек. При запуске svchost.exe проверяет реестр функций, чтобы загрузить и запустить их. Для них нормально, если одновременно запущены несколько из них. Каждая из них представляет собой группу основных функций, работающих на ПК. Не следует путать с scvhost.exe.
Подробный анализ: svchost.exe часто вызывает проблемы и необходим для Windows. Svchost.exe находится в папке C:\Windows\System32.
Известны следующие размеры файла для Windows 10/8/7/XP 20,992 байт (47% всех случаев), 14,336 байт и .
Это файл Windows. Приложение не видно пользователям. Это заслуживающий доверия файл от Microsoft.
Поэтому технический рейтинг надежности 6% опасности.
Рекомендуем: Выявление проблем, связанных с svchost.exe
Как распознать подозрительные процессы?
- Если svchost.exe находится в подпапках «C:\Users\USERNAME», тогда рейтинг надежности 81% опасности. Размер файла 3,580,520 байт (13% всех случаев), 3,772,520 байт и .
Это не файл Windows. У файла нет информации о создателе этого файла. Приложение не видно пользователям.
Svchost.exe способен мониторить приложения. - Если svchost.exe находится в подпапках C:\Windows, тогда рейтинг надежности 50% опасности. Размер файла 20,992 байт (17% всех случаев), 44,520 байт и .
У процесса нет видимого окна. Это не системный файл Windows. Нет более детального описания программы. Находится в папке Windows, но это не файл ядра Windows.
Svchost.exe способен мониторить приложения и записывать ввод данных. - Если svchost.exe находится в папке C:\Windows, тогда рейтинг надежности 55% опасности. Размер файла 20,480 байт (30% всех случаев), 1,605,120 байт и .
- Если svchost.exe находится в подпапках «C:\Program Files», тогда рейтинг надежности 70% опасности. Размер файла 376,832 байт (5% всех случаев), 8,056,832 байт и .
- Если svchost.exe находится в подпапках C:\Windows\System32, тогда рейтинг надежности 61% опасности. Размер файла 2,030,080 байт (5% всех случаев), 744,448 байт и .
- Если svchost.exe находится в папке Windows для хранения временных файлов , тогда рейтинг надежности 67% опасности. Размер файла 409,088 байт (22% всех случаев), 4,582,912 байт и .
- Если svchost.exe находится в подпапках диска C:\, тогда рейтинг надежности 55% опасности. Размер файла 32,768 байт (22% всех случаев), 277,504 байт и .
- Если svchost.exe находится в подпапках Windows для хранения временных файлов, тогда рейтинг надежности 71% опасности. Размер файла 134,144 байт (16% всех случаев), 8,056,832 байт и .
- Если svchost.exe находится в папке C:\Windows\System32\drivers, тогда рейтинг надежности 81% опасности. Размер файла 194,560 байт (16% всех случаев), 221,696 байт и .
- Если svchost.exe находится в подпапках «C:\Program Files\Common Files», тогда рейтинг надежности 52% опасности. Размер файла 91,648 байт (75% всех случаев) или 1,012,224 байт.
- Если svchost.exe находится в подпапках C:\Windows\System32\drivers, тогда рейтинг надежности 63% опасности. Размер файла 897,215 байт (50% всех случаев) или 26,624 байт.
- Если svchost.exe находится в папке «C:\Users\USERNAME», тогда рейтинг надежности 64% опасности. Размер файла 145,408 байт.
- Если svchost.exe находится в подпапках «Мои файлы» , тогда рейтинг надежности 74% опасности. Размер файла 674,304 байт.
- Если svchost.exe находится в папке «C:\Program Files», тогда рейтинг надежности 64% опасности. Размер файла 90,112 байт.
Как влияет svchost на процессор и оперативную память
Казалось бы, работай и не знай никаких проблем. Однако процессом svchost.exe часто «прикидываются» вирусы, всевозможные шпионские и рекламные приложения Windows.
Маскировка вирусов и троянов
Имитация системного процесса svchost.exe происходит следующим образом. Как известно, эти вредоносные программы помещают свои исполняемые файлы не в папку \Winwows\system32, а в иную, например, Net-Worm.Win32.Welchia.a — она создаётся в той же системной папке Windows. Антивирусные программы способны её изолировать от чтения/записи или и вовсе удалить («network worm» означает «сетевой червь»).
Системный процесс svchost.exe — это не вирус, а компонент Windows. Он никогда не стартует из папки Run реестра Windows, а выполняется лишь через алгоритм системных служб, прописанный другим компонентом Windows — services.exe. А это значит, что его не должно быть в папке автозагрузки msconfig.
Как убедиться в безопасности
Необходимо протестировать процесс svchost, чтобы убедиться в его «вирусности». Так, программа Security Task Manager, проверяя «чистоту» установленной на вашем компьютере копии Windows, поможет убедиться, что безопасность вашего ПК под сомнением.
Как снизить загрузку процессора сетевыми компонентами?
- Отключение фоновых приложений. Некоторые программы используют сеть даже после завершения рабочих процессов. Например, торрент-трекер. Поэтому после прекращения загрузки файлов его нужно принудительно отключить. Также не следует открывать большое количество вкладок и приложений одновременно.
- Очищение от мусора. Не забывайте удалять файлы, которые по какой-либо причине были остановлены в процессе загрузки. После подключения к интернету они могут снова активироваться и создать нагрузку на систему. Разгружайте временные папки вроде Temp.
- Использование блокировщиков рекламы. Они вшиты в браузерах или могут быть свободно скачаны на проверенных ресурсах в интернете. Большое количество рекламных файлов и ссылок, которые используют некоторые сайты, приводит к повышению нагрузки на сеть.
Отключение обновлений
Много процессов svchost.exe в диспетчере задач порой связано с обновлением операционной системы, а точнее сбоем, который возник при его проведении. В таком случае нужно отключить функцию получения и установки обновлений. Инструкция для Windows 7:
Открыть панель управления, раздел «Система и безопасность».
Из представленного списка выбрать «Центр обновления».
В меню слева кликнуть по строке «Настройка параметров».
Пункт «Важные обновления» выбрать вариант «Не проверять…». В двух других строках снять флажки.
Кликнуть «ОК», чтобы сохранить изменения. Для выполнения действия понадобятся права администратора.
Дополнительно, используя представленную в предыдущем разделе инструкцию, выполнить отключение службы «Центр обновления Windows».
Отключение функции делает систему уязвимой – на нее не будут устанавливаться актуальные заплатки, защищающие выявленные слабые места
Важно регулярно проводить ручной поиск новых компонентов и выполнять их установку
Ищем Svchost.exe в процессах
Итак, при «тормозах» системы необходимо в первую очередь постараться вызвать диспетчер задач комбинацией клавиш Alt+Ctrl+Del. Как правило, в случае заполнения памяти, вызов диспетчера занимает некоторое время, поэтому стоит запастись терпением. Далее переходим во вкладку «Процессы» и находим целый список запущенных svchost.exe.
Находим Svchost в процессах
Как видно из скриншота, все запущенные процессы принадлежат системе. Поэтому, если какой-нибудь из процессов svchost не будет принадлежать системе, с уверенностью до 100% можно сказать, что это вирус. Теперь необходимо выбрать тот процесс svchost.exe, который особенно сильно нагружает оперативную память и процессор. Для этого смотрим разделы «ЦП» и «Память» в открытой вкладке «Процесы». В рассматриваемом случае один из процессов svchost занимает 20Мб оперативной памяти, что является нормой. А для лучшего понимания того, как управлять определением и отключением различных служб, рассмотрим именно его в качестве сбойного и нагружающего систему.
Для этого, на выбранном процессе svchost.exe. Кликаем правой клавишей мышки и выбираем пункт «Перейти к процессам». К сожалению, все процессы не отображают количество занимемой ими оперативной памяти, поэтому только поочередное отключение служб поможет выбрать наиболее «прожорливый» процесс.
Отключаем службу автоматического обновления
Как показывает практика, наиболее часто виновным в большом потреблении оперативной памяти процессом svhos.exe является автоматическое обновление. Поэтому, для проверки нужно просто остановить выполнение службы “Центр обновления Windows”.
Для этого открываем “Управление компьютером” кликнув правой кнопкой мыши по значку “Компьютер” на рабочем столе или в меню “Пуск” и выбрав “Управление”
Открываем “Управление компьютером”
Далее выбираем слева “Службы и приложения” -> “Службы”. Находим службу “Центр обновления windows” и кликаем по ней 2 раза.
Находим службу “Центр обновление windows”
Остановить ее работу можно, кликнув по кнопке «Остановить». В случае, если потребление памяти снизилось, то можно навсегда отключить автоматическое обновление, выбрав пункт «Отключено» в выпадающем меню, расположенном выше, как показано на скриншоте.
Запрещаем автоматический запуск службы обновления
Таким образом, отключая поочередно процессы можно определить наиболее прожорливые и нагружающие оперативную память и процессор.
Принцип исправления возникшей неполадки в системе
Прежде чем думать над тем, как удалить svchost.exe, который на полную мощь грузит память и процессор компьютера, необходимо задаться вопросом относительно имеющегося в ОС инструментария, способного за несколько минут исправить неожиданно появившуюся проблему. Дело в том, что спешка в этом деле не совсем уместна, так как неприятность, возникшая по вине ОС Windows, может самостоятельно исчезнуть через некоторое время. Для этого пользователю необходимо лишь перезагрузить девайс.
Если это не помогло, можно попытаться удалить в «Диспетчере задач» самый ресурсоёмкий процесс, предварительно изучив всё, что загружается посредством svchost.exe. Осуществить процедуру поможет одновременное нажатие на клавиши Ctrl+Alt+Del. После загрузки системного приложения нужно перейти в раздел «Процессы». Затем нажать на кнопку «Отобразить задачи всех пользователей», расположенную в самом низу диалогового окна. Таким образом, владелец ПК сможет отследить непосредственно то, что грузит память «благодаря» svchost.exe. Следует постараться закрыть самый крупный ресурс, кликнув по кнопке «Завершить дерево процесса».
Не будет лишним обратить внимание на работоспособность памяти, которую можно проверить посредством специализированных приложений. ПК необходимо хотя бы раз в несколько месяцев чистить от накопившейся пыли
Загрязнённый кулер может сильно гудеть, что является прямым сигналом переполнения центральной системы охлаждения. Необходимо помнить о замене термопасты, которая находится в главном процессоре. Аппаратные проблемы влияют на замедление скорости компьютера и на дополнительную нагрузку svchost.exe.
Системное приложение грузит память и процессор компьютера во время сбоев, которые возникают по вине автоматического обновления, регулярно подгружаемого из интернета на компьютер пользователя. Предпочтительно установить все Windows Update или отключить службу. Чтобы не получать больше обновлённые приложения, следует зайти в меню «Пуск», в «Панели управления» выбрать раздел «Система и Безопасность», а в нём — «Центр обновления Windows 7». На экране откроется окно с множеством параметров. Среди них необходимо найти категорию, отвечающую за настройку параметров, пользователь должен установить «галочку» напротив команды «Не проверять наличие обновлений».
Значительно упростить работу ПК может откат системы. Для этого необходимо вспомнить дату, когда владелец девайса не наблюдал значительных проблем, вызванных работой svchost.exe.
Кроме всего прочего, не стоит исключать предположения, что системная программа svchost.exe грузит процессор ввиду наличия вирусов. Можно проверить устройство несколькими антивирусными приложениями, чтобы удостовериться в «чистоте» системы. Первоначально нужно зайти в «Диспетчер задач», в разделе «Процессы» просмотреть ресурсы всех пользователей. Принципиального внимания заслуживают те, кто подгружает непосредственно процесс svchost.exe. Не стоит беспокоиться, если в графе «Users» содержатся надписи: system, local service, network service. В противном случае, если в качестве юзера вписано другое имя, будет разумным полагать, что в ПК появились сторонние вирусные программы. Пользователь должен их удалить, кликнув по кнопке «Завершить дерево процесса». Не будет лишним проверить систему доказавшим свою эффективность антивирусным приложением.
После всех вышеперечисленных действий следует удалить каталог Prefetch, который служит системным ускорителем функционирования большинства служб и сервисов. Эта папка располагается на системном диске (обычно С:) в папке ОС Windows
После того как удалось удалить каталог, важно не забыть перезагрузить гаджет
В «Диспетчер задач» может функционировать ресурс wuauclt.exe, очистить его содержимое можно посредством удаления всех директорий, содержащихся в каталоге Software Distribution, который также находится в системной папке Windows.
Последним шагом, позволяющим избавиться от лишних приложений, которые грузят компьютер, в частности, процессор, поможет очистка log-файла, располагающегося в журнале ОС. После одновременного нажатия на кнопки Win+R на экране появится окно, в котором необходимо указать команду eventvwr и подтвердить её клавишей «Ок». В разделе «Журналы Windows», который располагается в верхнем левом углу, необходимо найти категории «Приложения», «Безопасность», «Установка» и «Система». В каждом из них следует «Очистить журнал». После проведённой манипуляции следует перезагрузить компьютер.
Процесс svchost.exe и его связи
Диспетчер задач выдает нам целый список запущенных процессов svchost.exe, но этой информации явно недостаточно.
Естественно, нас интересует, какие именно сервисы запускает конкретный экземпляр этого процесса.
Итак, несколько способов узнать о связях svchost’а.
Команды tasklist и sc.
Применение команд tasklist и sc возможно в любой версии Windows. Поэтому, этот способ можно считать универсальным.
Прежде всего, запускаем cmd – интерпретатор командной строки Windows:
- нажимаем кнопку «Пуск»;
- выбираем команду «Выполнить»;
- вводим cmd и нажимаем кнопку «Ok».
Для получения списка служб на экране интерпретатора запускаем команду tasklist с ключом svc и нажимаем клавишу «Enter»:
tasklist /svc «Enter».
Для сохранения результатов запроса в текстовый файл svc.txt, находящийся на диске C: в папке temp, делаем перенаправление вывода команды tasklist:
tasklist /svc > C:\temp\svc.txt «Enter»
Заметим, что файл будет сохранен в dos-кодировке.
Фрагмент листинга tasklist.exe.
Имя образа PID Службы:
+++
- svchost.exe 1216 DcomLaunch
- svchost.exe 1300 RpcSs
- svchost.exe 1384 WudfSvc
- svchost.exe 1528 Dnscache
- svchost.exe 1584 LmHosts, SSDPSRV
+++
Колонки таблицы:
- «Имя образа» – имя исполняемого файла;
- «PID» – идентификатор процесса;
- «Службы» – список сервисов.
Чтобы получить информацию о конкретном сервисе, задаем его краткое название в качестве параметра команды управления сервисами sc.
Пример получения сведений о службе TermService.
– sc qc TermService «Enter».
Два способа перехода к списку сервисов.
- Нажимаем кнопку «Пуск», находим команду «Выполнить», в командной строке вводим services.msc и нажимаем кнопку «Ok».
- Нажимаем кнопку «Пуск», затем выбираем Настройка ->Панель управления -> Администрирование -> Службы.
Диспетчер задач Windows Vista/7.
Получаем список сервисов, связанных с процессом svchost с помощью диспетчера задач Windows Vista/7:
- устанавливаем курсор на название процесса;
- вызываем контекстное меню нажатием правой кнопки мыши и выбираем опцию «Перейти к службам»;
- получаем список, в котором подсветкой выделены связанные с нашим процессом сервисы.
В операционной системе Windows XP опция «Перейти к службам», к сожалению, отсутствует. Этот вариант нельзя считать универсальным.
Утилита Process Explorer.
Эта программа не входит в дистрибутивы Windows, но доступна к скачиванию с сайта Microsoft либо со страницы загрузки Process Explorer.
Процесс запуска очень простой и не требующий инсталляции:
- скачиваем zip-архив;
- разархивируем в папку на диске;
- запускаем файл procexp.exe.
Утилита выдает детальную информацию о процессах, запущенных в системе: pid, загрузку cpu, краткое описание, сведения о производителе и т.д.
При наведении мыши на название одного из экземпляров svchost’а мы получили следующую информацию:
- Command Line – строка запуска сервиса или группы сервисов через svchost;
- Path – путь к файлу svchost.exe;
- Services – список сервисов.
Контекстное меню, вызываемое нажатием правой кнопки мыши, предоставляет большие возможности по управлению процессом и службами, которые он запускает.
Утилита AnVir Task Manager.
Программа AnVir Task Manager не только обеспечивает управление запущенными процессами, сервисами, драйверами и автозагрузкой, но и выполняет функции антивируса.
Порядок запуска такой же, как и у Process Explorer’а:
- скачиваем бесплатную версию AnVir Task Manager в формате zip-архива;
- разархивируем в папку на диске;
- запускаем файл AnVir.exe.
Для переключения языка при первом запуске программы пользуемся главным меню:
«View->Language->Russian».
Выбираем вкладку «Процессы» для получения подробной информации о наших svchost’ах.
В строке процесса мы видим сведения о производителе, путь к исполняемому файлу, процент загрузки ЦП и т.д.
Но самые интересные данные представлены в колонке «Автозагрузка». Здесь вы найдете список запускаемых svchost’ом сервисов.
Дважды щелкаем левой кнопкой мыши по названию процесса и получаем более детальную информацию о нем (окно с вкладками в нижней части экрана).
Реализация
Его исполняемый образ «%SystemRoot%»/»System32″/»Svchost.exe» или «%SystemRoot%»/»SysWOW64 «/»Svchost.exe» (для 32-разрядных служб, работающих в 64-разрядных системах) выполняется в нескольких экземплярах, каждый из которых размещает одну или несколько служб.
Расположение системного файла «Svchost»
Службы, запущенные в Svchost, реализованы как динамически связанные библиотеки (DLL). Ключ реестра такой службы должен иметь значение с именем ServiceDll в разделе «Параметры», указывая на DLL-файл соответствующей службы. Их определение ImagePath имеет вид «%SystemRoot%»/»System32″/»Svchost.exe -k». Сервисы, совместно использующие один и тот же процесс Svchost, указывают один и тот же параметр, имеющий одну запись в базе данных SCM.
В первый раз, когда процесс Svchost запускается с определенным параметром, он ищет значение с тем же именем в ключе «HKLM»-«SOFTWARE»-«Microsoft»-«Windows NT «-«CurrentVersion»-«Svchost», которое оно интерпретирует как список имен служб. Затем он уведомляет SCM о всех сервисах, которые он размещает. SCM не запускает второй процесс Svchost для любой из полученных служб: вместо этого он просто отправляет команду «начать» соответствующему процессу Svchost, содержащему имя службы, которое должно быть запущено в его контексте.
Процесс Svchost запускается с определенным параметром, он ищет значение с тем же именем в ключе «HKLM»-«SOFTWARE»-«Microsoft»-«Windows NT»-«CurrentVersion»-«Svchost»
Согласно презентации MS 2003, минимальный рабочий набор общей службы составляет приблизительно 150 КБ против 800 КБ для автономного процесса.
Начиная с Windows Vista, внутренняя идентификация сервисов внутри общих процессов (включая svchost) достигается с помощью так называемых Service tags. Service tags для каждого потока хранится в SubProcessTag его блока среды потока (TEB). Service tag распространяется по всем потокам, которые затем запускают основной поток службы, за исключением потоков, созданных косвенно API-интерфейсами потоков Windows. Набор процедур управления Service tags в настоящее время является не документированным API, хотя он используется некоторыми утилитами Windows, такими как netstat, для отображения TCP-соединений, связанных с каждой службой. Некоторые сторонние инструменты, такие как ScTagQuery, также используют этот API.
Svchost.exe (netsvcs)
Netsvcs — подпроцесс, используемый svchost.exe
Netsvcs — это подпроцесс, используемый svchost.exe (netsvcs). Если и когда происходит утечка памяти, svchost.exe начинает сильно нагружать CPU. Эта проблема возникает из-за утечки дескриптора в службе Winmgmt после установки Windows Management Framework 3.0 на компьютере. Служба Winmgmt является службой инструментария управления Windows (WMI) в процессе svchost.exe, которая выполняется под учетной записью LocalSystem.