статьи

Что такое SVCHOST.EXE и почему грузит процессор?

Приветствую дороги друзья, читатели, посетители и прочие личности.

Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о , заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), :)

virus

Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще :) ).

Поехали.

Что это за процесс SVCHOST и вирус или нет?

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании , а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.

svchost

Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным). Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.

Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

к содержанию ↑

Как распознать вирус svchost и сам файл

Начнем с того, что системный svchost.exe обитает исключительно в папке:

  • C:\WINDOWS\system32
  • C:\WINDOWS\ServicePackFiles\i386
  • C:\WINDOWS\Prefetch
  • С:\WINDOWS\winsxs\*

Где C:\ - диск куда установлена система, а * - длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be

Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).

Привожу несколько самых путей маскировки вирусами под этот процесс:

  • C:\WINDOWS\svchost.exe
  • C:\WINDOWS\system\svchost.exe
  • C:\WINDOWS\config\svchost.exe
  • C:\WINDOWS\inet20000\svchost.exe
  • C:\WINDOWS\inetsponsor\svchost.exe
  • C:\WINDOWS\sistem\svchost.exe
  • C:\WINDOWS\windows\svchost.exe
  • C:\WINDOWS\drivers\svchost.exe

И несколько самых часто используемых названий файлов, вирусами маскирующимися под:

  • svсhost.exe (вместо английской "c" используется русская "с")
  • svch0st.exe (вместо "o" используется ноль)
  • svchos1.exe (вместо "t" используется единица)
  • svcchost.exe (2 "c")
  • svhost.exe (пропущено "c")
  • svchosl.exe (вместо "t" используется "l")
  • svchost32.exe (в конец добавлено "32")
  • svchosts32.exe (в конец добавлено "s32")
  • svchosts.exe (в конец добавлено "s")
  • svchoste.exe (в конец добавлено "e")
  • svchostt.exe (2 "t" на конце)
  • svchosthlp.exe (в конец добавлено "hlp")
  • svehost.exe (вместо "c" используется "e")
  • svrhost.exe (вместо "c" используется "r")
  • svdhost32.exe (вместо "c" используется "d" + в конец добавлено "32")
  • svshost.exe (вместо "c" используется "s")
  • svhostes.exe (пропущено "c" + в конец добавлено "es")
  • svschost.exe (после "v" добавлено лишнее "s")
  • svcshost.exe (после "c" добавлено лишнее "s")
  • svxhost.exe (вместо "c" используется "x")
  • syshost.exe (вместо "vc" используется "ys")
  • svchest.exe (вместо "o" используется "e")
  • svchoes.exe (вместо "st" используется "es")
  • svho0st98.exe
  • ssvvcchhoosst.exe

Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.

process explorer

Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать , благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.

к содержанию ↑

Как удалить и решить проблему с SVCHOST или вирусом

В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый .
Что делаем:

  1. , распаковываем архив, запускаем avz.exe
  2. В окне программы выбираем “Файл” – “Выполнить скрипт“.
  3. Вставляем в появившееся окно скрипт:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
    DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.

    Где, как Вы понимаете, под словами "сюда вставлять путь к файлу (главное не перепутать кавычки)" нужно, собственно, вставить этот путь, т.е, например: C:\WINDOWS\system\syshost.exe прямо между '', т.е получиться строки должны так:
    QuarantineFile('C:\WINDOWS\system\syshost.exe','');
    DeleteFile('C:\WINDOWS\system\syshost.exe');
  4. Жмем "Запустить", предварительно закрыв все программы.
    выполнение скрипта svchost.exe
  5. Ждем перезагрузки системы
  6. Проверяем наличие файла
  7. Проводим и .

Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру.

Впрочем, если и это не помогает, то есть еще небольшой способ (при учете конечно, что Вы сделали всё вышенаписанное), который может помочь.

к содержанию ↑

Проверка поврежденных системных файлов в целях лечения

В редких (сильно) случаях может помочь вариант проверки системных файлов, который есть в самой системе. Перейдите по пути "C:\ -> Windows  -> System32" (где диск C:\ - это тот, куда установлена система).

cmd запуск от имени администратора

Там найдите cmd.exe, нажмите на него правой кнопкой мышки и выберите пункт "Запуск от имени администратора".

проверка системных файлов для восстановления svchost.ext

В самой командной строке введите строку:

sfc /scannow

И дождитесь окончания процесса. Система проведет сканирование всех защищенных системных файлов и заменит все поврежденные файлы. Возможно это не вылечит сам svchost, но может починить сопутствующие файлы, которые приводит к нагрузкам и другим проблемам.

к содержанию ↑

Послесловие

Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.

Буду рад почитать, послушать, поддержать и помочь ;)

  • PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.
  • PS2: Проблема может быть связана с работой в фоне обновления Windows. Возможно, что есть смысл его отключить или вообще произвести полную оптимизацию системы (особенно для 10-ой версии системы)
  • PS3: Если ничего не помогает, то попробуйте пройтись Kaspersky Virus Remove Tool из для очистки возможных svchost-разновидностей вируса

Оценить

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(339 голосов, в среднем: 5 из 5)
  1. Reply
    Vadim

    Кто поможет победить ету дрянь

    • Reply
      Sonikelf

      Статья

  2. Reply
    mrBooMc

    удаляйте только убедившись что это точно вирус. я еле винду откачал

  3. Reply
    Сергей

    Сделал все в точности как написано. В итоге, компьютер вообще не запускается. При загрузке виндоус появляется черный экран и курсор. в безопасном режиме тоже самое. Как быть, что делать? Может кто сталкивался с подобным?

    • Reply
      Sonikelf

      Каким-то чудесным образом Вы удалили как раз нужный svchost.
      Нужно восстановить.

  4. Reply
    Cтепан

    svchost жрет цп , находится в C:\Users\user\AppData\Roaming , вирусня ?)

    • Reply
      Sonikelf

      Да

      • Reply
        Cтепан

        Большое вам спасибо ! все сделал по инструкции , доходчиво и понятно. Спасибо!

        • Reply
          Sonikelf

          Всегда пожалуйста, лишь бы на пользу

  5. Reply
    radar

    Удалил svchost.exe через avz, комп начал перезагружатся, и теперь не включается.
    Что делать?

    • Reply
      Sonikelf

      Восстанавливать svchost или переустанавливать систему.

  6. Reply
    Виктор

    Добрый день сегодня столкнулся в диспетчере задач с двумя процессами svchost.exe*32 и они в папке SysWOW34 это так положено или вирус?

    • Reply
      Виктор

      точно не помню 34 или 64 но суть может ли находиться Svchost там?

  7. Reply
    татьяна

    спасибо большое,огромное.очень мне помогли со своей статьей.много искала и все было так не понятно,а у вас все по полочкам разложено. скачала avz сделала как написано.ииииии теперь улыбаемся и машем))))

  8. Reply
    александр

    все сделал как выше описано...
    НО!... исчезла заставка с экрана и установить её невозможно; нет доступа к фотографиям через предустановленный в винде просмотрщик; пользовался браузером Оpera и всё,досвидос! ярлык исчез и запустить ее через корневой невозможно- нет прав...(((
    svchost жрал цп , находился в C:\Users\user\AppData\Roaming, удалил- а головняка больше, чем было(((
    улыбаться не получается, Win8- очнись!!!

    • Reply
      Sonikelf

      По поводу обоев:

      • Проверьте, что в разделе «Панель управления\Специальные возможности\Центр специальных возможностей\Оптимизация изображения на экране» напротив пункта «Удалить фоновые изображения (по возможности)», возможно, у вас нет галочки, поставьте её.
      • Если не помогло, то Выполните команду REGEDIT (Пуск -> найти программы и папки ->regedit -> Enter)
      • Вам нужна ветка «HKEY_CURRENT_USER/Control Panel/Desktop/», перейдите по ней и выделите мышкой «Desktop»
      • В правой части окна найдите ключ под названием «Wallpaper». Он должен содержать следующее значение «%windir%\web\wallpaper\windows\img0.jpg». Если он содержит что то другое, то начальная версия Windows 7 устанавливает вместо стандартного фона «черный экран».
      • Задайте там значение «%windir%\web\wallpaper\windows\img0.jpg» (без кавычек) и перезагрузитесь.
  9. Reply
    Ivan

    появляется заставка: процессу запрещена модификация файла... КАК убрать?

    • Reply
      Sonikelf

      Заставка?

      • Reply
        Ivan

        Размер как если правой мышкой щелкнуть.

  10. Reply
    Андрей

    Добрый вечер! Подскажите, пожалуйста, svchost.exe использует 74000 КБ и помимо этого работает еще много таких же, уже с меньшим использованием памяти. Все из папки system32. Открыт только браузер
    Много ли это или такое возможно?

  11. Reply
    антон

    сделал все по пунктам. теперь после загрузки винды, обычный ,ерный экран. и указатель мыши

    • Reply
      Sonikelf

      Удалили что-то не то, как вариант обычный svchost

  12. Reply
    Cthutq

    Выдает синтаксическую ошибку:
    Ошибка скрипта:')'exepted,позиция [4:50]
    Че делать уважаемые знатоки?

    • Reply
      Sonikelf

      Смотря, что Вы выполняли

  13. Reply
    Cthutq

    Вроде ж все правильно:
    begin
    SearchRootkit(true,true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\svchost.exe',");
    DeleteFile('C:\WINDOWS\system32\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWisard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.

    • Reply
      Sonikelf

      Нет.
      Смотрите внимательнее.

  14. Reply
    sl

    да да "совсем правильно" (надеюсь понятно что кавычки означают то что вы сделали все с точностью до наоборот, т.е. не правильно !), о чем вы вообще думали когда задали команду на удаление - C:\WINDOWS\system32\svchost.exe ???

    • Reply
      Sonikelf

      Да уж..

  15. Reply
    Cthutq

    Ну не иронизируйте так.Я же новичок.
    Спасибо,что предотвратили.Дело в том,что неделю назад комп начал сильно зависать просто при переключении песен в проигрывателе.Я вызвал диспетчер.Там нашол вот этот процесс который загружал цп на 100%.При снятии последнего нагрузка на цп падала к нулю и все начинало работать нормально.Вот я и прогуглил названия этого процесса.Меня завело к вам на страничку.
    Теперь при каждой загрузке я снимаю этот процесс и потом работаю.Чесно говоря я вообще запутался.Видимо это не для моих знаний и навыков(пока).Прийдется вызвать мастера на дом.А то еще хуже сделаю.

    • Reply
      Sonikelf

      Достаточно внимательно прописать написанное, название и прочее, и всё у вас получится :)

  16. Reply
    Cthutq

    Спасибо.

    • Reply
      Sonikelf

      Пожалуйста

  17. Reply
    vashboss

    C:\Users\User\AppData\Roaming
    Если вот здесь svchost это значит вирус??

    • Reply
      Sonikelf

      Обычно да

  18. Reply
    Cthutq

    Здравствуйте.Все таки давайте еще раз и с самого начала.
    То что не правильно прописал я скрипт не существенно.Со второй попытки точно все получится.Но нужна ли мне она?Ведь может этот мой svchost не вирус а нужный системный процесс после удалении которого у меня вообще все полетит к чертям собачим.К подобным соображениям меня привела часть высказываний товарища sl: "о чем вы вообще думали когда задали команду на удаление - C:\WINDOWS\system32\svchost.exe ???" ...

    Этот процесс после запуска компа.

    Этот процесс на “крутом” диспетчере.

    Путь этого процесса на “крутом” диспетчере.

  19. Reply
    sl

    да вы все верно поняли, по данному пути находится не вирус, но, если все же появились сомнения (инфицировать в принципе возможно все) то "скормите" данный файл на проверку антивирусным движкам, например на вирустотал, или на аналогичном сервисе, что касается загрузки на 100% (сделаете после первого пункта, т.е. после онлайн проверки на заражение), то, установите тот же Anvir Task Manager (учтите данное ПО настраиваемое !), далее найдите ваш проблемный процесс если таковой будет иметься, т.е. загружающий ПК на 100% и сделав правый клик мышью в ПО Anvir Task Manager выберите - Перейти - Родительский процесс, если выйдет не конечный вариант-виновник то уже по выпадающему результату так же и так до тех пор пока не найдете источник проблемы-загрузки (надеюсь теперь то понятно объяснено ?!) :D...

  20. Reply
    Оль

    Нашла у себя на страшно виснущем ноуте кучу процессов с этим названием. Есть и в самой папке Windows, но два момента: они там, судя по дате, появились в момент производства самого ноута, и второе, виснуть настолько жёстко он начал примерно полгода. http://clip2net.com/s/3HpxnsG http://clip2net.com/s/3Hpxvpz Почему он так виснет? Прямо после перезагрузки даже, пару окон открою и пипец, завис.

    • Reply
      Sonikelf

      Дык вирус потому что :) Статью то смотрели?

      • Reply
        Оль

        Вы берётесь утверждать, что вирус был установлен в момент производства компьютера?.. Я приложила скрины, там отчётливо видно, что svchost.exe в папке WINDOWS появился в 2009 году, а ноут я купила в 2013 году, при этом он был новый и в запечатанной коробке)

      • Reply
        Оль

        Что ещё может подвешивать мой ноут? :) Как узнать, от каких прог эти процессы?

        • Reply
          Sonikelf

          В статье все описано :)

        • Reply
          sl

          для начала зайдите в диспетчер устройств и озвучьте режим в котором работает канал к которому подключен HDD на вашем ноуте :)

  21. Reply
    sl

    кстати, из приведенного скрина, для чего у вас так много запущено одноименных процессов chrome.exe ?!, Adguard кстати лучше бы заменить на например плагин uBlock (значительно менее прожорлив, кроме всего прочего еще и бесплатен, в отличие от вашего монстрика) :).

    • Reply
      Sonikelf

      Там половина скорее всего вирусные, запущенные из других мест и другими пользователями.
      Отсюда и тормоза.

      • Reply
        sl

        так в любом случае если она понимает что делает то, пусть завершит все лишние процессы (к svchost.exe это пока не относится), те же chrome.exe все для начала позавершать а дальше уже по обстоятельствам и дальнейшему анализу процессов :)...

        • Reply
          Sonikelf

          Это да :)

  22. Reply
    Оль

    Странно... Вчера так долго писала большой комментарий, а сегодня его здесь нет :(

    • Reply
      Sonikelf

      Антиспам наверное прожевал :(

  23. Reply
    Артур

    У меня svchost.exe находится здесь C:\Windows\SysWOW64. Это нормально?

    • Reply
      Денис

      Так статью прочитайте(это вирусняк)

  24. Reply
    sl

    Артур, если у вас 64 битная ОС то это нормальное его место положение (учитесь внимательно читать информацию и комментарии, - относится ко всем читателям !), и тем не менее онлайн проверку ни кто не отменял, "скормите" данный файл например сервису вирустотал (надеюсь что тем же например гуглом и этим самым вирустотал объяснять нет необходимости как пользоваться ?) на проверку антивирусным движкам.

  25. Reply
    Оль

    Теперь все комментарии пропали :(

    • Reply
      Sonikelf

      Как это все? На месте же всё

  26. Reply
    Оль

    Ок, напишу это ещё раз.

    1. "...озвучьте режим в котором работает канал к которому подключен HDD на вашем ноуте" - где это? Нахожу диспетчер устройств C:\Windows\System32\devmgmt.msc но в нём не знаю, где это смотреть? http://clip2net.com/s/3HrBjWG

    2. "... так много запущено одноименных процессов chrome.exe" - это в Хроме открыто несколько окон плюс активны несколько дополнений, переводчики, WOT, Adblock Plus. При попытке завершить эти процессы, закрываются окна или процессы вылетают.

    3. "Там половина скорее всего вирусные, запущенные из других мест и другими пользователями.
    Отсюда и тормоза." - я пользуюсь интернетом от Мегафона, скорость не космическая, и не чувствую, чтоб сильно менялась, а комп, бывает, виснет и при новом включении, когда просто пытаюсь на нём что-то найти.

    • Reply
      Sonikelf

      Вот, пропустило

    • Reply
      sl

      1 да там, но вкладка IDE ATA/ATAPI контроллеры, далее на вкладке "Первичный канал IDE", "Вторичный канал IDE" и т.д. "жамкаете" по надписи мышкой, и уже в самой появившейся панельке с примерным названием "Свойства канала" на вкладке, "Дополнительные параметры", смотрите параметры, "Режим передачи" (для подключенного устройства должен стоять, - DMA, если доступно), и "Текущий режим передачи" (для подключенного устройства обычно должно быть что то вроде, Режим ультра DMA: 5), если же вместо DMA там будет режим PIO то это так же приведет к чрезмерно медленной работе ПК.

      2 ну так закройте на время тестов все лишнее (рекомендуется для поиска, причин и следствий, установить или Anvir Task Manager или Process Explorer и делать анализ процессов непосредственно ими, если же собираетесь делать это с помощью Диспетчера процессов то как минимум активируйте опцию, в нем, с примерным названием, - отображать процессы всех пользователей), или вам нравится в ворохе из этих процессов искать первопричины тормозов ПК ?!

      3 в контексте вашей проблемы, интернет провайдер и собственно пользователи процессов (в том же Диспетчере задач) как бы несколько разные вещи, скорость интернета и тормоза ПК часто несколько не связанные друг с другом вещи (см. пункт 2).

  27. Reply
    Иван Рогач

    в общем почитал комментарии ,по ним понял что я Удалил НЕ вирус ,а нужный файл ,теперь у меня черный экран с курсором
    Как мне восстановить этот файл ?

    • Reply
      sl

      первый вариант, режим восстановления, с загрузочного диска с этой же ОС,

      второй вариант, LiveCD диск (разновидностей WinPE навалом) с него загрузиться настроить и подключить интернет и скачать данный файл из сети интернет, поместить данный файл в свою директорию,

      третий вариант, установочный диск плюс LiveCD, распаковка установочного архива с данным файлом и копирование его же в свою директорию,

      четвертый вариант, опять же с LiveCD, поиск копии и копирование данного файла в свою директорию из установочных директорий ОС, у большинства это (пример приведен для 32 разрядной ОС) C:\WINDOWS\system32\dllcache

  28. Reply
    sl

    а еще и пятый вариант (для этого LiveCD должен быть с такой же версией ОС что установлена и на вашем ПК), загружаетесь с Live CD и делаете копирование данного файла в свою директорию, из виртуального каталога с LiveCD (временно распаковывается или в ОЗУ или на HDD вашего ПК пока работает данная виртуальная ОС) .

  29. Reply
    Любомир

    C:\Users\Liubomyr\AppData\Local\svshost что скажете?

    • Reply
      Sonikelf

      В статье написано

    • Reply
      Лирой

      Вирус,статью прочитайте.

  30. Reply
    Рома

    Если svchost.exe находится в C:\Windows\SysWOW64 вирус?

    • Reply
      Sonikelf

      Не факт, см.статью

  31. Reply
    Вячеслав

    Огромное спасибо , как только стал проверять место "прописки" один из файлов вдруг исчез .

    • Reply
      Sonikelf

      Пожалуйста, лишь бы на пользу

  32. Reply
    Danila

    подскажите это вирус
    С:\Пользователи\Danila\AppData\Local\Temp\svchost1

    • Reply
      Sonikelf

      Почему Вы не хотите читать статью?

  33. Reply
    Danila

    Всё нашёл

  34. Reply
    Emil

    Если один svchost использует 26000 кб это вирус?

    • Reply
      Sonikelf

      Читайте статью

  35. Reply
    Сергей

    Вечер добрый!
    Статья прочитал, очень занимательно, но проблема в другом
    В последнее время компьютер зависает жёстко, но только в случае сайтов с медиатрафиком (напр. ютюб и вк) т.е. когда нажимаю плэй всё зависает, alt+ctrl+del не работает, только выключение с кнопки. Что делать , помогите пжлста, аваст никаких вирусов не находит(

    А насчёт svchost.exe, у меня они все в system32, только один процесс (svchost*32) находится в windows\SysWOW64 - это нормально?? просто эту папку вы в статье не указывали, буду очень благодаерен за консультацию, заранее спасибо!!

    • Reply
      Sonikelf

      Приветствую.
      По зависаниям, начинайте с тестов стабильности.
      И прочей диагностики.

      По syswow - иногда может быть, но надо смотреть. На счет "все" - это сколько и как называются? :)

* - ВНИМАНИЕ, - проект на "каникулах", - поддержка в комментариях, сервисах, почте, обучении и тд и тп, НЕ оказывается до 10-го июля 2017, - подробности здесь. Обращайтесь на наш форум! Спасибо!

 

* - комментарии могут появляться не сразу, попасть в спам или быть удалены за несоответствие правилам