Процесс c windows system32 svchost exe инициировал действие перезапустить

Всех приветствую на страницах блога, сегодня рассмотрим ситуацию, что у вас без вашего ведома перезагрузился компьютер. Перезагрузился не как в Windows 10 с постоянной перезагрузкой, в виде алерта в просмотре событий, а якобы плановая команда от имени системы с кодом 0x80020002. Рассмотрим почему и как это исправить и как этого избежать в будущем, так как не хорошо если это случится с сервером.

Вообще если бы это был обычный офисный компьютер или еще какой я бы не придал этому значения, но тут был мой рабочий админский комп и плюс компьютер одного безопасника. Первым делом как и нормальный человек я стал смотреть, события, как смотреть логи Windows я подробно рассказывал. Первое что я искал это сообщение с кодом

Процесс C:\Windows\system32\svchost.exe (ADM999) инициировал действие «Перезапустить» для компьютера ADM999 от имени пользователя NT AUTHORITY\СИСТЕМА по причине: Операционная система: восстановление (запланированное)
Код причины: 0x80020002
Тип выключения: Перезапустить
Комментарий:

Как видно из лога, было штатное завершение системы с кодом 0x80020002, и инициировала его система. Следующим шагом я подумал, что наверно это из за обновлений, идем далее в журнал Установка и начинаем смотреть. В моем случае было сообщений 10 с кодом 4, в которых писалось о том, что Чтобы изменить состояние пакета KB3146723 на Установлено, необходимо выполнить перезагрузку. Как видите была, установка.

Я точно знал, что ранее на моем компе стояла политика,что все обновления Windows ставлю в ручную. Начинаем смотреть групповую политику. Пробегитесь по структуре OU в GP проверьте все политики. Еще на компьютере можно открыть командную строку от имени администратора и воспользваться командой, которая покажет вам все политики примененные к нему.

Начнется создание отчета

В итоге у меня будет создан на диске C файл с названием gp.html и его с легкостью можно открыть в браузере и посмотреть его содержимое.

если у вас нет Active Directory, то зайдите в пуск > Панель управления > Центр обновления Windows, это для всех ос, кроме Windows 10, в ней немного в другом месте устанавливаются обновления.

Далее нажимаете настройка параметров.

И выберите параметр Искать обновления, но решение и установка принимается мной.

Как происходит в windows 10 получение обновлений, читайте по ссылке слева. Я думаю вы теперь знаете откуда и по какой причине появляется 0x80020002 и нештатная перезагрузка компьютера.

Как процесс svchost.exe перегружает ресурсы ПК — устраняем проблему на Windows 7

В результате неправильной установки и настройки некоторых программ системный процесс svchost.exe начинает грузить оперативную память и процессор компьютера под управлением Windows.

О системном процессе svchost

Аббревиатура svchost — сокращённое «Service Host». Это основной системный процесс Windows. Впервые был реализован в версии Windows 2000 и дошёл до Windows 10 — последней на сегодня версии операционной системы Windows. В качестве примера рассмотрена работа процесса svchost в версии Windows 7. Процесс svchost — это и есть компонент «Хост-процесс для служб Windows» (Generic Host Process для служб Win32).

Для чего нужен

Процесс svchost — усовершенствованный механизм оптимизации быстродействия ПК. Он выполняет важные функции:

• экономит оперативную память (ОЗУ), своевременно освобождая её от процессов других программ, работа с которыми была завершена;
• улучшает использование ресурса производительности процессора.

Как запустить

При каждом запуске Windows процесс svchost запускается из исполняемого файла svchost.exe в нескольких копиях. Инициатором для svchost.exe является другой системный процесс — services.exe, компонент Windows, отвечающий за работу всех системных служб Windows.

Запуск программы svchost.exe для служб хранятся в реестре Windows по адресу: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ (где — название службы) в графе ImagePath;

Так, сервис ComputerBrowser (имя службы Browser) инициируется как %SystemRoot%\system32\svchost.exe с параметром -k netsvcs. Перераспределение и учёт запущенных процессов в соответствии с информацией в записях реестра HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost — там каждый ключ или подключ совпадает с названием группы, а значение ключа соответствует списку имён служб, «привязанных» к группе.

Принцип работы хост процесса для служб Windows

Процессы svchost.exe — один из важнейших общих ресурсов операционной системы Windows. К нему обращается любая программа, попавшая к вам на ПК.

В каждой из запущенных копий svchost.exe присутствуют свои настройки, определяемые динамическими библиотеками DLL системы Windows. На этом и основан механизм оптимизации использования ресурсов процессора и оперативной памяти. Проще говоря — от него ПК «летает» даже при одновременной работе нескольких программ.

Сбои этого важного для «жизни» Windows «кирпичика» — процесса svchost.exe — могут повлечь неработоспособность всей системы.

Как влияет svchost на процессор и оперативную память

Казалось бы, работай и не знай никаких проблем. Однако процессом svchost.exe часто «прикидываются» вирусы, всевозможные шпионские и рекламные приложения Windows.

Маскировка вирусов и троянов

Имитация системного процесса svchost.exe происходит следующим образом. Как известно, эти вредоносные программы помещают свои исполняемые файлы не в папку \Winwows\system32, а в иную, например, Net-Worm.Win32.Welchia.a — она создаётся в той же системной папке Windows. Антивирусные программы способны её изолировать от чтения/записи или и вовсе удалить («network worm» означает «сетевой червь»).

Системный процесс svchost.exe — это не вирус, а компонент Windows. Он никогда не стартует из папки Run реестра Windows, а выполняется лишь через алгоритм системных служб, прописанный другим компонентом Windows — services.exe. А это значит, что его не должно быть в папке автозагрузки msconfig.

Как убедиться в безопасности

Необходимо протестировать процесс svchost, чтобы убедиться в его «вирусности». Так, программа Security Task Manager, проверяя «чистоту» установленной на вашем компьютере копии Windows, поможет убедиться, что безопасность вашего ПК под сомнением.

Процесс начинает грузить компьютер — решение проблемы

Рано или поздно, наступит день, когда процесс svchost будет «тормозить» работу Windows. Его видно сразу — это копия svchost.exe, «отъедающая» от десятков до пары-тройки сот мегабайт оперативной памяти.

А ещё она здорово «грузит» процессор — вы увидите, как она будет забирать 90 и более процентов его производительности. При этом выполнение любых задач будет сильно затруднено.

Решение есть — и не одно!

Перезагрузка ПК

Казалось бы, взять и перезапустить Windows. Это решение точечно — где гарантия, что процесс svchost не «разрастётся» снова? Дайте команду Пуск — Выключение — Перезагрузка. Система Windows перезапустится.

Перезапуск svchost из Диспетчера задач

1. Запустите Диспетчер задач Windows одновременным нажатием клавиш Ctrl+Shift+Esc.
2. Перейдите на вкладку «Процессы».
3. Щёлкните правой кнопкой мыши на самом «прожорливом» svchost.exe из имеющихся и перейдите к службам, «привязанным» к данной копии процесса svchost.exe

Внимание! Принудительные остановка соответствующих служб и завершение работы процессов svchost.exe может привести к серьёзному сбою операционной системы Windows.

Проверка обновлений Windows для восстановления работы процесса svchost

Установка обновлений Windows для исправления работы svchost может пригодиться, когда на компьютере установлена лицензионная копия Windows. В случае наличия «кастомной» сборки Windows могут слететь «патчеры» (активаторы) Windows, пропадёт заставка Рабочего стола, а при запуске любых стандартных приложений Windows вам будет надоедать окно-запрос о необходимости активации вашей копии Windows.

Для обновления Windows сделайте следующее.

Откройте Панель управления и запустите Центр обновлений Windows.

Если проблема с «перегрузом» из-за svchost сохраняется — переходите к следующему плану действий.

Восстановление Windows с контрольной отметки

Чтобы приступить к восстановлению системы, проделайте следующее.

В Главном меню выполните поиск по слову «восстановление».

Бывает, что и эти действия не помогли восстановить нормальную работу хост-процесса svchost.exe. Тогда, может, стоит покопаться в системной папке Windows?

Как устранить ошибку с помощью очистки системной папки Prefetch

В папку \Windows\Prefetch система записывает данные об установленных и запускаемых приложениях. Также там хранятся данные компонентов и стандартных приложений Windows. По мере установки новых и удаления ставших ненужными программ содержимое папки Prefetch разрастается. Если её очистить — нужные данные работающих в данный момент программ будут записаны системой Windows «с нуля».

Если разрешить в папку Prefetch запись только системных данных — система Windows будет работать несколько быстрее, и переполнение ресурса, занимаемого процессами svchost.exe, немного сократится. Для этого нам понадобится редактор реестра Windows.

Запустите приложение Редактор реестра — regedit.exe.

Настройка и очистка папки \Windows\Prefetch не помогла? Настала пора проверить, не завелись ли в системе Windows вирусы и прочая нежелательная гадость.

Проверка ПК на вирусы и прочие вредоносные приложения как способ исправить ошибку

Всё течёт, всё меняется — не обходит прогресс стороной и антивирусные приложения. Это программный пакет Касперского (Антивирус + Антиспам), 360 Total Security, Dr. Web CureIt, NOD32, Panda, Avast, VirusTotal и т. д. Для начала запомните: компонент svchost располагается в следующих директориях Windows: \WINDOWS\system32, \WINDOWS\ServicePackFiles\i386, \WINDOWS\Prefetch и \WINDOWS\winsxs\

Если указаны «левые» каталоги в системной папке Windows — а также всевозможные комбинации имени файла svchost.exe, злонамеренно набранные злоумышленниками с опечатками, синтаксической ошибкой — антивирусы удалят такие записи, справедливо посчитав их вирусными. Список «левых» файлов svchost.exe может быть бесконечным — незатейливый и дешёвый способ обойти защиту Windows. Информация отправляется на серверы соответствующих антивирусных разработчиков.

Если же вредоносных программ не найдено, а «непокорная» копия svchost.exe продолжает «грузить» компьютер — попробуйте другие методы.

Прочие способы нормализации работы процесса svchost

Этих способов могут быть десятки. Вот некоторые из них.

Одновременное применение нескольких антивирусных программ

Вы можете запускать сканирование в двух и более антивирусных программах — например, сначала в NOD32, потом в Антивирус Касперского, далее призвать на помощь Avast. Проверки ограничены лишь вашей фантазией. Не запускайте одновременно два и более антивирусных пакета — они могут мешать друг другу, ваш и без того ставший «медленным» ПК вообще зависнет.

Резервное копирование Windows

Создание «образа» работающей операционной системы Windows вместе с установленными прикладными программами и драйверами для вашего «железа» может помочь. Перед созданием «образа» Windows нужно отобрать именно те приложения, которые вы в работе применяете уже достаточно долго. Установка всего ПО происходит автоматически и в один приём. Например, так был сделан всем известный диск Windows XP ZverDVD.

Проверка папки SystemVolumeInformation

Это ещё одна «секретная» папка, куда записываются данные отметок восстановления Windows и прочая служебная информация. В отличие от папки Prefetch, папка System Volume Information находится в «корне» каждого из разделов жёсткого диска, является скрытой и защищённой от записи.

Многие пользователи Windows просто очищают её. Но помните, что, очистив содержимое папки System Volume Information, вы лишитесь возможности сделать восстановление (откат) Windows. C другой стороны, в неё могут попадать вирусные файлы, обходящие защиту этой папки от записи через уязвимости операционной системы Windows, поэтому очистка папки весьма условна.

Переустановка операционной системы

Это самый лёгкий и безболезненный способ. Удалить «больную» и «замусоренную» систему Windows — и установить «свежую» и «чистую». Имея под рукой установочный компакт-диск или «флешку» с «образом» Windows, вы сделаете это менее чем за час. В процессе установки рекомендуется отформатировать раздел винчестера, в который вы обычно устанавливаете Windows. Переустановка Windows и вправду избавит от всех проблем, включая «глючащий» процесс svchost.exe — но у неё есть один недостаток: повторная установка драйверов ПК и прочих программ, которыми вы до этого пользовались.

Как процесс svchost.exe netsvcs перегружает ПК — и как его отключить. Пошаговое руководство на видео

Процесс SVCHOST.EXE



SVCHOST.EXE — один из важных процессов при работе ОС Windows. Попробуем разобраться, выполнение каких функций входит в его задачи.

Информация о SVCHOST.EXE

SVCHOST.EXE есть возможность видеть в Диспетчере задач (для перехода нажмите Ctrl+Alt+Del или Ctrl+Shift+Esc) в разделе «Процессы». Если вы не наблюдаете элементов с подобным наименованием, то нажмите «Отображать процессы всех пользователей».



Для удобства отображения можно щелкнуть по наименованию поля «Имя образа». Все данные в списке будут выстроены в алфавитном порядке. Процессов SVCHOST.EXE может функционировать очень много: от одного и теоретически до бесконечности. А практически количество действующих одновременно активных процессов ограничивается параметрами компьютера, в частности мощностью ЦП и величиной оперативной памяти.



Функции

Теперь очертим круг задач изучаемого процесса. Он ответственен за работу тех служб Windows, которые загружаются из dll-библиотек. Для них он является хост-процессом, то есть, главным процессом. Его одновременное функционирование для нескольких служб значительно экономит оперативную память и время на выполнение задач.

Мы уже выяснили, что процессов SVCHOST.EXE может функционировать много. Один активируется при старте ОС. Остальные экземпляры запускает services.exe, который является Диспетчером служб. Он формирует блоки из нескольких служб и запускает для каждого из них отдельный SVCHOST.EXE. В этом и заключается суть экономии: вместо того, чтобы запускался отдельный файл для каждой службы, активируется SVCHOST.EXE, который объединяет целую группу служб, тем самым снижая уровень нагрузки на ЦП и расход оперативной памяти ПК.

Размещение файла

Теперь давайте узнаем, где размещен файл SVCHOST.EXE.

Файл SVCHOST.EXE в системе существует только один, если, конечно, вирусным агентом не был создан его дубликат. Поэтому, чтобы выяснить место размещения данного объекта на винчестере, кликаем правой кнопкой мышки в Диспетчере задач по любому из наименований SVCHOST.EXE. В контекстном списке выберите «Открыть место хранения файла».



Открывается Проводник в той директории, где размещен SVCHOST.EXE. Как видим из информации в адресной строке, путь к данному каталогу следующий:



Также в крайне редких случаях SVCHOST.EXE может вести к папке

или к одной из папок находящихся в директории

В любую другую директорию настоящий SVCHOST.EXE вести не может.

Почему SVCHOST.EXE нагружает систему

Относительно часто юзеры встречаются с ситуацией, когда один из процессов SVCHOST.EXE нагружает систему. То есть, он использует очень большое количество оперативной памяти, а загрузка центрального процессора от деятельности данного элемента превышает 50%, иногда доходя почти до 100%, что делает работу на компьютере практически невозможной. У подобного явления могут быть такие основные причины:

• Подмена процесса вирусом;
• Большое количество одновременно запущенных ресурсоемких служб;
• Сбои в работе ОС;
• Проблемы с Центром обновления.

Подробно о путях решения указанных проблем описывается в отдельном материале.

SVCHOST.EXE – вирусный агент

Иногда SVCHOST.EXE в Диспетчере задач оказывается вирусным агентом, который, как уже сказано выше, грузит систему.

Главный признак вирусного процесса, который сразу должен обратить на себя внимание пользователя – это большое расходование им ресурсов системы, в частности большая загруженность ЦП (больше 50%) и оперативки. Чтобы определить, настоящий или фальшивый SVCHOST.EXE нагружает компьютер, активируем Диспетчер задач.

Сначала обращаем внимание на поле «Пользователь». В различных версиях ОС оно также может называться «Имя пользователя» или «User Name». Соответствовать SVCHOST.EXE могут только следующие имена:

• Network Service;
• SYSTEM («система»);
• Local Service.

Если вы заметите имя, соответствующее изучаемому объекту, с любым иным наименованием юзера, например, с названием текущего профиля, то можете быть уверены, что имеете дело с вирусом.

Также стоит проверить место расположения файла. Как мы помним, в подавляющем большинстве случаев, за вычетом двух очень редких исключений, оно должно соответствовать адресу:

Если вы обнаружили, что процесс ссылается на директорию, отличную от тех трех, о которых шел разговор выше, то уверенно можно говорить о наличии вируса в системе. Особенно часто вирус пытается скрыться в папке «Windows». Узнать расположение файлов можно при помощи Проводника тем способом, который был описан выше. Можете применить и другой вариант. Щелкните по наименованию элемента в Диспетчере задач правой кнопкой мышки. В меню выберите «Свойства».

Откроется окошко свойств, в котором во вкладке «Общие» находится параметр «Расположение». Напротив него записан путь к файлу.

Также бывают ситуации, когда вирусный файл располагается в той же директории, где и подлинный, но имеет немного измененное наименование, например, «SVCHOST32.EXE». Бывают даже случаи, когда для того, чтобы обмануть пользователя, злоумышленники вместо латинской буквы «C» в троянский файл вставляют кириллическую «С» или вместо буквы «O» вставляют «0» («ноль»). Поэтому нужно обратить особое внимание на наименование процесса в Диспетчере задач или файла, его инициирующего, в Проводнике. Особенно это важно, если вы увидели, что данный объект потребляет слишком много системных ресурсов.

Если опасения подтвердились, и вы выяснили, что имеете дело с вирусом. То следует как можно быстрее его устранить. Прежде всего, нужно остановить процесс, так как все дальнейшие манипуляции будут затруднительны, если вообще возможны, из-за загруженности процессора. Чтобы сделать это, щелкните по вирусному процессу в Диспетчере задач правой кнопкой мыши. В списке выберите «Завершить процесс».

Запускается небольшое окошко, где нужно подтвердить свои действия.

После этого, не делая перезагрузки, следует просканировать компьютер антивирусной программой. Лучше всего для этих целей использовать приложение Dr.Web CureIt, как наиболее хорошо зарекомендовавшее себя в борьбе с проблемой именно такого характера.

Если использование утилиты не помогло, то следует файл удалить вручную. Для этого после завершения процесса перемещаемся в директорию расположения объекта, щелкаем по нему правой кнопкой мыши и выбираем «Удалить». Если нужно будет, то в диалоговых окнах подтверждаем намерение удалить элемент.

Если вирус блокирует процедуру удаления, то перезагрузите компьютер и зайдите в систему в Безопасном режиме (Shift+F8 или F8 при загрузке). Выполните ликвидацию файла по указанному выше алгоритму.