Вирус в процессе svchost exe. Что такое svchost и почему грузит процессор — подробности

Дата публикации: 20.07.2010

Статья обновлена 09.12.2011 г.

Симптомы:
Ваш компьютер вдруг сильно начал виснуть и тормозить систему. При этом у вас стоит антивирус с новейшими антивирусными базами. Нажмите Ctrl+Alt+Delete и щелкните по вкладке Процессы . Вы увидите список всех процессов, которые идут в данный момент; при этом вы увидите, что какой-то из процессов потребляет уйму ресурсов компьютера (хотя никакие программы вы в данный момент не используете). Тут вы и увидите некий процесс svchost (процессов с таким же названием будет несколько штук, но вам нужен именно тот, который загружает систему под 100%).

Решение:
1) Попробуйте, в первую очередь, просто перезагрузить компьютер.
2) Если после перезагрузки этот процесс продолжает грузить систему, то кликните правой клавишей по процессу и, в открывшемся списке, выберете Завершить дерево процессов . Затем перезагрузите компьютер.
3) Если вам не помогли первые два способа, то зайдите в папку Windows и найдите там папку Prefetch (C:\WINDOWS\Prefetch). Удалите эту папку (удалите именно папку Prefetch ; НЕ удалите случайно саму папку Windows !!!) Далее следуйте второму пункту (т.е. удалите дерево процессов svchost). Перезагрузите компьютер.

Сколько должно быть всего процессов svchost. exe во вкладке «Процессы»?
Количество процессов с таким названием зависит от того, сколько сервисов запущено через svchost. Количество может зависеть от версии Windows, свойств вашего компьютера и т.д. А потому, процессов с названием «svchost.exe» может быть от 4 (абсолютный минимум) до бесконечности. У меня на 4х-ядерном компьютере с Windows 7 (с учётом запускаемых сервисов) во вкладке «Процессы» стоит 12 svchost’ов.

Как определить, какой из них является вирусом?
Вы можете увидеть на скриншоте выше, что в колонке «Пользователь» рядом с каждым svchost’ом стоит название источника, который и запустил этот самый процесс. В нормальном виде рядом с svchost’ами будет написано «system», или «network service», или «local service». Вирусы же запускают себя от имени «user» (может быть написано «пользователь» или «администратор»).

Что такое, вообще, процесс svchost. exe?
Если говорить простым языком, то процесс svchost – это ускоритель запуска и работы сервисов и служб. Запускаются svchost’ы через системный процесс services.exe

Что будет если я, нажав на «Завершить дерево процессов», случайно завершу системный процесс svchost, а не сам вирус?
Ничего страшного не произойдёт. Система выдаст вам ошибку и перезагрузит компьютер. После перезагрузки всё встанет на свои места.

Какие вирусы маскируются под svchost. exe?
По данным Лаборатории Касперского под svchost.exe маскируются вирусы: Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn, Net-Worm.Win32.Welchia.a
По неподтверждённым данным некоторые версии Trojan.Carberp тоже маскируется под svchost.exe

Как работают эти вирусы?
Эти вирусы без вашего ведома заходят на специальные сервера, откуда либо скачивают ещё что-нибудь опасное, или же отправляют информацию на сервер (а именно ваши пароли, логи и т.д.)

Процесс svchost. exe грузит систему, но в графе «Пользователь» написано « system». Что это такое?
Скорее всего – это означает, что какая-то служба или сервис усиленно работает. Подождите немного, и этот процесс перестанет грузить систему. Или не перестанет... Есть некоторые вирусы (например: Conficker), которые используют настоящие svchost’ы, чтобы портить вашу систему. Это очень опасные вирусы, а потому вам стоит проверить свой компьютер антивирусом (а лучше несколькими сразу). Например, можно скачать DrWeb CureIt – он найдёт такие вирусы и удалит.

Зачем нужно завершать дерево процессов и удалять папку Prefetch?
Если вы завершите дерево процессов вашего, тормозящего систему, svchost’а, то компьютер в экстренном порядке перезагрузиться. А при запуске, когда вирус ещё раз попытается запуститься, то антивирус (который у вас должен быть установлен в обязательном порядке) сразу же обнаружит и удалит его. Хотя существует множество модификаций. Например, первоисточник такого вируса может находиться в папке Prefetch. Эта папка нужна для ускорения работы служб и сервисов. Её удаление не повредит вашему компьютеру.

Мне не помогли ваши советы. Процесс svchost. exe продолжает грузить систему.
В первую очередь, проверьте компьютер антивирусом. А ещё лучше, проверьте компьютер несколькими антивирусами.
Ещё я могу посоветовать, почистить папку System Volume Information. В этой папке находятся точки восстановления для вашего компьютера. Вирусы прописывают себя в эту папку, так как система не позволяет антивирусу удалять что-либо из этой папки. Но это вряд ли вам пригодиться. Я ещё пока не слышал о таких модификациях вирусов, которые бы выдавали себя за svchost.exe и находились в папке System Volume Information.

Если возникнут ещё вопросы, то я с радостью на них отвечу.

Последние советы раздела «Компьютеры & Интернет»:

Комментарии совета:

Отключение поиска и автообновления виндовс спасло мой ноут от поедания ресурсов оперативы процессом svchost. Жрал он 2гб из 6 это без учёта других работающих процессов, вообщем выходило 5гб занятых. Следуя совету отключил центр обновления виндовс убрав флажки с поиска и автоматической установки, завершил дерево процессов svchost и перезагрузил ноут, все прошло) Спасибо советам.

Данную проблему для себя решил давно: 1.Отключено Центр обновления Windows 2.Отключено Клиент сетей Майкрософ

А у меня даже после восстановления системы svchost.exe съедал примерно 17% ЦП. Антивирус касперского ничего не находит. Я отключил службу обновления windows, помогло. Но раньше я ничего не отключал и все нормально работало. Подозрения на игрухи скачанные из интернета.

По своему опыту, svchost (съедал 1,5 гб из 8 гб) грузит установленное ПО, в моем случае прога для настройки локальной сети Network Magic, даже после её сноса, который тоже требует танцев с бубном, svchost безбожно жрет оперативу, выход - удаление процессов в диспетчере задач Windows (Ctrl+Alt+Del): nmsrvc.exe nmapp.exe nmctxth.exe После чего удаление папки с остатками проги "Pure networks shared" (её местонахождение можно узнать кликнув правой кнопкой мыши на вышеуказанных процессах). Вылечил таким образом свой ноут и комп. Надеюсь кому-то поможет.

Дополнение к моему комментарию: Я проверил все svchost.exe в диспетчере которые были запущены системой и данный запрет сработал только на тот который я запретил системе запускать, так что можете использовать этот способ спокойно, если это вирус то можете сами найти его, они обычно скрыты, поэтому отключите скрытие системных файлов и папок и включите показ скрытых файлов и папок, дальше просто проверьте места где данный вирус может быть

Сделал всё что было написано в статье, ничего не помогло, процесс продолжал грузить ЦП ровно на 50%. Я решил что если он был запущен системой, то можно запретить системе запускать его, нажал правой кнопкой мышки на процесс/свойства/безопасность/ выделил систему, нажал "Изменить" и запретил доступ системы к этому процессу, потом завершил дерево процессов и он больше не запускается, компьютер ещё не перезагружал, опасаюсь что теперь система вообще не сможет запускать процессы svchost.exe так что если будете тоже делать так, то будьте готовы к худшему варианту

Есть ещё один вариант, сам проверил. Нужно отключить автообновление системы: открываем Панель управленияЦентр обновления WindowsНастройка параметров и установить "Не проверять наличие обновлений". И ещё один пункт: Панель управленияАдминистрированиеСлужбы в самом низу Центр обновления Windows открываем двойным нажатием и отключаем

Проверил авирами Касперким, 360тотал, Авирой _ результат=0. Грузит даже без подключения паутины.

Я скачал антивирус Касперского и он сразу удалил вирус svchost.exe !Помогло спасибо!

Прошу прощения, они есть, но запущены по всем правилам, системой либо «network service», или «local service». Наверно, надо дальше разбираться, за статью все равно спасибо!

Указанный процесс жрет рабочий трафик. Пыталась последовать описанному выше совету - но у меня в процессах вообще нет svchost, ни одного. Так может быть? Или он по другому называется?

Ден красава!написал прохожий Дата: 13.05.2015 мне помогло в администрирование в службах отключить процесс центр обновления windows и теперь так не грузит оперативку svchost да, спасибо, это действительно помогло. только ещё там же в настройках Центра обновления Виндовс нужно поставить флажок, чтоб включать вручную, а то через некоторое время Центр обновления сам включится.

Ильнар, отключи Центр обновления Windows.

У меня такая проблема. Хост-Процесс для служб Windows постоянно использует интернет, скачивает что-то всегда. А я играю в онлайн игры, где пинг очень важен. А этот вот процесс постоянно что-то качает. Перезапускал, не помогало. Саму систему он не грузит, но интернет жрет.

Спасибо пользователю с ником: " Денис К. " ПОМОГЛО! Отключил в службах службу центр обновления виндовс и проблема ушла))) Советую)

Пишу, как получилось разобраться у себя. Через Диспетчер задач нашёл место расположения.exe файла. Попробовал удалить, не получается- перезапускается. Через Диспетчер в наглую залез и запретил процессу доступ ко всему. Закрыл всё дерево, удалил файл. Всё работает.

господа,все проще,чаще всего этот фаил увеличивается в весе из-за обновлений,когда винда начинает искать обновы СВхост может легко и до 6 гиг весить,отключаете овтопоиск обновлений и вам будет счастье,полностью отключайте

ТОРМОЗИТ ХОСТ УБИВАЕШЬ И ЦП С ОП СТРЕЛЫ ПАДАЮТ.ЧТО ОН ДЕЛАЕТ ТАК И НЕ ПОНЯЛ? НО СО СВОЕЙ ЗАДАЧЕЙ ЖРАТЬ РЕСУРСЫ ПК ОН ХОРОШО СПРАВЛЯЕТСЯ

Могу сказать одно - в подавляющем числе случаев svhost не является вирусом, а продуктом криворукости Майкрософт. У меня два компьютера пострадало от этой беды. Но! На втором я вовремя откатил систему за день до "установки обновления виндоус" и запретил системе любой контакт с производителем (из допустимых для запрета), а именно - отключил загрузку обновлений в службах. Это помогло. Увы, на первом компьютере я ещё не понимал, что это за такое и он до сих самых пор временами зависает, пока я не убью вредоносный процесс.

Здравствуйте. Начало грузить оперативную память на 100% но в диспетчере этот процесс не показан. Сторонние программы показывают что это svhost но не могут его завершить = отказано в доступе. Как быть в таком случае?

Работа операционной системы Windows – сложный процесс, который возможен только при грамотном функционировании всех программных компонентов. Не менее сложно работает MacOS, но в ней пользователи не обладают возможностью следить за системными процессами. В Windows посмотреть все исполняемые файлы можно в «Диспетчере задач», и неопытных пользователей некоторые из них могут напугать. Ярким примером файла, который вызывает тревогу, является svchost.exe. Довольно часто в Windows svchost.exe грузит память или процессор, и возникает ощущение, что он является вирусом. Действительно ли это так? Давайте разбираться.

Svchost.exe: что это за процесс, какие у него функции и зачем нужен?

Распространенное мнение, что svchost.exe – это вирус имеет под собою основание, но на деле, чаще всего, никакой угрозы в себе данный процесс не несет. Если разбираться в функциональных обязанностях, возложенных на данный файл, он необходим чтобы подключать динамические библиотеки DLL для программ и служб, которые не могут без них работать. Каждая программа использует свой собственный файл svchost, который может быть расположен в различных папках операционной системы Windows.

Чаще всего файл svchost.exe можно найти по следующим адресам:

C:\WINDOWS\system32
C:\WINDOWS\Prefetch
С:\WINDOWS\winsxs\ amd64_microsoft-window
C:\WINDOWS\ServicePackFiles\i386

Если файл svchost.exe расположен в других папках – это повод забить тревогу, но далеко не показатель того, что он является вирусом. Действует данное правило и в обратном направлении, если svchost.exe даже и находится в одной из указанных выше папок, он вполне может оказаться вирусным программным обеспечением.

Определить в какой папке располагаются активные в данный момент процессы svchost.exe очень просто. Для этого выполните следующие действия:

В операционных системах Windows 8 и Windows 10 имеется возможность посмотреть через «Диспетчер задач» список служб, которые используют процесс svchost.exe. Сделать это просто - необходимо нажать на подозрительный процесс правой кнопкой и выбрать пункт «Перейти к службам». Стоит отметить, что названия многих служб навряд ли о чем-то смогут рассказать рядовому пользователю компьютера.

Процесс svchost.exe может не являться вирусом, и если он грузит систему, то здесь следует рассматривать 2 сценария:

Компьютер заражен вирусом, который рассылает спам, добывает криптовалюту для своих создателей или передает другие данные злоумышленникам;
Из-за невнимательности пользователь не замечает, что вредоносный процесс лишь скрывается под личиной системной библиотеки svchost.exe, на самом деле таковой не являясь.

Если компьютер заражен вирусом, и из-за этого процесс svchost.exe грузит Windows 10 или более раннюю версию операционной системы, то следует проверить компьютер популярными антивирусами. Обязательно установите Firewall, который позволит обеспечить сетевую безопасность компьютера.

Во втором случае следует распознать зловредный файл svchost.exe, который таковым не является, а после его удалить.

Как отличить svchost.exe вирус от системного файла

Если процесс svchost.exe грузит память или центральный процессор, то следует удостовериться в достоверности файла, на который он ссылается. Для этого внимательно проверьте имя исполняемого процесса. Ниже мы приведем несколько уловок злоумышленников, которые подменяют процесс svchost.exe на другой, но близкий по названию. Чаще всего применяются следующие схемы, чтобы замаскировать вирус:

Выше перечислены лишь самые распространенные варианты замаскировать вирус, но могут быть и другие. Внимательно посмотрите, чтобы процесс назывался svchost.exe и все буквы были прописаны латиницей.

В случае если вы нашли процесс, который маскируется под svchost.exe, но таковым не является, его следует удалить. Сделать это довольно просто, если использовать программу AVZ.

Как удалить svchost.exe с помощью программы AVZ

Известная антивирусная утилита AVZ способна обнаруживать и удалять нежелательные программы, в том числе и вирусные. Она распространяется бесплатно и обладает множеством полезных функций. Плюс программы AVZ в том, что ее не надо устанавливать на системный диск. AVZ можно запустить с флешки, внешнего жесткого диска или прямо из скачанного архива.

Чтобы удалить файл svchost.exe с использованием утилиты AVZ, необходимо выполнить следующие действия:

begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile("путь к вирусу ",""); DeleteFile("путь к вирусу "); BC_ImportAll; ExecuteSysClean; ExecuteWizard("TSW",2,3,true); BC_Activate; RebootWindows(true); end.

Вместо выделенных красным слов «Путь к вирусу» необходимо прописать местоположение вирусного процесса svchost. Выше мы уже рассказывали как определить где находится вирусный файл, который маскируется под svchost.exe. Копируем путь к нему (или прописываем вручную) и вставляем вместо выделенным красным слов. Внимание: Кавычки из скрипта удалять нельзя – только буквы выделенные красным.

После успешного удаления файла, который выдавал себя за svchost.exe, настоятельно рекомендуем проверить компьютер на наличие вирусов. Велика вероятность, что одна из программ генерирует новые файлы, которые автоматически запускаются в процессах и выдают себя за svchost.exe.

Ниже приведён список наиболее часто встречающихся причин, по которым svchost.exe создаёт нагрузку на процессор. Для начала мы рассмотрим, в чём вообще смысл этого процесса, а затем разберём методы решения проблемы в конкретных случаях.

Что такое svchost и можно ли его удалить?

Этот процесс является одним из главных в Windows. Он помогает работать программам, установленным на вашем компьютере и призван сократить потребление ими ресурсов. Удалять данный файл из системы нельзя (это не касается вирусов, маскирующихся под него, но о них – чуть ниже).

Если программ много, то количество запущенных процессов с этим названием может быть увеличено до необходимого числа. Поэтому, если в Диспетчере задач несколько svchost.exe – это нормально, и ещё не причина для переживания.

Возможные причины нагрузки на процессор

Вирусы

Первое, что нужно сделать, столкнувшись с проблемой загрузки ЦП – узнать, не стоит ли за всем этим вредоносное ПО.

Явный признак такой угрозы:

Откройте Диспетчер задач и проверьте, от чьего имени запущены все svchost.exe (чтобы их было удобней смотреть, отсортируйте отображение процессов по имени).

На скриншоте отмечены 3 группы, от лица которой запускается настоящий, безопасный процесс:

Система
Local Service
Network Service

Если же вы видите, что запуск произведён от имени вашей учётной записи – вы имеете дело с вредоносной программой. В таком случае первое, что стоит сделать – это нажать на нём правой кнопкой мыши и выбрать пункт «Открыть расположение файла».

Так вы узнаете, где он находится. Теперь этот файл можно отправить на проверку через virustotal.com, чтобы получить детальную информацию о типе угрозы.

Но проще всего сразу воспользоваться двумя программами для очистки системы:

Dr.Web Cure IT (на странице сначала нажмите «Далее», а затем – «Скачать с функцией отправки статистики»)

Т.к. удалить один лишь.exe – недостаточно: почти наверняка где-то на диске разбросаны вспомогательные файлы, которые или просто не дадут его уничтожить, или восстановят после перезагрузки.

Скорость проверки зависит от объёма жесткого диска. Но в случае в CureIT, вполне можно указать для проверки только системный раздел, на который установлена Windows, т.к. почти всегда все вредители стремятся «прописаться» там. Этого будет достаточно.

В MBAM можно просто нажать на «Начать проверку», т.к. сканирование всей системы занимает 15-20 минут в среднем.

По итогу проверки будет выдан отчёт со списком файлов, которые программа считает опасными. Некоторые элементы (записи в реестре) MBAM удалить сразу, а для остальных может попросить перезагрузить систему.

CureIT копает «глубже», но иногда пропускает моменты, которые подчищает MBAM.

Скачав и установив утилиту от Dr.Web, можно позволить ей просканировать всё, что угодно, просто нажав на «Начать проверку».

Для большей уверенности в том, что ничего не ускользнёт, можно указать помимо основных мест для проверки и весь диск, на котором находится Windows.

Автоматические обновления

По умолчанию в Windows включены обновления системы, которые часто и являются причиной нагрузки, создаваемой svchost.exe.

Нажмите сочетание клавиш Win+R и в открывшемся окне впишите «services.msc».

В Windows XP/Vista/7 можно запустить её и так: Пуск -> Выполнить (XP) / Поиск (Vista/7) -> services.msc

В списке служб найдите Центр обновления Windows, дважды кликните левой кнопкой мыши и установите параметры, как на скриншоте ниже.

В XP нужная строка называется «Автоматическое обновление»

Как видите, эта служба использует в работе svchost.

Выводы

Практика показывает, что чаще всего, помимо вредоносных приложений, проблема кроется в простых обновлениях системы. Остальные случаи можно назвать «частными», т.к. почти в каждом из них всё «завязано» на конкретном приложении. По этой причине невозможно описать все случаи, но поиск проблемных программ при помощи Process Explorer способен помочь.

Как удалить вирус svchost.exe? Поражение вирусами процесса SVCHOST.EXE весьма распространенное явление. Связано это с тем, что Windows использует процессы svchost.exe одновременно в разных целях. Поэтому, вирусу выгодно затеряться среди них и действовать, как резиденту. Симптомы обычно проявляются в сильной или полной загрузке компьютера. Перестает работать сеть и интернет. Если в диспетчере задач находится много подозрительных процессов svchost.exe, это еще не значит, что у вас вирус.

Windows использует этот процесс для многих вещей, например, для обновления ОС. Признаком, вызывающим подозрение на наличие вируса, является активный процесс svchost.exe, запущенный от пользователя. Если вы видите данный процесс запущенный не от NETWORK SERVICE, LOCAL SERVICE или SYSTEM, а от вашей учетной записи, то вероятно на компьютере троян.

К сожалению, действия подобных вирусов иногда приводят к сильному повреждению системы. Эта проблема решается двумя способами. Либо полной , либо восстановлением реестра. Опишем простые рекомендации, которые ответят на вопрос “Как удалить троянский вирус в svchost.exe?”. Заметим, что перед проверкой антивирусом, необходимо отключиться от интернет и локальной сети, то есть выдернуть кабель из сетевой карты. Подключить USB накопители, которыми пользуетесь.

Итак, первое, что мы можем посоветовать, это поставить хороший антивирус. Далеко не все программы для удаления вирусов подходят для проверки. Но есть несколько программных решений, которые должны помочь в борьбе с вирусом, засевшим в SVCHOST.EXE.
Отключите службу восстановления системы (актуально для Windows XP). Делается это так. Правой кнопкой по Мой Компьютер -> Свойства -> закладка Восстановление системы -> поставить галочку Отключить восстановление системы на всех дисках. Делается это для того, чтобы вирус svchost.exe не вернулся после лечения.
Проверьте автозагрузку. Нажмите Пуск -> Выполнить (для Win 7 командная строка доступна сразу) -> введите “msconfig”. В ней не должно быть файлов svchost.exe.

Скачайте CureIT — http://www.freedrweb.com/cureit и проверьте все логические диски и флешки в безопасном режиме Windows.

В принципе, CureIT можно и не качать, а воспользоваться качественным антивирусом с обновленными сигнатурами, но лучше перестраховаться и проверить все двумя разными способами. Возможно после проверки, потребуется восстановить ключи реестра Windows. Если что-то не получается, то всегда можно позвонить по