Что делать, если Svchost сильно грузит процессор?

Svchost.exe (сервис-хост) или хост-процесс для служб Windows — компонент операционных систем Microsoft, используемый для запуска и выполнения служб из dll-файлов (динамически подключаемых библиотек). Если по-простому, то это процесс, точнее, множество процессов, которые обеспечивают функционирование всех основных подсистем Windows — от управления питанием компьютера до оформления рабочей среды (панелей, окон, меню и т. д.).

Поскольку сервис-хост прямо или косвенно влияет на всё, что вы делаете, видите и слышите на ПК, чрезмерная загрузка им процессора может быть связана с чем угодно.

Из-за чего Svchost загружает процессор

Ниже перечислены основные группы причин, из-за которых svchost грузит процессор:

• Высокая загруженность сетевых структур операционной системы. Чаще всего это вариант нормы, который встречается, например, во время скачивания и установки обновлений Windows. Нередко виновником бывает программа, активно использующая сеть, вроде торрент-клиента или браузера.
• Некорректная работа какой-либо службы или драйвера устройства. Эта и предыдущая причины тянут более чем на 50 процентов случаев.
• Заражение компьютера вредоносным ПО. Тянет примерно на 15-20% случаев.
• Повреждение, замена, изменение системных файлов (служб, динамических библиотек, самого svchost.exe). Могут быть вызваны не только вирусами, но и пиратскими активаторами Виндовс, а также программами для «улучшения, ускорения и украшения» системы.
• Аппаратная неисправность устройств.

Далее разберем по порядку, как выявить виновника проблемы и что делать дальше.

Исследуем процессы и файлы

Основной инструмент, который будет помогать нам в диагностике и решении проблем с svchost, — это диспетчер задач Windows. В «десятке» после обновлений за 2018 год хост-процессы обозначены в нем как «Узел службы» или «Служба узла». Внутри каждого из них работает одна или несколько служб. Службы сгруппированы по уровням доступа к системным ресурсам.

В норме все хост-процессы создаются одним и тем же файлом — svchost.exe, который находится в папке \Windows\System32. Дабы убедиться, что процесс, который грузит систему, запущен именно оттуда, вызовите его контекстное меню и кликните «Открыть расположение файла». Открылась папка System32? Значит, первый тест пройден успешно.

Все нормальные хост-процессы имеют общего родителя — процесс services.exe, запущенный одноименным файлом. К сожалению, системный диспетчер задач его не показывает. Чтобы это увидеть, можно воспользоваться улучшенной альтернативной диспетчера — бесплатной и не требующей установки утилитой Process Explorer.

Кроме того, нормальному файлу svchost.exe положено иметь цифровую подпись Microsoft. Чтобы ее проверить, откройте в системном диспетчере задач вкладку «Процессы», щелкните по подозрительной строке правой клавишей мышки и нажмите «Подробно».

Находясь во вкладке «Подробности», снова щелкните правой клавишей подозрительный svchost и выберите «Свойства».

Откройте вкладку цифровых подписей сервис-хоста. Если ее содержимое выглядит примерно как на скриншоте ниже, значит, всё в порядке.

Детальные сведения о файле, породившем хост-процесс, можно получить из содержимого вкладки «Подробно».

А если установить на компьютер простую бесплатную утилиту HasTab, «не отходя от кассы» можно получить контрольные суммы интересующего файла.

После чего проверить его MD5 на Virustotal.com (онлайн-сервис проверки файлов и других объектов множеством антивирусов). Если сервис покажет, что файл чист, значит, источник проблемы не в нем.

Разбираемся со службами, драйверами и оборудованием

Нередко причиной высокой загруженности процессора сервис-хостом становятся службы. В последней редакции Windows 10 найти проблемную службу стало проще, так как в основной массе хост-процессов их по одной. В Windows 7 и XP на 1 сервис-хост обычно приходится группа служб, иногда по 8-12 штук.

Чтобы увидеть перечень служб — потенциальных виновников неполадки в Виндовс 10, сделайте следующее:

• Откройте в диспетчере задач на вкладке «Подробности» контекст подозрительного процесса svchost и нажмите «Перейти к службам».

• Всё, что работает в этом процессе, на вкладке «Службы» выделяется голубым цветом. Если выделена одна строка, скорее всего, вы нашли вероятного виновника. Если это, как в моем примере, служба wuauserv, можете спокойно выдохнуть: ваша операционная система просто качает обновления. И если компьютер не слишком производительный, svchost.exe в это время может нагружать процессор на 100 процентов. После обновления нагрузка придет в норму.
• Если голубым выделено несколько служб, найти проблемную поможет поочередная остановка. Для этого в контекстном меню одной из служб следует кликнуть по пункту «Остановить». Если нагрузка не уменьшится, запустите эту службу и остановите следующую.

Кстати, в Windows 10 останавливать и запускать службы можно прямо на вкладке «Процессы».

Внимание! Перед диагностикой вышеописанным методом сохраните все несохраненные документы, поскольку завершение работы критически важной системной службы может привести к зависанию, перезагрузке компьютера или синему экрану смерти (BSoD).

Если выявленная служба связана с драйвером устройства, например, звука (Windows Audio), Bluetooth (Bthserv), печати (Spooler) и т. д., причина может крыться не в ней, а в драйвере или неисправности самого устройства. Если драйвер был установлен незадолго до возникновения проблемы, откатите его к предыдущей версии. Если он давно не обновлялся — обновите либо переустановите. При подозрении на неполадку оборудования проверьте его отключением или заменой на заведомо исправное.

А вдруг это вирус?

Видя высокую загрузку процессора одним из svchost, многие пользователи в первую очередь думают о заражении вирусами. Такое встречается, но не особенно часто. Хотя в последнее время развелось немало вредоносных программ-майнеров, один из признаков которых — высокая нагрузка на процессор и\или видеочип, особенно во время простоя компьютера.

На признаки вирусного заражения указывает следующее:

• Файл svchost.exe, породивший процесс, не имеет цифровой подписи Microsoft и находится в каталоге, отличном от \Windows\system32.
• Родительский процесс сервис-хоста — не Services.exe, а что-то другое, например, тот же svchost.
• Проверка контрольной суммы svchost.exe на Virustotal показала плохой результат или сервис не смог определить по контрольной сумме, что это за файл.
• В Windows XP и «семерке»- наличие процесса svchost.exe, запущенного от имени пользователя (в этих ОС им могут управлять только учетные записи системы, lockal service и network service). Обратите внимание, что в Windows 8 (8.1) и 10 несколько процессов svchost.exe от имени пользователя стало нормальным явлением.

• Неизвестные библиотеки dll и службы, которые работают в контексте сервис-хоста. Посмотреть список загруженных в память процесса библиотек можно при помощи Process Explorer (кнопка открытия панели библиотек обведена в меню красной рамкой). На скриншоте показана нормальная картина — все dll-ки имеют подпись Microsoft.

SVCHOST.EXE грузит процессор? Вирус? Как исправить?

Наверное, многие из пользователей слышали о таком процессе, как SVCHOST.EXE. Тем более в одно время была целая эпопея вирусов с похожими именами. В этой статье попробуем разобраться, какие процессы являются системными и не представляют опасности, а от каких нужно избавиться. Так же рассмотрим, что можно сделать, если этот процесс грузит систему или оказался вирусом.

1. Что это за процесс?

Svchost.exe — это важный системный процесс Windows, который используется различными службами. Неудивительно, что если открыть диспетчер задач (одновременно на Ctrl+Alt+Del) — то вы можете увидеть не один, а сразу несколько открытых процессов с таким именем. Кстати, из-за этого эффекта, многие вирусо-писатели и маскируют свои творения под этот системный процесс, т.к. отличить фальшивку от реального системного процесса — не так просто (об этом — см. пункт 3 данной статьи).

Несколько запущенных процессов svchost.

2. Почему svchost может грузить процессор?

На самом деле причин может быть много. Чаще всего это случается из-за того, что включено автоматическое обновление ОС Windows или svchost — оказывается вирусом, либо заражен им.

Для начала отключим службу автоматического обновления. Для этого откройте панель управления, откройте раздел система и безопасность.

В этом разделе выберите пункт администрирования.

Перед вами откроется окно проводника со ссылками. Вам нужно открыть ссылку службы.

В службах находим «центр обновления Windows» — открываем его и отключаем эту службу. Так же следует поменять тип запуска, с автоматического на ручной. После этого все сохраняем и перезагружаем ПК.

Важно! Если после перезагрузки ПК, svchos.exe все еще грузит процессор, попробуйте узнать службы, которые используются этим процессом и отключить их (подобно отключению центра обновления, см. выше). Для этого щелкните правой кнопкой мышки по процессу в диспетчере задач и выберите пункт перейти к службам. Далее вы увидите службы, которые используют данный процесс. Эти службы можно частично отключить без ущерба для работоспособности ОС Windows. Отключать нужно по 1 службе и смотреть за работоспособностью Windows.

Еще одним способом избавиться от тормозов из-за этого процесса — это попробовать восстановить систему. Достаточно воспользоваться даже стандартными средствами самой ОС, особенно если грузить процессор svchost стал совсем недавно, после каких-нибудь изменений или установки софта на ПК.

3. Вирусы, маскирующиеся под svchost.exe?

Снизить производительность компьютера вполне могут и вирусы, скрывающиеся под маской системного процесса svchost.exe.

Во-первых, обратите внимание на имя процесса. Возможно в нем изменена 1-2 буквы: нет одной буквы, вместо буквы цифра, и т.п. Если это так, то с большой долей вероятности, что это вирус. Лучшие антивирусы 2013 года были представлены в этой статье.

Во-вторых, обратите внимание в диспетчере задач на вкладку пользователя, который запустил процесс. Svchost обычно запущен всегда от: system, local service или network service. Если там что-то другое — повод задуматься и проверить все тщательно антивирусной программой.

В-третьих, вирусы часто встраиваются в сам системный процесс, модифицируя его. При этом могут наблюдаться частые сбои и перезагрузки ПК.

Во всех случаях на подозрения вирусов, рекомендуется загрузиться в безопасном режиме (при загрузки ПК нажмите на F8 — и выберите нужный вариант) и проверить компьютер «независимым» антивирусом. Например, при помощи CureIT.

Далее обновите саму ОС Windows, установить все самые важные критические обновления. Не лишним будет обновить антивирусные базы (если они давно не обновлялись), а затем проверить полностью компьютер на подозрительные файлы.

В самых тяжелых случаях, чтобы не тратить время на поиск проблем (а времени может уйти много), легче заного переустановить систему Windows. Особенно это касается игровых компьютеров, на которых нет каких-нибудь баз данных, специфических программ и пр.

Решение проблемы с нагрузкой на память процесса SVCHOST.EXE в Windows 7

Иногда при работе на компьютере пользователи замечают, что он стал тормозить. Открыв «Диспетчер задач», они обнаруживают, что оперативную память или процессор грузит SVCHOST.EXE. Давайте разберемся, что делать, если указанный выше процесс нагружает ОЗУ ПК на Windows 7.

Снижение нагрузки на оперативную память процессом SVCHOST.EXE

SVCHOST.EXE отвечает за взаимодействие служб с остальными элементами системы. Каждый этот процесс (а их запущено одновременно несколько) обслуживает целую группу служб. Поэтому одной из причин изучаемой проблемы может быть неоптимизированная настройка ОС. Это выражается в запуске большого количества служб одновременно или таких из них, которые даже в единичном экземпляре потребляют большое количество ресурсов. Причем далеко не всегда они действительно приносят реальную пользу юзеру.

Ещё одной причиной «прожорливости» SVCHOST.EXE может быть какой-то системный сбой в работе ПК. Кроме того, некоторые вирусы маскируются под этот процесс и нагружают RAM. Далее мы рассмотрим различные способы решения описываемой проблемы.

Способ 1: Отключение служб

Одним из основных способов снижения нагрузки SVCHOST.EXE на оперативную память ПК является отключение ненужных служб.

1. Вначале определим, какие службы более всего нагружают систему. Вызовите «Диспетчер задач». Для этого щелкните по «Панели задач» правой кнопкой мыши (ПКМ) и в открывшемся контекстном перечне выберите «Запустить диспетчер задач». Как альтернативу, можно использовать комбинацию Ctrl+Shift+Del.

В открывшемся окошке «Диспетчера» перемещайтесь в раздел «Процессы».

В открывшемся разделе щелкните по кнопке «Отображать процессы всех…». Таким образом, вы сможете просматривать информацию, не только касающуюся вашей учетной записи, но и всех профилей на данном компьютере.

Далее для того, чтобы сгруппировать вместе все объекты SVCHOST для последующего сравнения величины нагрузки, выстройте все элементы списка в алфавитной последовательности, щелкнув по полю «Имя образа».

Щелкайте по данному объекту ПКМ и в раскрывшемся перечне выбирайте «Перейти к службам».

Открывается перечень служб. Те из них, которые отмечены полосой, относятся к выбранному на предыдущем шаге процессу. То есть именно они осуществляют самую большую нагрузку на RAM. В столбце «Описание» показаны их названия так, как они отображаются в «Диспетчере служб». Запомните или запишите их.

Теперь нужно перейти в «Диспетчер служб» для деактивации этих объектов. Чтобы сделать это, жмите «Службы…».

Также открыть искомый инструмент можно при помощи окошка «Выполнить». Наберите Win+R и введите в открывшееся поле:

После этого щелкайте «OK».

Запустится «Диспетчер служб». Именно тут находится перечень тех объектов, среди которых нам предстоит часть деактивировать. Но нужно знать, какую именно отключать службу можно, а какую нет. Даже если определенный объект относится к тому SVCHOST.EXE, который грузит компьютер, то это ещё не значит, что его можно деактивировать. Отключение некоторых служб может привести к краху системы или её некорректной работе. Поэтому если вы не знаете, какие из них можно остановить, то прежде чем приступать к дальнейшим действиям, ознакомьтесь с нашим отдельным уроком, который посвящен данной теме. Кстати, если вы увидите в «Диспетчере» службу, которая не включена в группу проблемного SVCHOST.EXE, но ни вы, ни Виндовс её по факту не используете, то в таком случае этот объект тоже желательно выключить.

Урок: Отключение ненужных служб в Виндовс 7
Выделите в «Диспетчере служб» тот объект, который следует деактивировать. В левой части окна щелкайте по элементу «Остановить».

Будет выполнена процедура остановки.

После этого в «Диспетчере» напротив названия остановленного элемента статус «Работает» в колонке «Состояние» будет отсутствовать. Это значит, что он выключен.

Но это ещё не все. Если в колонке «Тип запуска» напротив названия элемента будет установлено значение «Автоматически», то это значит, что служба запустится на автомате при следующей перезагрузке ПК. Для того чтобы произвести полную деактивацию, щелкайте по её названию дважды левой кнопкой мыши.

Запустится окошко свойств. Щелкайте по элементу «Тип запуска» и из списка, который отобразится, выберите «Отключена». Вслед за этим действием жмите «Применить» и «OK».

Теперь служба будет полностью деактивирована и сама не запустится даже при следующем перезапуске ПК. Об этом свидетельствует наличие надписи «Отключена» в колонке «Тип запуска».

Таким же образом произведите отключение других служб, которые связаны с грузящим RAM процессом SVCHOST.EXE. Только при этом не забывайте, что отключаемый элемент не должен быть связан с важными системными функциями или теми возможностями, которые нужны для работы вам лично. После деактивации вы увидите, что потребление оперативной памяти процессом SVCHOST.EXE существенно снизится.

Способ 2: Отключение обновления Windows

На маломощных компьютерах проблема с тем, что SVCHOST.EXE грузит RAM, может быть связана с функцией обновления. Это очень важный элемент Виндовс, который позволяет всегда поддерживать ОС в актуальном состоянии и залатывать уязвимости. Но в случае если «Центр обновления» начинает «съедать» оперативную память через SVCHOST.EXE, нужно выбирать меньшее из двух зол и выполнить его деактивацию.

Щелкните «Пуск» и зайдите в «Панель управления».

Перейдите к разделу «Система и безопасность».

Откройте раздел «Центр обновления…».

В левой части открывшегося окна щелкайте «Настройка параметров».

Откроется окно управлением параметрами обновления. Щелкните по выпадающему списку «Важные обновления» и выберите вариант «Не проверять наличие…». Далее снимите галочки со всех чекбоксов в данном окне и жмите «OK».

Обновления будут отключены, но вы можете также деактивировать соответствующую службу. Для этого переместитесь в «Диспетчер служб» и отыщите там элемент «Центр обновления Windows». После этого выполните с ним все те манипуляции по отключению, которые были рассмотрены при описании Способа 1.

Важно понимать, что отключив обновления, вы сделаете систему уязвимой. Поэтому, если мощность вашего ПК не позволяет работать с «Центром обновлений», старайтесь регулярно производить ручную установку апдейтов.

Способ 3: Оптимизация системы

Возникновение изучаемой проблемы, может вызвать засоренность системы или неправильная её настройка. В этом случае необходимо определить непосредственную причину и выполнить одно или несколько из нижеописанных действий по оптимизации ОС.

Одним из вызывающих эту неполадку факторов может являться засоренный системный реестр, в котором присутствуют неактуальные или ошибочные записи. В этом случае его нужно почистить. Для этой цели можно использовать специализированные утилиты, например, CCleaner.

Решить указанную проблему, возможно, поможет дефрагментация жесткого диска. Эту процедуру можно выполнить как при помощи специализированных программ, так и используя встроенную утилиту Виндовс.

Способ 4: Устранение сбоев и неполадок

К возникновению описанной в данной статье проблемы могут привести различные сбои и неполадки в системе. В этом случае их необходимо попытаться исправить.

Возможно, к сбоям в работе компьютера, которые привели к излишнему потреблению ресурсов ОС процессом SVCHOST.EXE, привело нарушение структуры системных файлов. В этом случае необходимо проверить их на целостность с помощью встроенной утилиты sfc с последующим восстановлением в случае необходимости. Эта процедура выполняется через «Командную строку» путем введения в неё команды:

Ещё одной причиной, ведущей к описанной выше неполадке, являются ошибки на жестком диске. Проверка системы на их наличие осуществляется также через «Командную строку», путем ввода туда выражения:

Если утилита при сканировании обнаружит логические ошибки, то попытается их исправить. В случае же обнаружения физического повреждения жесткого накопителя требуется либо обратиться к мастеру, либо приобрести новый винчестер.

Способ 5: Устранение вирусов

К возникновению нагрузки на оперативную память через SVCHOST.EXE могут привести вирусы. Кроме того, некоторые из них маскируются под исполняемый файл с этим названием. При подозрении на заражение необходимо срочно произвести соответствующее сканирование системы одной из антивирусных утилит, которые не требуют инсталляции. Например, можно использовать Dr.Web CureIt.

Сканирование рекомендуется проводить, запустив систему при помощи LiveCD или LiveUSB. Также можно использовать для этой цели другой незараженный ПК. При обнаружении утилитой вирусных файлов требуется следовать тем инструкциям, которые отобразятся в её окне.

Но к сожалению, не всегда можно найти вирус с помощью антивирусных утилит. В случае если при помощи процедуры сканирования несколькими антивирусами не удалось обнаружить вредоносный код, но у вас есть подозрение, что один из процессов SVCHOST.EXE инициирован вирусом, можно попытаться вручную установить идентичность исполняемого файла и при необходимости удалить его.

Как же определить, настоящий SVCHOST.EXE или это вирус маскируется под данный файл? Существуют три признака определения:

• Пользователь процесса;
• Месторасположение исполняемого файла;
• Название файла.

Пользователя, от имени которого запущен процесс, можно посмотреть в «Диспетчере задач» в уже знакомой нам вкладке «Процессы». Напротив наименования «SVCHOST.EXE» в столбце «Пользователь» должен отображаться один из трех вариантов:

• «Система» (SYSTEM);
• Network Service;
• Local Service.

Если вы там видите название любого другого пользователя, то знайте, что процесс подменен.

Месторасположение исполняемого файла того процесса, который потребляет большое количество системных ресурсов, можно определить тут же в «Диспетчере задач».

Для этого щелкайте по нему ПКМ и в контекстном меню выбирайте «Открыть место хранения…».

В «Проводнике» откроется директория расположения файла, процесс которого был отображен в «Диспетчере». Адрес можно увидеть, щелкнув по адресной строке окна. Несмотря на то что процессов SVCHOST.EXE одновременно запущено несколько, соответствующий им исполняемый файл всего один и он расположен по следующему пути:

Если в адресной строке «Проводника» отображен любой другой путь, то знайте, что процесс подменен другим файлом, который, скорее всего, является вирусным.

Наконец, как говорилось выше, нужно проверить название процесса. Оно должно быть именно «SVCHOST.EXE» от первой до последней буквы. Если имя «SVCHOCT.EXE», «SVCHOST64.EXE» или любое другое, то знайте, что это подмена.

Хотя иногда для маскировки злоумышленники поступают ещё хитрее. Они заменяют в названии буквы «c» или «o» точно такими же символами по написанию, но не латинского, а кириллического алфавита. В этом случае визуально название будет неотличимо, а сам файл может находиться даже в папке System32 рядом с подлинным экземпляром. В такой ситуации вас должно насторожить расположение двух файлов с одинаковым названием в одной директории. В Виндовс такого быть в принципе не может, а в данном случае это получается реализовать только за счет подмены символов. При таком положении вещей одним из критериев определения подлинности файла является его дата. Как правило, настоящий объект имеет более раннюю дату изменения.

Но как удалить фальшивый файл при выявлении, если антивирусная утилита не помогает?

Перейдите в директорию расположения подозрительного файла тем способом, который мы описывали выше. Возвращайтесь к «Диспетчеру задач», но «Проводник» не закрывайте. Во вкладке «Процессы» выделите тот элемент, который предположительно является вирусом, и жмите «Завершить процесс».

Откроется диалоговое окно, где для подтверждения намерений нужно снова нажать «Завершить процесс».

После того как процесс будет завершен, возвращайтесь в «Проводнике» в директорию расположения вредоносного файла. Щелкните по подозрительному объекту ПКМ и выберите из списка вариант «Удалить». При необходимости подтвердите свои действия в диалоговом окне. Если файл не удаляется, то, скорее всего, вы не обладает полномочиями администратора. Нужно войти в систему под административной учетной записью.

После проведения процедуры удаления проверьте систему ещё раз антивирусной утилитой.

Внимание! Удаляйте SVCHOST.EXE только в том случае, если вы на 100% уверены, что это не подлинный системный файл, а фальшивка. Если вы ошибочно удалите настоящий, то это вызовет поломку системы.

Способ 6: Восстановление системы

В случае когда ничего из описанного не помогло, можно выполнить процедуру восстановления системы, если у вас есть точка восстановления или резервная копия ОС, созданная ещё до возникновения неполадок с SVCHOST.EXE, который грузит RAM. Далее мы рассмотрим, как нормализовать функционирование Виндовс с помощью реанимирования к ранее созданной точке.

Щелкайте «Пуск» и нажмите на объект «Все программы».

Откройте директорию «Стандартные».

Войдите в папку «Служебные».

Щелкните по элементу «Восстановление системы».

Активируется окно системного инструмента восстановления с ознакомительной информацией. Тут просто жмите «Далее».

В следующем окне нужно выбрать конкретную точку восстановления. Их может быть несколько в системе, но остановить выбор нужно только на одной. Главное условие, чтобы она была создана раньше, чем стала проявляться неполадка с SVCHOST.EXE. Желательно выбрать самый последний по дате элемент, который соответствует вышеизложенному условию. Для того чтобы увеличить возможность выбора, поставьте отметку около «Показать другие…». После того как нужный объект выделен, жмите «Далее».

В следующем окне для запуска процедуры восстановления достаточно нажать кнопку «Готово». Но так как после этого компьютер будет перезагружен, позаботьтесь закрыть все активные программы и сохранить несохраненные документы во избежание потери данных.

Затем будет выполнена процедура восстановления и система вернется в то состояние, в котором была до того, как SVCHOST.EXE начал грузить RAM.

Главный недостаток данного метода состоит в том, что у вас должна быть не просто точка восстановления или резервная копия системы — время её создания не должно быть позже той отметки, с которой стали проявляться неполадки. Иначе процедура теряет свой смысл.