Почему экземпляров svchost.exe запущено так много

Готов спорить, увидев первый раз диспетчер задач системы Windows(в частности 2000,XP или их современниц), вы задались вопросом — откуда столько экземпляров процесса svchost.exe. Я регулярно слышу подобный вопрос от своих знакомых на протяжении многих лет. Сегодня я попробую написать ответ.

Файл Svchost.exe расположен в папке %SystemRoot%\System32. В процессе загрузки Svchost.exe составляет на основании записей в реестре список служб, которые необходимо запустить. Одновременно может быть запущено несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe может содержать несколько служб. Таким образом, в зависимости от того, как и где запущен процесс Svchost.exe, могут выполняться несколько отдельных служб. Такая группировка служб обеспечивает более высокий уровень контроля над ними и облегчает отладку.

Группы Svchost.exe определяются в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
Каждое значение в этом разделе представляет отдельную группу Svchost и отображается при просмотре активных процессов как отдельный экземпляр. Каждое из этих значений имеет тип REG_MULTI_SZ и содержит службы, выполняемые в этой группе Svchost. Каждая группа Svchost может содержать одно или несколько имен служб, извлекаемых из следующего раздела реестра, в котором подраздел Parameters содержит значение ServiceDLL:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Служба

Резюмируя вышесказанное, можно охарактеризовать Svchost.exe как процесс, запускающий необходимые операционной системе службы. Службы группируются на основании какого либо признака, каждая запущенная группа представляет собой отдельный процесс Svchost.exe.

Список служб svchost.exe. Способ №1

Вы можете легко выяснить, какие службы запущены конкретным экземпляром файла svchost. Если ваша текущая ОС — достаточно современная, т.е. Windows Vistaили Windows 7, можно воспользоваться Диспетчером задач. Перейдите на вкладку «Процессы» и выделите один из экземпляров svchost.exe. Щелкните по нему правой кнопкой мыши и в контекстном меню выберите «Перейти к службам»

Службы, запущенные конкретным Svchost.exe, будут выделены:

Список служб svchost.exe. Способ №2

Если у вас операционная система, отличная от Windows Vista или Windows 7, например, Windows XP, Диспетчер задач в ней не такой «продвинутый», и описанных в способе №1 возможностей не предоставляет. Однако, встроенными средствами просмотреть службы, запущенные svchost, всё же можно. Выполните в командной строке:
[code]tasklist /svc[/code]

Вполне информативно.

Список служб svchost.exe. Способ №3

Последний способ — универсальный для всех NT-систем. Для просмотра служб svchost.exe можно воспользоваться приложением SysInternals ProcessExplorer. Она покажет все службы, относящиеся к конкретному экземпляру файла svchost.exe.

Я позволю себе рекомендовать читателю ознакомиться и регулярно пользоваться приложением SysInternals ProcessExplorer, причем оригинальной английской версией (на скриншоте изображена локализованная неофициальная версия). Очень полезная и очень мощная программа для управления процессами ОС, предоставляющая исчерпывающую информацию.

Надеюсь, теперь обилие svchost.exe не будет вызывать у вас вопросов.

💡Узнавайте о новых статьях быстрее. Подпишитесь на наши каналы в Telegram и Twitter.

Поделиться этой статьёй:

Вы здесь: Главная страница » Windows » Почему экземпляров svchost.exe запущено так много

Почему экземпляров svchost.exe запущено так много: 4 комментария

Спасибо. Тоже раньше задавался таким вопросом. Теперь всё понятно.
Почему именно оригинальной английской версией SysInternals ProcessExplorer?
Так же процессы svchost.exe иногда скачивают с интернета мегабайты данных.
Обновление не запускал.
Что это за данные и откуда скачиваются?

Оригинальной, потому что это как-никак не видоизмененный третьими сторонами исполняемый файл. Подобные модификации могут отрицательно сказаться на работе [любой] утилиты.

svchost управляет кучей служб. В вашем случае это мог быть Защитник Windows или иная другая сетевая служба.

Множество процессов svchost.exe

Здравствуйте!
В диспетчере задач обнаружил очень много процессов svchost.exe (14 штук). Почему их так много? Нормально ли это?

Процесс svchost.exe предоставляет возможность службам (в виде dll-файлов) возможность исполнять их код в своём адресном пространстве. Соответственно, чем больше у вас таких служб, тем больше будет копий данного процесса. А теперь что с этим делать: изучите с помощью программы Process Explorer копии данного процесса, чтобы узнать, какие службы в нём исполняются, а затем с помощью программы ServiWin отключите/измените тип запуска лишних служб (информацию о нужности каждой службы вы можете найти в описании службы и в Интернете). Можете воспользоваться вот этим набором (справка + программы):

* программа SpyDLLRemover 4.5 (предназначена для работы со списком билиотек и процессов системы + справка на русском)
* программа ServiWin 1.48 (предназначена для работы со списком служб и драйверов системы + справка и русификатор)
* программа Autoruns 11.22 (предназначена для анализа мест автозапуска как активной, так и неактивной системы + справка на русском)
* программа Process Explorer 15.13 (наблюдение за активностью системы и использованием системных ресурсов + справка на русском)
* программа PDF-XChange Viewer (для просмотра файлов в формате pdf, из которых состоит справка, с русским интерфейсом)
Все программы не требуют установки и бесплатны. Дополнительно: некоторый объём полезных сведений для понимания того, что такое процессы, билиотеки, места автозапуска, маркер доступа, реестр. а также как избавиться от «непрошенных гостей» (несколько полезных советов и конкретных примеров на основе использования обычных программ).

Что делать, если Svchost сильно грузит процессор?

Svchost.exe (сервис-хост) или хост-процесс для служб Windows — компонент операционных систем Microsoft, используемый для запуска и выполнения служб из dll-файлов (динамически подключаемых библиотек). Если по-простому, то это процесс, точнее, множество процессов, которые обеспечивают функционирование всех основных подсистем Windows — от управления питанием компьютера до оформления рабочей среды (панелей, окон, меню и т. д.).

Поскольку сервис-хост прямо или косвенно влияет на всё, что вы делаете, видите и слышите на ПК, чрезмерная загрузка им процессора может быть связана с чем угодно.

Из-за чего Svchost загружает процессор

Ниже перечислены основные группы причин, из-за которых svchost грузит процессор:

• Высокая загруженность сетевых структур операционной системы. Чаще всего это вариант нормы, который встречается, например, во время скачивания и установки обновлений Windows. Нередко виновником бывает программа, активно использующая сеть, вроде торрент-клиента или браузера.
• Некорректная работа какой-либо службы или драйвера устройства. Эта и предыдущая причины тянут более чем на 50 процентов случаев.
• Заражение компьютера вредоносным ПО. Тянет примерно на 15-20% случаев.
• Повреждение, замена, изменение системных файлов (служб, динамических библиотек, самого svchost.exe). Могут быть вызваны не только вирусами, но и пиратскими активаторами Виндовс, а также программами для «улучшения, ускорения и украшения» системы.
• Аппаратная неисправность устройств.

Далее разберем по порядку, как выявить виновника проблемы и что делать дальше.

Исследуем процессы и файлы

Основной инструмент, который будет помогать нам в диагностике и решении проблем с svchost, — это диспетчер задач Windows. В «десятке» после обновлений за 2018 год хост-процессы обозначены в нем как «Узел службы» или «Служба узла». Внутри каждого из них работает одна или несколько служб. Службы сгруппированы по уровням доступа к системным ресурсам.

В норме все хост-процессы создаются одним и тем же файлом — svchost.exe, который находится в папке \Windows\System32. Дабы убедиться, что процесс, который грузит систему, запущен именно оттуда, вызовите его контекстное меню и кликните «Открыть расположение файла». Открылась папка System32? Значит, первый тест пройден успешно.

Все нормальные хост-процессы имеют общего родителя — процесс services.exe, запущенный одноименным файлом. К сожалению, системный диспетчер задач его не показывает. Чтобы это увидеть, можно воспользоваться улучшенной альтернативной диспетчера — бесплатной и не требующей установки утилитой Process Explorer.

Кроме того, нормальному файлу svchost.exe положено иметь цифровую подпись Microsoft. Чтобы ее проверить, откройте в системном диспетчере задач вкладку «Процессы», щелкните по подозрительной строке правой клавишей мышки и нажмите «Подробно».

Находясь во вкладке «Подробности», снова щелкните правой клавишей подозрительный svchost и выберите «Свойства».

Откройте вкладку цифровых подписей сервис-хоста. Если ее содержимое выглядит примерно как на скриншоте ниже, значит, всё в порядке.

Детальные сведения о файле, породившем хост-процесс, можно получить из содержимого вкладки «Подробно».

А если установить на компьютер простую бесплатную утилиту HasTab, «не отходя от кассы» можно получить контрольные суммы интересующего файла.

После чего проверить его MD5 на Virustotal.com (онлайн-сервис проверки файлов и других объектов множеством антивирусов). Если сервис покажет, что файл чист, значит, источник проблемы не в нем.

Разбираемся со службами, драйверами и оборудованием

Нередко причиной высокой загруженности процессора сервис-хостом становятся службы. В последней редакции Windows 10 найти проблемную службу стало проще, так как в основной массе хост-процессов их по одной. В Windows 7 и XP на 1 сервис-хост обычно приходится группа служб, иногда по 8-12 штук.

Чтобы увидеть перечень служб — потенциальных виновников неполадки в Виндовс 10, сделайте следующее:

• Откройте в диспетчере задач на вкладке «Подробности» контекст подозрительного процесса svchost и нажмите «Перейти к службам».

• Всё, что работает в этом процессе, на вкладке «Службы» выделяется голубым цветом. Если выделена одна строка, скорее всего, вы нашли вероятного виновника. Если это, как в моем примере, служба wuauserv, можете спокойно выдохнуть: ваша операционная система просто качает обновления. И если компьютер не слишком производительный, svchost.exe в это время может нагружать процессор на 100 процентов. После обновления нагрузка придет в норму.
• Если голубым выделено несколько служб, найти проблемную поможет поочередная остановка. Для этого в контекстном меню одной из служб следует кликнуть по пункту «Остановить». Если нагрузка не уменьшится, запустите эту службу и остановите следующую.

Кстати, в Windows 10 останавливать и запускать службы можно прямо на вкладке «Процессы».

Внимание! Перед диагностикой вышеописанным методом сохраните все несохраненные документы, поскольку завершение работы критически важной системной службы может привести к зависанию, перезагрузке компьютера или синему экрану смерти (BSoD).

Если выявленная служба связана с драйвером устройства, например, звука (Windows Audio), Bluetooth (Bthserv), печати (Spooler) и т. д., причина может крыться не в ней, а в драйвере или неисправности самого устройства. Если драйвер был установлен незадолго до возникновения проблемы, откатите его к предыдущей версии. Если он давно не обновлялся — обновите либо переустановите. При подозрении на неполадку оборудования проверьте его отключением или заменой на заведомо исправное.

А вдруг это вирус?

Видя высокую загрузку процессора одним из svchost, многие пользователи в первую очередь думают о заражении вирусами. Такое встречается, но не особенно часто. Хотя в последнее время развелось немало вредоносных программ-майнеров, один из признаков которых — высокая нагрузка на процессор и\или видеочип, особенно во время простоя компьютера.

На признаки вирусного заражения указывает следующее:

• Файл svchost.exe, породивший процесс, не имеет цифровой подписи Microsoft и находится в каталоге, отличном от \Windows\system32.
• Родительский процесс сервис-хоста — не Services.exe, а что-то другое, например, тот же svchost.
• Проверка контрольной суммы svchost.exe на Virustotal показала плохой результат или сервис не смог определить по контрольной сумме, что это за файл.
• В Windows XP и «семерке»- наличие процесса svchost.exe, запущенного от имени пользователя (в этих ОС им могут управлять только учетные записи системы, lockal service и network service). Обратите внимание, что в Windows 8 (8.1) и 10 несколько процессов svchost.exe от имени пользователя стало нормальным явлением.

• Неизвестные библиотеки dll и службы, которые работают в контексте сервис-хоста. Посмотреть список загруженных в память процесса библиотек можно при помощи Process Explorer (кнопка открытия панели библиотек обведена в меню красной рамкой). На скриншоте показана нормальная картина — все dll-ки имеют подпись Microsoft.