Процесс svchost.exe грузит систему. Устраняем проблему

Компьютеры & Интернет »   Безопасность

Автор совета: Артём Аленин Дата публикации: 20.07.2010

Статья обновлена 09.12.2011 г.

Симптомы:
Ваш компьютер вдруг сильно начал виснуть и тормозить систему. При этом у вас стоит антивирус с новейшими антивирусными базами. Нажмите Ctrl+Alt+Delete и щелкните по вкладке Процессы. Вы увидите список всех процессов, которые идут в данный момент; при этом вы увидите, что какой-то из процессов потребляет уйму ресурсов компьютера (хотя никакие программы вы в данный момент не используете). Тут вы и увидите некий процесс svchost (процессов с таким же названием будет несколько штук, но вам нужен именно тот, который загружает систему под 100%).

Решение:

1) Попробуйте, в первую очередь, просто перезагрузить компьютер.
2) Если после перезагрузки этот процесс продолжает грузить систему, то кликните правой клавишей по процессу и, в открывшемся списке, выберете Завершить дерево процессов. Затем перезагрузите компьютер.
3) Если вам не помогли первые два способа, то зайдите в папку Windows и найдите там папку Prefetch (C:\WINDOWS\Prefetch). Удалите эту папку (удалите именно папку Prefetch; НЕ удалите случайно саму папку Windows!!!) Далее следуйте второму пункту (т.е. удалите дерево процессов svchost). Перезагрузите компьютер.

Далее пойдут ответы на вопросы, которые чаще всего задавали в комментариях к данной статье...

Сколько должно быть всего процессов svchost.exe во вкладке «Процессы»?
Количество процессов с таким названием зависит от того, сколько сервисов запущено через svchost. Количество может зависеть от версии Windows, свойств вашего компьютера и т.д. А потому, процессов с названием «svchost.exe» может быть от 4 (абсолютный минимум) до бесконечности. У меня на 4х-ядерном компьютере с Windows 7 (с учётом запускаемых сервисов) во вкладке «Процессы» стоит 12 svchost’ов.

Как определить, какой из них является вирусом?
Вы можете увидеть на скриншоте выше, что в колонке «Пользователь» рядом с каждым svchost’ом стоит название источника, который и запустил этот самый процесс. В нормальном виде рядом с svchost’ами будет написано «system», или «network service», или «local service». Вирусы же запускают себя от имени «user» (может быть написано «пользователь» или «администратор»).

Что такое, вообще, процесс svchost.exe?
Если говорить простым языком, то процесс svchost – это ускоритель запуска и работы сервисов и служб. Запускаются svchost’ы через системный процесс services.exe

Что будет если я, нажав на «Завершить дерево процессов», случайно завершу системный процесс svchost, а не сам вирус?
Ничего страшного не произойдёт. Система выдаст вам ошибку и перезагрузит компьютер. После перезагрузки всё встанет на свои места.

Какие вирусы маскируются под svchost.exe?
По данным Лаборатории Касперского под svchost.exe маскируются вирусы: Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn, Net-Worm.Win32.Welchia.a
По неподтверждённым данным некоторые версии Trojan.Carberp тоже маскируется под svchost.exe

Как работают эти вирусы?
Эти вирусы без вашего ведома заходят на специальные сервера, откуда либо скачивают ещё что-нибудь опасное, или же отправляют информацию на сервер (а именно ваши пароли, логи и т.д.)

Процесс svchost.exe грузит систему, но в графе «Пользователь» написано «system». Что это такое?
Скорее всего – это означает, что какая-то служба или сервис усиленно работает. Подождите немного, и этот процесс перестанет грузить систему. Или не перестанет... Есть некоторые вирусы (например: Conficker), которые используют настоящие svchost’ы, чтобы портить вашу систему. Это очень опасные вирусы, а потому вам стоит проверить свой компьютер антивирусом (а лучше несколькими сразу). Например, можно скачать DrWeb CureIt – он найдёт такие вирусы и удалит.

Зачем нужно завершать дерево процессов и удалять папку Prefetch?
Если вы завершите дерево процессов вашего, тормозящего систему, svchost’а, то компьютер в экстренном порядке перезагрузиться. А при запуске, когда вирус ещё раз попытается запуститься, то антивирус (который у вас должен быть установлен в обязательном порядке) сразу же обнаружит и удалит его. Хотя существует множество модификаций. Например, первоисточник такого вируса может находиться в папке Prefetch. Эта папка нужна для ускорения работы служб и сервисов. Её удаление не повредит вашему компьютеру.

Мне не помогли ваши советы. Процесс svchost.exe продолжает грузить систему.
В первую очередь, проверьте компьютер антивирусом. А ещё лучше, проверьте компьютер несколькими антивирусами.
Ещё я могу посоветовать, почистить папку System Volume Information. В этой папке находятся точки восстановления для вашего компьютера. Вирусы прописывают себя в эту папку, так как система не позволяет антивирусу удалять что-либо из этой папки. Но это вряд ли вам пригодиться. Я ещё пока не слышал о таких модификациях вирусов, которые бы выдавали себя за svchost.exe и находились в папке System Volume Information.

Если возникнут ещё вопросы, то я с радостью на них отвечу.








Последние советы раздела «Компьютеры & Интернет»:

Как проверить скорость интернета на ноутбуке
Как и зачем стоит купить прокси-сервер
Программа для восстановления удаленных файлов
Скачать игры на Андроид бесплатно
Преимущества дистанционного обучения
Как выбрать смартфон в 2018 году
Советы по выбору смартфона
Внешний аккумулятор для смартфона: советы по выбору
Какие бывают компьютеры
Преимущества смартфонов Xiaomi





Комментарии совета:

Комментарий добавил(а): Андрей
Дата: 11.06.2012

Я не читал комменты все, но решил спросить вот этот процесс svchost.exe грузит комп хрен пойми от чего посмотрел видео иногда немного набрался иногда нету вообще даже если играю не в онлайн игры, обычные то грузит то нет.Вы описали то,что завершение этого процесса перезагрузит комп, но нет просто он перестаёт лагать и все ок становится,антивирус стоит касперский ничего невидит(наверное комп тупит? или всетаки вирус?).

Комментарий добавил(а): Артём Аленин
Дата: 24.05.2012

Сергей, информация об используемой памяти в диспетчере задач ВСЕГДА сильно преуменьшена. Так работает Windows 7 (я так понимаю у Вас установлен именно он). Это нормально - не беспокойтесь.

Комментарий добавил(а): Виталий
Дата: 19.05.2012

Нод - сразу на помойку. Не видит практически ничего. Старый дряхлый глухой цепной пёс. После Нода приятно удивляет Dr.Web Cure It . Но... и он, как оказалось видит не всё и при анализе полностью блокирует комп. Единственный антивирь, способный за ним подчистить из тех, что лично я пользовал - Malwarebytes Anti-Malware. К тому же при сканировании параллельно можно спокойно работать на компе. Для сканирования- совершенно бесплатен. Для использования в режиме реального времени- лицензия стоит копейки,25 долл, сравните с бесполезным нодом. Да и кряк есть рабочий )) Не забываем только удалять вирусню из карантина программы. То есть первый раз удаяем при запросе на найденный вирус-троян, второй- самостоятельно заходим в карантин и убиваем все

Комментарий добавил(а): Сергей
Дата: 18.05.2012

Здравствуйте!У меня немного иная проблема,т.к.svchost грузит не процессор а оперативную память,причём почти всю!так показывает программа Auslogics Boot Speed но в родном диспетчере задач svchostЫ в общем занимают 300-400 мегабайт и у меня их 13 штук,проц тоже 4х-ядерный,после перезагрузки всё налаживается,но не всегда мне нужно его перезагружать.ещё я заметил что загрузка оперативы случается после отключения дисплея или перехода в спящий режим.антивир стоит(NOD)Заранее большое спасибо!

Комментарий добавил(а): любимый-город-нн.рф
Дата: 15.05.2012

Очень интересная информация! спасибо автору!

Комментарий добавил(а): Николай
Дата: 24.04.2012

Доброго времени суток. Да, тут либо знаешь решение, либо нет. 99%, что это не вирус. Скорее всего нормальное поведение службы. Я читал, что она накапливает какие-то сведения с сетки, хранит в оперативе. Правда вот про настройку ничего не было сказано. Спишем это на недостатки ОС. Спасибо за то, что не проигнорировали мою проблему.

Комментарий добавил(а): Артём Аленин
Дата: 23.04.2012

Николай, похоже дело не столько в вирусе, сколько в конфигурации всего вашего сервера. Я, к сожалению, ничем помочь вам не могу - ваша проблема очень уж специфична :(

Комментарий добавил(а): Михаил
Дата: 20.04.2012

Большое спасибо за дельные советы

Комментарий добавил(а): Евгений Андросов
Дата: 16.04.2012

Николай, ваш комментарий я добавил в ручном режиме - автоматически он не добавлялся, видимо, из-за каких-то символов, которые установленный на комментарии фильтр считает опасными. Но лучше перестраховаться, чем недостраховаться.

Комментарий добавил(а): Николай
Дата: 16.04.2012

Не по теме... Мой пост не отправлялся, похоже что, из-за присутствия в нем апострофа. Это так, заметка модераторам.

Комментарий добавил(а): Николай
Дата: 16.04.2012

Перезапустил службу dhcp, память вычистилась. При запуске процесс забрал себе всего 5.5Мб оперативной памяти... Но это пока... Перезапуск этой службы пришлось делать jobами "at 8:00 sc stop dhcp, at 8:01 sc start dhcp", иначе, при остановке службы, отваливается RDP и доступа к серверу нет. Хотелось бы найти решение без "разрыва" сетки, чтобы можно было освобождать память на рабочих серверах. Заранее спасибо.

Комментарий добавил(а): Николай
Дата: 16.04.2012

Артем, день добрый! 1. ОС: Windows Server 2003 Enterprise x64 5.2.3790 Service Pack 2. 2. Антивируса нет, файрвол отключен. 3. SQL Server 2008 R2 (10.50.1600) на нем работает SQL Server Agent (эта служба запущена из под учетки с полными правами на ресурсы, с которых идет копирование) - Jobs. По 3 задачи в день. Агент вызывает самописную утилитку, которая копирует файлы из указанных директорий на сервер (локально), архивирует их. Получается, что через сетку проходит более 1Тб в неделю. Другими задачами сервер не занят.

Комментарий добавил(а): Николай
Дата: 16.04.2012

чёт пост не могу отправить...

Комментарий добавил(а): Николай
Дата: 16.04.2012

Артем, день добрый! 1. ОС: Windows Server 2003 Enterprise x64 5.2.3790 Service Pack 2. 2. Антивируса нет, файрвол отключен. 3. SQL Server 2008 R2 (10.50.1600) на нем работает SQL Server Agent (эта служба запущена из под учетки с полными правами на ресурсы, с которых идет копирование) - Jobs. По 3 задачи в день. Агент вызывает самописную утилитку, которая копирует файлы из указанных директорий на сервер (локально), архивирует их. Получается, что через сетку проходит более 1Тб в неделю. Другими задачами сервер не занят. P.S. Перезапустил службу dhcp, память вычистилась. При запуске процесс забрал себе всего 5.5Мб оперативной памяти. Но это пока... P.P.S. Перезапуск этой службы пришлось делать job'ами "at 8:00 sc stop dhcp, at 8:01 sc start dhcp", иначе, при остановке службы, отваливается RDP и доступа к серверу нет. Хотелось бы найти решение без "разрыва" сетки, чтобы можно было освобождать память на рабочих серверах. Заранее спасибо.

Комментарий добавил(а): тоже нет папки
Дата: 16.04.2012

папки нет такои

Комментарий добавил(а): Артём Аленин
Дата: 14.04.2012

Николай, странно... Не похоже что-то на поведение вируса. Наверняка что-то с настройками сервера. Николай, можете поподробнее описать: какой именно сервис пак, sql, какой антивирус...

Комментарий добавил(а): Николай
Дата: 13.04.2012

Доброго времени суток! У меня вот какой вопрос. На сервере стоит Win2k3R2x64. Процесс C:WINDOWSsystem32svchost.exe -k NetworkService постоянно понемногу отбирает себе оперативную память. Сейчас сервер работает 3 месяца без перезагрузки, процесс откушал себе 1.4Гб оперативной памяти, при том, что на сервере выделено 768Мб (сервер чисто для бекапов). Соответственно все тормозит. Можно ли решить вопрос без перезагрузки? Может можно ограничить этому процессу оперативную память? P.S. Такая же ситуация и на других серверах происходит.

Комментарий добавил(а): Артём Аленин
Дата: 31.03.2012

Anton, воспользуйтесь DrWeb CureIt

Комментарий добавил(а): Anton
Дата: 29.03.2012

Мне вообще ничего непомогает и винуд сбивал он черезь 2 недели опять грузит и папку удалял ваще ничё не помогает Что делать ???

Комментарий добавил(а): Виталя
Дата: 18.03.2012

просто удалить файл или отправьте в карантин svhsa32.exe он находится по адресу C:WindowsSystem32 эта и есть вирус.

Комментарий добавил(а): Артём Аленин
Дата: 18.03.2012

MaD_Angel, и тебе спасибо за такой нелестный комментарий :) Женя, папка Prefetch есть на всех windows. Просто увидеть и удалить её можно только обладая правами Администратора.

Комментарий добавил(а): Женя
Дата: 17.03.2012

у меня нету такой папки.

Комментарий добавил(а): MaD_Angel
Дата: 11.03.2012

Спасибо, добрый человек!!! Тысячу двести сорок два раза спасибо, ты сохранил для меня моё место работы, ибо хрен бы я сумел сдать срочный проект с таким внезапно тормозящим компом вовремя и точно лишился бы своего места работы! Спасибо за то, что такие люди, как ты существуют и помогают нам... простейшим))))

Комментарий добавил(а): Серж
Дата: 03.03.2012

А я нашёл в папке Prefetch файл SVCHOST.EXE (прописаны большими буквами)и просто удалил его,пока загрузка ЦПа в норме)

Комментарий добавил(а): Александр
Дата: 29.02.2012

На некоторых компах в офисе (все компы работают на XP) стали появляться 1-2 процесса svchost.exe, запущенных от имени пользователя. Эти процессы грузят комп до 100%. На диске С: появляются папки с непонятными названиями. Внутри папок лежат два файла: один называется klpklst.dat, второй - что-то типа windsk....inf. Никакие антивирусные проверки Касперским и AVZ не помогают найти источник заразы. Но, если заглянуть в менеджер автозапуска AVZ, то там отчётливо видно, что вирусы прописались в профиль пользователя: главное меню - программы - автозагрузка (может быть и по другому пути). Дальше дело техники: у меня там было два exe-шника, я их удалил с помощью AVZ через отложенное удаление файлов. После перезагрузки компа, всё стало зер гуд.

Комментариев к этому совету так много, что мы разбили их постранично:

Добавить комментарий

Имейте, пожалуйста, ввиду, что любые ссылки, html-теги или скрипты, будут выводиться в виде обычного текста - бессмысленно их использовать. Комментарии, содержащие нецензурные выражения, оскорбления, флуд и рекламу будут немедленно удалены.


В целях предотвращения спама в комментариях, сделайте, пожалуйста, два действия:

1. Напишите столицу Франции (с заглавной буквы)

2. Введите сумму чисел: 5 + 32 =

Вам помог этот совет? Вы можете помочь проекту, пожертвовав на его развитие любую сумму по своему усмотрению. Например, 20 рублей. Или больше :)