Svchost exe k unistacksvcgroup: Что делает служба CDPUserSvc в windows 10

Что делает служба CDPUserSvc в windows 10

Продвинутые пользователи Windows 10 часто обращают внимание на службу CDPUserSvc. Подозрение вызывает её название, которое может меняться за счёт добавления пяти сгенерированных символов, например, «CDPUserSvc_30ebf». А вместо описания в диспетчере служб содержится ошибка «Error Code: 15100».

Название службы расшифровывается как Connected Devices Platform User Service или по русски — служба платформы подключенных пользовательских устройств. Пусть перевод не смущает, на деле название не совпадает с реальным назначением. В некоторых версиях Windows служба запускается при старте системы, а в некоторых — только когда пользователь, приложение или сервис требуют этого от системы. Кроме этого, есть следующая информация:

• Исполняемый файл:
  %SystemRoot%\System32\CDPSvc.dll.
• Ключ системного реестра:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPUserSvc.
• Запуск осуществляется через:
  %SystemRoot%\system32\svchost.exe -k UnistackSvcGroup.

Почему в описании ошибка «Failed to Read Description. Error Code: 15100»? Официальный ответ на этот вопрос в компании Microsoft не дают. Есть мнение, что они просто не хотят разглашать её реальное назначение и это не просто так.

Что делает CDPUserSvc

Название службы меняется и имеет вид CDPUserSvc_xxxxx. Обычно так ведут себя вредоносные программы, но Microsoft сообщает что это нужный системный процесс. Для чего же системному процессу менять своё название. Скорее всего, это мера для предотвращения автоматического завершения и удаления службы из системы.

Изучив детально процесс, можно выяснить, что он получает доступ к пользовательским данным и ведёт обмен информацией в зашифрованном виде с серверами Microsoft. Что это за информация выяснить не удалось, но возможно, это персональные данные пользователя Windows. И вот с какими службами взаимодействует CDPUserSvc:

• OneSyncSvc — синхронизирует почту, контакты, календарь и другие пользовательские данные.
• PimIndexMaintenanceSvc — индексирует поиск по контактам на мобильных устройствах.
• UnistoreSvc — отвечает за хранение пользовательских данных, таких как контакты, календари, сообщения.
• UserDataSvc — предоставляет приложениям доступ к структурированным данным пользователя.

Другими словами, процесс имеет доступ к любым пользовательским данным, обменивается какой-то информацией с серверами и никак не влияет на работу операционной системы и приложений.

Отключаем CDPUserSvc

Чтобы отключить CDPUserSvc сначала узнаём точное название файла. Нажимаем кнопку «Пуск» и в строке поиска вводим «services.msc». Клик по Enter и откроется окно в котором ищем CDPUserSvc_xxxxx, где xxxxx — 5 сгенерированных случайным образом символов. Эти символы потребуются при вводе команд удаления.

Команды удаления пишем в консоль Windows. Запустить её необходимо от имени администратора, иначе попытка удаления приведёт к ошибке «Отказано в доступе». Поэтому заходим в системный каталог %SystemRoot%\system32\ и ищем «cmd.exe». Для запуска с полными правами вызываем контекстное меню и выбираем команду «Запуск от имени администратора». Вводим команды отключения и удаления. Кроме самой службы CDPUserSvc так же приходится отключать связанные с ней процессы, иначе после перезагрузки можем получить синий экран. Операционная система при этом запустит восстановление и ничего не удалится.

sc delete DiagTrack
sc delete dmwappushservice
sc delete WerSvc
sc delete CDPUserSvc
sc delete CDPUserSvc_xxxxx
sc delete OneSyncSvc
sc delete OneSyncSvc_xxxxx
sc delete MessagingService
sc delete MessagingService_xxxxx

Перезагрузите компьютер и в редакторе реестра найдите ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Удалите в ней следующие ключи:

PimIndexMaintenanceSvc
PimIndexMaintenanceSvc_xxxxx
UserDataSvc
UserDataSvc_xxxxx
UnistoreSvc
UnistoreSvc_xxxxx

В комментариях Евгений выложил готовый скрипт для автоматического удаления службы. Скачать его можно по этой ссылке.

Для большей безопасности также можно ограничить доступ к серверам Microsoft, добавив в конец файла «C:\Windows\System32\drivers\etc\hosts» строки отсюда — hosts.txt.

UnistackSvcGroup — что это за служба?

Приветствую! Иногда может быть непонятная ситуация — грузит комп не программа, не процесс, а группа служб. Здесь уже будет сложнее понять кто именно виновник — но при большом желании возможно.

UnistackSvcGroup — что это такое?

Параметр (ключ), при помощи которого запускаются некоторые системные службы. Но из-за общего параметра они в диспетчере могут отображаться в одной группе UnistackSvcGroup:

И если одна служба нагружает ПК, то в диспетчере будет отображено что грузит вся группа.

Службы, которые могут входить в группу UnistackSvcGroup:

• OneSyncSvc (Синхронизация узла) — синхронизирует почту, контакты, календарь и другие похожие данные.
• UserDataSvc (Служба доступа к данным пользователя) — обеспечивает доступ приложений к структурированным данным пользователя, например контактной информации, календарям, сообщениям и другому.
• PimIndexMaintenanceSvc (Служба контактных данных) — индексирует контактные данные, чтобы потом их можно было быстро найти.
• UnistoreSvc (Служба хранения данных пользователя) — обеспечивает хранение структурированных данных пользователя, таких как контактная информация, календари, сообщения и другое.
• CDPUserSvc — доступ к пользовательским данным, также может устанавливать соединение с серверами Microsoft (причина неизвестна).
• MessagingService — обмен сообщениями.

Возможно что это не весь список. Если посмотреть свойства служб, то увидите, что все они работают под процессом svchost.exe, который запускается из системной папки и с параметром:

C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup

Также нашел в интернете рекомендации:

1. Группа UnistackSvcGroup может грузить из-за запущенного обновления приложений в Microsoft Store. Поэтому попробуйте открыть магазин, потом в правом верхнем углу нажать три точки > настройки > передвинуть ползунок Обновлять приложения автоматически.
2. Откройте папку C:\Users\Dima\AppData\Local\Comms (где Dima — название учетки), скопируйте папку UnistoreDB в другую папку (или ее содержимое). После — удалите все данные внутри UnistoreDB и выполните перезагрузку ПК.

Мой личный совет — если хотите отключить в Windows 10 все шпионское и ненужное — используйте утилиту DoNotSpy10. Я пользуюсь уже не первый год, перед использованием утилита может сама создать точку восстановления, поэтому все безопасно.

UnistackSvcGroup — как убрать нагрузку?

Логично что стоит отключить службу, которая грузит ПК. Однако узнать это не всегда получается.

Что я предлагаю? Это отключить службы группы UnistackSvcGroup — можно все сразу, а можно по одной, чтобы выяснить какая грузит.

План действий:

1. В диспетчере задач на вкладке Процессы раскрыть группу служб (может называться Unistack). Будут названия — вам нужно узнать их короткие названия (о некоторых службах я уже писал выше).
2. Имея короткие названия — можно пробовать отключать. Можно также службы удалить, но перед этим советую создать заранее точку восстановления.

Важно! Отключать стоит также и те службы, которые имеют дополнительную приставку, например CDPUserSvc_xxxxx (короткое название идет тоже с такой же приставкой).

Теперь главное — мини-план отключения службы, а также удаления (по желанию). Отключение может блокироваться, чтобы этого не было — нужно удалить параметр/субраздел Security для каждой службы. Как это сделать? Через реестр (Win + R > regedit) — открываем этот раздел:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

Внутри находим раздел службы — он будет иметь такое же название (короткое), как и сама служба. Открываем его, находим параметр/субраздел Security и удаляем.

Все команды нужно выполнять в командной строке запущенной от администратора (зажимаем Win + X > выбираем соответствующий пункт). Сами команды (вместо NAME пишите короткое название службы):

1. Остановка — sc stop "NAME"
2. Отключение автозапуска — sc config "NAME" start= disabled
3. Удаление — sc delete "NAME"

Удалять стоит только если создали точку восстановления!

Способ через реестр. Через командную строку должно сработать, но на всякий случай — чтобы запретить запускаться службе через реестр, необходимо открыть раздел:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

Внутри нам нужно найти раздел службы, он имеет такое же название, как и сама служба. Открываем этот раздел, находим параметр Start, нажимаем по нему два раза и меняем значение на 4 (Отключено). Возможно что если вообще удалить этот раздел — то таким образом вы удалите и службу.

Пример раздела службы в реестре:

Задаем значение 4 параметру Start:

Учтите, что после отключения служб могут не работать некоторые метро-приложения, например Почта, Календарь.

Заключение

1. UnistackSvcGroup — группа системных служб, работающих под процессом svchost.exe, который запускается с параметром UnistackSvcGroup.
2. Группа может грузить ПК. Решение — отключить всю группу либо по одной, чтобы найти виновника.

Удачи.

Прекращена работа службы CDPUserSvc в Windows 10. Что делать?

После установки ноябрьских обновлений безопасности на Windows 10 / Windows Server 2016, от пользователей стали поступать жалобы на проблемы с постоянными падениями службы CDPUserSvc. В этой статье мы разберемся с тем, что такое служба CDPUserSvc, почему она периодически прекращает работу, как исправить эту проблему и можно ли отключить службу CDPUserSvc в Windows 10.

Служба CDPUserSvc впервые появилась в Windows 10 и с самого начала она вызывает у пользователей множество вопросов и создает ряд проблем.

Ошибка Прекращена работа программы CDPUserSvc_xxxxx

Относительно недавно некоторые пользователи Windows 10 / Windows Server 2016 стали жаловаться, что при загрузке, выключении Windows 10 или даже каждые несколько минут появляется ошибка:

CDPUserSvc_xxxxx has stopped working. A problem caused the program to stop working correctly. Close the Program

Прекращена работа программы CDPUserSvc_xxxxx. Возникшая проблема привела к прекращению работы программы. Закройте эту программу.

В журнале приложений при этом постоянно фиксируются ошибки вида:

Faulting application name: svchost.exe_CDPUserSvc_2ce84fe, version: 10.0.14393.0, time stamp: 0x57899b1c
Faulting module name: cdp.dll, version: 10.0.14393.1715, time stamp: 0x59b0d38c
Exception code: 0xc0000005
Fault offset: 0x0000000000193cf5
Faulting process id: 0x4484
Faulting application start time: 0x01d35ebff3f9a7f5
Faulting application path: C:\WINDOWS\system32\svchost.exe
Faulting module path: c:\windows\system32\cdp.dll
Report Id: f7159168-5104-440e-34c1-6b42ed6649ee
Faulting package full name:
Faulting package-relative application ID:

На компьютерах с Windows 10 эта ошибка стала появляться у некоторых пользователей после установки обновления Anniversary Update (1607). В этом случае стоит попробовать запустить службу CDPUserSvc в изолированном процессе, либо же совсем ее отключить (об этом ниже).

В большинстве же случаев этот баг вызван ноябрьским обновлением KB4048953 для Windows Server 2016 и Windows 10.

Если данное обновление у вас присутствует, чтобы избавится от данной проблемы, достаточно корректно удалить обновление KB4048953 (wusa.exe /uninstall /kb:4048953), либо дождаться выхода декабрьского пакета накопительных обновлений, в котором баг обещали пофиксить.

Зачем нужна служба CDPUserSvc?

Служба CDPUserSvc (Connected Devices Platform User Service / служба платформы подключенных пользовательских устройств). Само имя службы является динамическим и состоит из строки CDPUserSvc_ и 5 случайно сгенерированных символов (в моем примере это CDPUserSvc_6b511).

В различных билдах Windows 10 служба CDPUserSvc имеет разный тип запуска

• В Windows 10 1507 – ручной тип запуска
• 1511 – служба отключена
• 1607, 1703, 1709 – тип запуска Автоматический

Служба запускается в рамках процесса svchost: svchost.exe -k UnistackSvcGroup

Исполняемый файл: %WinDir%\System32\CDPSvc.dll

Что интересно, если открыть консоль со списком служб (Services.msc) задач и найти службу CDPUserSvc, то можно обнаружить что в ее описании содержится текст:

“Не удается прочитать описание. Код ошибки: 15100»

“Failed to Read Description. Error Code: 15100”

Почему это происходит – не понятно.

Официальной информации о данной службе от Microsoft мне найти не удалось. Если произвести анализ соединений службы CDPUserSvc, можно обнаружить, что данная служба периодически подключается к серверам Microsoft и OneDrive и отправляет какие-то данные по HTTPS. Посмотрим, как выглядит процессы, запускаемые в группе UnistackSvcGroup. Для этого в Process Explorer откроем свойства процесса svchost.exe и посмотрим его свойства.

В рамках этого процесса запущены пять служб (обратите внимание, что все они в имени содержат одинаковый с CDPUserSvc пятизначный идентификатор:

• CDPUserSvc_6b511 – наш клиент
• OneSyncSvc_6b511  — отвечает за синхронизацию почты, контактов, календаря и других данных пользователя
• PimIndexMaintenanceSvc_6b511 – служба индексации контактов для быстрого поиска
• UnistoreSvc_6b511 – хранит структурированные данные пользователя (контакты, календаря, почту)
• UserDataSvc_6b511 – обеспечивает доступ к структурированным данным пользователя

Судя по всему, служба CDPUserSvc также отвечает за синхронизацию данных пользователя с серверами MSFT (телеметрия? А оно вам надо?). Поэтому службу CDPUserSvc можно без особого ущерба для ОС отключить (если, конечно вы не пользуетесь нативными контактами, почтой и календарем Windows 10).

Изоляция процесса CDPUserSvc

Еще одним решением, которое должно исправить проблему постоянного падения службы CDPUserSvc_xxxxx, является ее запуск в изолированным режиме. Для этого в командной строке с правами администратора, выполните команду:

sc config cdpusersvc type= own

Сервис CDPuserSvc после этого должен начать запускаться в собственном процессе svchost.exe. Проверьте, исчезнет ли после этого проблема падения службы CDPuserSvc. Если нет – попробуйте отключить ее.

Как отключить службу CDPUserSvc

Если в консоли управления службами (services.msc) попробовать вручную остановить службу CDPUserSvc_6b511 и перевести ее в состояние Отключена, через какое-то время она включится опять (с другим именем).

Примечание. Что интересно, если удалить данную службу из реестра, через некоторое время она опять появится, но уже с другим именем. Т.е. система пытается предотвратить удаление этой службы (Microsoft похоже применяет лучшие практики вирусописателей 🙂 ).

Запретить запуск службы можно через реестр, для чего в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPUserSvc нужно изменить значение параметра Start с 2 (Автоматический запуск) на 4 (Отключена).

Или выполнить команды:

sc config CDPUserSvc start= disabled
reg add "HKLM\SYSTEM\CurrentControlSet\Services\CDPUserSvc /v "Start" /t REG_DWORD /d "4" /f

Отключаем службу CDPUserSvc в Windows 10

Продвинутые пользователи Windows часто обращают внимание на службу CDPUserSvc. Подозрение вызывает её название, которое может меняться за счёт добавления пяти случайно сгенерированных символов, например, «CDPUserSvc_30ebf». Так же многих настораживает отсутствие описания этой службы. Вместо него в диспетчере содержится ошибка «Error Code: 15100».

Разберемся с названием службы. Это частичная аббревиатура, которая расшифровывается как Connected Devices Platform User Service или по русски — служба платформы подключенных пользовательских устройств. Пусть перевод Вас не смущает, на деле название не совпадает с реальным назначением. В некоторых версиях Windows служба запускается при старте системы, а в некоторых — только когда пользователь, приложение или сервис требуют этого от системы. Кроме этого, есть следующая информация:

• Исполняемый файл:
  %SystemRoot%\System32\CDPSvc.dll.
• Ключ системного реестра:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPUserSvc.
• Запуск осуществляется через:
  %SystemRoot%\system32\svchost.exe -k UnistackSvcGroup.

Теперь о том, почему в описании ошибка «Failed to Read Description. Error Code: 15100». Официального ответа на этот вопрос от Microsoft нет, но есть мнение что они просто не захотели честно разглашать назначение службы. Как Вы понимаете, это не с проста.

Что же делает служба CDPUserSvc

Название службы меняется и имеет вид CDPUserSvc_xxxxx. Обычно так ведут себя вредоносные программы, но Microsoft сообщает что это всё же системный процесс. При этом разъяснений по поводу назначения не дают. Для чего же системному процессу изменять название? Скорее всего это мера для предотвращения автоматического завершения и удаления службы из системы.

Изучив детально процесс, можно выяснить что он получает доступ к пользовательским данным и ведёт обмен информацией в зашифрованном виде с серверами Microsoft. Что это за информация выяснить не удалось, но возможно, это персональные данные пользователя Windows. И вот с какими службами взаимодействует CDPUserSvc:

• OneSyncSvc — синхронизирует почту, контакты, календарь и другие пользовательские данные.
• PimIndexMaintenanceSvc — индексирует поиск по контактам на мобильных устройствах.
• UnistoreSvc — отвечает за хранение пользовательских данных, таких как контакты, календари, сообщения.
• UserDataSvc — предоставляет приложениям доступ к структурированным данным пользователя.

Другими словами, Connected Devices Platform User Service имеет доступ к любым пользовательским данным, обменивается какой-то информацией с серверами и никак не влияет на работу операционной системы и приложений.

Отключаем CDPUserSvc

Никакой ответственности за данные действия я не несу! Вы все делаете на свой страх и риск!

Чтобы отключить CDPUserSvc сначала узнаём точное название службы. Нажимаем кнопку «Пуск» и в строке поиска вводим «services.msc». Клик по Enter и откроется окно в котором ищем CDPUserSvc_xxxxx, где xxxxx — 5 сгенерированных случайным образом символов. Эти символы потребуются при вводе команд удаления.

Команды удаления пишем в консоль Windows. Запустить её необходимо от имени администратора, иначе попытка удаления приведёт к ошибке «Отказано в доступе». Поэтому заходим в системный каталог %SystemRoot%\system32\ (C:\Windows\system32\) и ищем «cmd.exe». Для запуска с полными правами вызываем контекстное меню и выбираем команду «Запуск от имени администратора». Вводим команды отключения и удаления. Кроме самой службы CDPUserSvc так же приходится отключать связанные с ней процессы, иначе после перезагрузки можем получить синий экран. Операционная система при этом запустит восстановление и ничего не удалится.

sc delete DiagTrack
sc delete dmwappushservice
sc delete WerSvc
sc delete CDPUserSvc
sc delete CDPUserSvc_xxxxx
sc delete OneSyncSvc
sc delete OneSyncSvc_xxxxx
sc delete MessagingService
sc delete MessagingService_xxxxx

Перезагрузите компьютер, после чего в редакторе реестра найдите ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services и удалите в ней следующие ключи:

PimIndexMaintenanceSvc
PimIndexMaintenanceSvc_xxxxx
UserDataSvc
UserDataSvc_xxxxx
UnistoreSvc
UnistoreSvc_xxxxx

Внимание! Слышал о том что у некоторых после удаления службы Windows уходит в синий экран. Прошу Вас перед проделыванием данной операции создавать резервную точку восстановления!

Никакой ответственности за данные действия я не несу! Вы все делаете на свой страх и риск!

Поделиться ссылкой:

Понравилось это:

Нравится Загрузка…

Похожее

Что такое svchost.exe и почему он грузит процессор

06.09.2016&nbsp windows | для начинающих | лечение вирусов

У многих пользователей возникают вопросы, связанные с процессом «Хост-процесс для служб Windows» svchost.exe в диспетчере задач Windows 10, 8 и Windows 7. Некоторых смущает, что процессов с таким именем большое число, другие сталкиваются с проблемой, выраженной в том, что svchost.exe грузит процессор на 100% (особенно актуально для Windows 7), вызывая тем самым невозможность нормальной работы с компьютером или ноутбуком.

В этой подробно о том, что это за процесс, для чего он нужен и как решать возможные проблемы с ним, в частности выяснить — какая именно служба, запущенная через svchost.exe грузит процессор, и не является ли данный файл вирусом.

Svchost.exe — что это за процесс (программа)

Svchost.exe в Windows 10, 8 и Windows 7 является основным процессом для загрузки служб операционной системы Windows, хранящихся в динамических библиотеках DLL. То есть службы Windows, которые вы можете увидеть в списке служб (Win+R, ввести services.msc) загружаются «через» svchost.exe и для многих из них запускается отдельный процесс, которые вы и наблюдаете в диспетчере задач.

Службы Windows, а особенно те, за запуск которых отвечает svchost, являются необходимыми компонентами для полноценной работы операционной системы и загружаются при ее запуске (не все, но большинство из них). В частности, таким образом запускаются такие нужные вещи, как:

• Диспетчеры различных видов сетевых подключений, благодаря которым Вы имеете доступ в Интернет, в том числе и по Wi-Fi
• Службы для работы с устройствами Plug and Play и HID, позволяющие Вам пользоваться мышками, веб-камерами, USB-клавиатурой
• Службы центра обновления, защитник Windows 10 и 8 другие.

Соответственно, ответ на то, почему пунктов «Хост-процесс для служб Windows svchost.exe» много в диспетчере задач заключается в том, что системе необходимо запускать много служб, работа которых выглядит как отдельный процесс svchost.exe.

При этом, если каких-либо проблем данный процесс не вызывает, вам, вероятнее всего, не стоит каким-либо образом что-то настраивать, переживать о том, что это вирус или тем более пробовать удалить svchost.exe (при условии, что нахождение файла в C:\Windows\System32 или C:\Windows\SysWOW64, иначе, в теории, может оказаться, что это вирус, о чем будет упомянуто далее).

Что делать, если svchost.exe грузит процессор на 100%

Одна из самых распространенных проблем, связанных с svchost.exe — то, что этот процесс грузит систему на 100%. Наиболее частые причины такого поведения:

• Выполняется какая-либо стандартная процедура (если такая нагрузка не всегда) — индексация содержимого дисков (особенно сразу после установки ОС), выполнение обновления или его загрузки и подобные. В этом случае (если это проходит «само») делать обычно ничего не требуется.
• Какая-то из служб по какой-то причине работает неправильно (тут попробуем выяснить, что это за служба, см. далее). Причины неправильной работы могут быть разными — повреждения системных файлов (может помочь проверка целостности системных файлов), проблемы с драйверами (например, сетевыми) и другие.
• Проблемы с жестким диском компьютера (стоит выполнить проверку жесткого диска на ошибки).
• Реже — результат работы вредоносного ПО. Причем не обязательно сам файл svchost.exe является вирусом, могут быть варианты, когда посторонняя вредоносная программа обращается к Хост-процессу служб Windows таким образом, что вызывает нагрузку на процессор. Тут рекомендуется проверить компьютер на вирусы и использовать отдельные средства удаления вредоносных программ. Также, если проблема исчезает при чистой загрузке Windows (запуск с минимальным набором системных служб), то стоит обратить внимание на то, какие программы есть у вас в автозагрузке, возможно, влияние оказывают они.

Наиболее распространенный из указанных вариантов — неправильная работа какой-либо службы Windows 10, 8 и Windows 7. Для того, чтобы выяснить, какая именно служба вызывает такую нагрузку на процессор, удобно использовать программу Microsoft Sysinternals Process Explorer, скачать которую можно бесплатно с официального сайта https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx (представляет собой архив, который нужно распаковать и запустить из него исполняемый файл).

После запуска программы вы увидите список запущенных процессов, в том числе проблемный svchost.exe, нагружающий процессор. Если навести на процесс указатель мыши, во всплывающей подсказке появится информация о том, какие конкретно службы запущенны данным экземпляром svchost.exe.

Если это одна служба — можно попробовать отключить её (см. Какие службы можно отключить в Windows 10 и как это сделать). Если несколько — можно экспериментировать с отключением, а можно по типу служб (например, если всё это — сетевые службы) предположить возможную причину проблемы (в указанном случае это могут быть неправильно работающие сетевые драйвера, конфликты антивирусов, или же вирус, использующий ваше сетевое подключение, задействуя при этом системные службы).

Как узнать, svchost.exe — это вирус или нет

Существует некоторое количество вирусов, которые либо маскируются, либо загружаются с помощью настоящего svchost.exe. Хотя, в настоящее время они встречаются не очень часто.

Симптомы заражения могут быть различными:

• Основной и почти гарантированно говорящий о вредоносности svchost.exe — расположение этого файла вне папок system32 и SysWOW64 (чтобы узнать расположение, вы можете кликнуть правой кнопкой мыши по процессу в диспетчере задач и выбрать пункт «Открыть расположение файла». В Process Explorer посмотреть расположение можно схожим образом — правый клик и пункт меню Properties). Важно: в Windows файл svchost.exe можно обнаружить также в папках Prefetch, WinSxS, ServicePackFiles — это не вредоносный файл, но, одновременно, среди запущенных процессов файла из этих расположений быть не должно.
• Среди прочих признаков отмечают, что процесс svchost.exe никогда не запускается от имени пользователя (только от имени «Система», «LOCAL SERVICE» и «Network Service»). В Windows 10 это точно не так (Shell Experience Host, sihost.exe, запускается именно от пользователя и через svchost.exe).
• Интернет работает только после включения компьютера, потом перестает работать и страницы не открываются (причем иногда можно наблюдать активный обмен трафиком).
• Другие обычные для вирусов проявления (реклама на всех сайтах, открывается не то, что нужно, изменяются системные настройки, компьютер тормозит и т.д.)

В случае, если у Вас возникли подозрения на то, что на компьютере какой-либо вирус, имеющий к svchost.exe, рекомендую:

• С помощью ранее упоминавшейся программы Process Explorer кликнуть правой кнопкой мыши по проблемному экземпляру svchost.exe и выбрать пункт меню «Check VirusTotal» для проверки этого файла на вирусы. 
• В Process Explorer посмотреть, какой процесс запускает проблемный svchost.exe (т.е. в отображаемом в программе «дереве» находится «выше» в иерархии). Проверить его на вирусы тем же способом, что был описан в предыдущем пункте, если он вызывает подозрения.
• Воспользоваться антивирусной программой для полной проверки компьютера (так как вирус может быть не в самом файле svchost, а просто использовать его).
• Посмотреть описания вирусов здесь https://threats.kaspersky.com/ru/ . Просто введите в поисковую строку «svchost.exe» и получите список вирусов, использующих этот файл в своей работе, а также описание, как именно они работают и каким образом скрываются. Хотя, наверное, это излишне.
• Если по имени файлов и задач вы способны определить их подозрительность, можно посмотреть, что именно запускается с помощью svchost с помощью командной строки, введя команду Tasklist /SVC

Стоит отметить, что 100% загрузка процессора, вызываемая svchost.exe редко бывает следствием работы вирусов. Чаще всего это все-таки следствие проблем со службами Windows, драйверами или другим ПО на компьютере, а также «кривости» установленных на компьютерах многих пользователей «сборок».

А вдруг и это будет интересно:

Процесс svchost.exe и системные службы, связанные с ним.

&nbsp &nbsp Практически, каждый пользователь Windows, неоднократно наблюдал в списке отображаемых диспетчером задач, несколько процессов с именем svchost.exe. Для разных версий Windows и в зависимости от установленных компонентов системы, количество таких процессов может составлять от нескольких штук до нескольких десятков. При чем, это вполне нормальное явление, поскольку svchost.exe – это главный процесс ( Host process) для системных служб (сервисов), загружаемых из динамических библиотек (файлов .dll). Для запуска таких служб используется один и тот же исполняемый файл svchost.exe, размещенный в системном каталоге \Windows\system32\, но ему передаются разные параметры командной строки, для каждой конкретной службы – свои. Например, для запуска службы Удаленный вызов процедур (RPC) используется командная строка:

C:\Windows\system32\svchost.exe -k RPCSS

Такой способ запуска системных служб вполне оправдан, поскольку позволяет существенно уменьшить затраты оперативной памяти и ресурсов процессора. Все копии svchost.exe запускаются системным процессом services.exe (родительским процессом) в ходе начальной загрузки, инициализации системы и при необходимости, в ходе выполнения запросов пользовательских или системных задач. Таким образом, каждый процесс svchost.exe — это одна из системных служб Windows, например, ”Клиент групповой политики” или ”Система событий COM+”

Параметры вызова исполняемого файла svchost.exe для конкретных системных служб определяются значениями в ключе реестра

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\имя службы

Параметр ImagePath задает командную строку для данной службы или группы служб. Имя библиотеки, которая используется для данной службы, определяется параметром ServiceDll подраздела Parameters

Перечень всех служб, запускаемых с использованием svchost.exe и их объединение в группы определяется содержимым ключа реестра

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Так, например, в группу DcomLaunch входят 3 службы:

Power — Питание

PlugPlay — Plug-and-Play

DcomLaunch — Модуль запуска процессов DCOM-сервера

Каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов, относящихся к группе.

&nbsp &nbsp
Некоторые компьютерные вирусы нередко маскируются под процессы с именем svchost.exe, поскольку так проще замаскировать их присутствие в зараженной систем среди прочих легальных процессов с таким же именем. Однако, такие ложные svchost.exe имеют некоторые принципиальные отличия, позволяющие довольно легко обнаружить и обезвредить вредоносную программу:

— исполняемый файл имеет путь отличный от \Windows\system32\. Такой способ используют вирусы Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn.
— Процесс svchost выполняется в контексте учетной записи пользователя. Настоящий процесс svchost.exe является системной службой и всегда выполняется в контексте системных учетных записей ”Система” (”Локальная системная учетная запись”, SYSTEM, LOCAL SERVICE) или в контексте сетевых служб (NETWORK, NETWORK SERVICE). Соответственно, легальный исполняемый файл svchost.exe запускается только как системная служба, а не прикладная программа. Вполне очевидно, что запуск легальной службы никогда не обеспечивается способами, применимыми для прикладного программного обеспечения (ПО), например, с использованием записей раздела Run реестра или из папки Автозагрузка.

Следует отметить, что существует возможность создания вредоносной программой собственной службы, использующей для запуска настоящий svchost.exe, но выполняющей вредоносные действия через внедрение собственной библиотеки .dll. Как, например, как это делает вирус Conficker (Kido). Подобный прием нередко использовался во времена Windows XP/2000, но в современных версиях Windows реализовать данный способ заражения системы становится все сложнее и сложнее. Как правило, признаком такого вирусного заражения является использование файла .dll, расположенного не в каталоге \Widows\System32\, отсутствие цифровой подписи разработчика, а также адекватного описания поддельной службы.

Как определить системную службу, связанную с конкретным процессом svchost.exe.

Иногда, требуется определить, какая именно служба соответствует конкретному процессу scvhost.exe, например, когда этот процесс потребляет значительные ресурсы центрального процессора:

В данном примере, процесс svchost.exe потребляет 50% ресурсов процессора. Это ненормально, и внешне может проявляться в виде снижения общей производительности, подвисаний (лагов), скачкообразного перемещения указателя мыши и т.п. Поскольку системные процессы имеют более высокий приоритет по сравнению с пользовательскими, они и потребляют ресурсы системы в первую очередь, что снижает реальную производительность программ, выполняемых в контексте учетных записей пользователей.

Для поиска причин чрезмерного потребления ресурсов системы конкретным экземпляром svchost.exe, в первую очередь необходимо определить, действительно ли данный процесс является системным ( не вирусом), и с какой именно службой он связан. Существует несколько способов, применимость которых зависит от возможностей конкретной версии Windows .

Использование утилиты командной строки tasklist.exe

Для получения списка выполняющихся служб в любой версии Windows можно использовать команду:

tasklist /svc

tasklist /svc > %TEMP%\svclist.txt — то же, что и в предыдущем примере, но с выдачей результатов в текстовый файл. Результат будет представлен в DOS-кодировке, и для просмотра его кириллической составляющей стандартными средствами Windows, потребуется перекодировка, или редактор с поддержкой кодовой страницы CP866 (DOS), как например, Notepad++ или встроенный редактор Far Manager.

notepad++ %TEMP%\svclist.txt — открыть созданный файл со списком сервисов.

Пример отображаемой информации:

Имя образа                     PID Службы                                      
========================= ======== ============================================
System Idle Process              0 Н/Д                                         
System                           4 Н/Д                                         
smss.exe                       492 Н/Д                                         
csrss.exe                      668 Н/Д                                         
wininit.exe                    748 Н/Д                                         
csrss.exe                      764 Н/Д                                         
services.exe                   816 Н/Д                                         
lsass.exe                      832 KeyIso, SamSs                               
lsm.exe                        840 Н/Д                                         
winlogon.exe                   892 Н/Д                                         
svchost.exe                    984 DcomLaunch, PlugPlay, Power                 
svchost.exe                    600 RpcEptMapper, RpcSs                         
cmdagent.exe                   744 CmdAgent                                    
svchost.exe                   1040 CryptSvc, Dnscache, LanmanWorkstation,      
                                   NlaSvc, TermService                         
atiesrxx.exe                  1096 AMD External Events Utility                 
svchost.exe                   1132 AudioSrv, Dhcp, eventlog,                   
                                   HomeGroupProvider, lmhosts, wscsvc          
svchost.exe                   1176 AudioEndpointBuilder, CscService,           
                                   HomeGroupListener, Netman, PcaSvc, TrkWks,  
                                   UmRdpService, UxSms, Wlansvc, wudfsvc       
svchost.exe                   1236 EventSystem, fdPHost, FontCache, netprofm,  
                                   nsi, WdiServiceHost                         
svchost.exe                   1288 AeLookupSvc, BITS, Browser, CertPropSvc,    
                                   EapHost, gpsvc, IKEEXT, iphlpsvc,           
                                   LanmanServer, ProfSvc, Schedule, SENS,      
                                   SessionEnv, ShellHWDetection, Themes,       
                                   Winmgmt                                     
. . .

Отображается имя образа (исполняемого файла), уникальный идентификатор процесса PID и краткое название службы. Так, например, процесс svchost.exe с идентификатором 984 имеет отношение к службам с короткими именами DcomLaunch, PlugPlay, Power. Для получения подробной информации о службе, в том числе и ее выводимое имя можно использовать команду управления службами SC:

sc qc power — отобразить конфигурацию о службе Power

Пример отображаемой информации:

Имя_службы: power
        Тип                  : 20  WIN32_SHARE_PROCESS 
        Тип_запуска          : 2   AUTO_START
        Управление_ошибками  : 1   NORMAL
        Имя_двоичного_файла  : C:\Windows\system32\svchost.exe -k DcomLaunch
        Группа_запуска       : Plugplay
        Тег                  : 0
        Выводимое_имя        : Питание
        Зависимости          : 
        Начальное_имя_службы : LocalSystem

В графическом интерфейсе пользователя, сведения о службе можно получить с использованием оснастки “Службы” консоли управления Microsoft (комбинация клавиш Win+R и выполнить services.msc), или через меню Панель управления – Администрирование – Службы

Использование Диспетчера задач Windows (taskmgr.exe)

Стандартные диспетчеры задач отличаются по своим возможностям в зависимости от версии Windows. Так, например диспетчер задач Windows XP не имеет собственных средств по сопоставлению имени процесса с именем системной службы, а диспетчер задач Windows 10 позволяет это сделать с использованием контекстного меню, вызываемого правой кнопкой мышки:

При выборе пункта Перейти к службам откроется окно со списком служб, в котором будут подсвечены службы, связанные с выбранным процессом svchost.exe

При необходимости, можно нажать на ссылку Открыть службы
в нижней части экрана, и, непосредственно из диспетчера задач, открыть список системных служб (оснастку консоли управления Windows services.msc). Диспетчеры задач Windows Vista – Windows 8.1 менее информативны и обладают меньшей функциональностью, но также позволяют выполнять переход от выбранного процесса к связанным с ним службам.

Использование Process Explorer (procexp.exe) из пакета Sysinternals Suite

Утилита Process Explorer не входит в состав стандартных дистрибутивов Windows и может быть загружена с сайта Microsoft либо в составе пакета Sysinternals Suite, либо как отдельный программный продукт — Страница загрузки Process Explorer

Программа не требует установки, достаточно разархивировать загруженный пакет и запустить исполняемый файл procexp.exe. Возможности Process Explorer настолько обширны, что даже для их перечисления потребуется отдельная немаленькая статья. А для получения сведений о процессе достаточно просто подсветить его указателем мышки:

Более подробную информацию можно получить, открыв свойства процесса двойным щелчком, или через контекстное меню, вызываемое правой кнопкой мышки — Properties. На вкладке Services отображается полный перечень всех служб, связанных с выбранным процессом.

Для каждой службы выводится короткое и отображаемое имя, путь и имя используемой библиотеки dll, а также, при выборе конкретной службы, — ее краткое описание в нижней части окна.

Process — в данной колонке отображается дерево активных процессов и их потомков. Потомок (child) — процесс, созданный другим, родительским (parent) процессом. Любой процесс может быть и потомком, если он создан в ходе выполнения другого процесса, и родителем, если в ходе его выполнения создан другой процесс. Отображение элементов дерева процессов выполняется в соответствии с порядком их запуска в ходе загрузки операционной системы и ее дальнейшего функционирования.

Корнем дерева процессов является уровень System Idle Process . Фактически, это не реальный процесс, а индикатор состояния простоя системы, когда центральный процессор не выполняет каких-либо программ. Следующим элементом дерева представлен уровень System. Этот уровень так же, не является реальным процессом и предназначен для отображения активности системы, связанной с обработкой прерываний, работой системных драйверов, диспетчера сеансов Windows (Session Manager) smss.exe, и csrss.exe (Client — Server Runtime). Элемент Interrupts является уровнем для индикации обработки аппаратных прерываний, элемент DPCs — для индикации обработки отложенных вызовов процедур (Deferred Procedure Calls). Механизм обработки аппаратных прерываний в Windows предполагает как бы двухуровневую обработку. При возникновении запроса на прерывание, сначала, получает управление программа-обработчик аппаратного прерывания, выполняющая лишь самые необходимые критические операции, а остальные действия откладываются до тех пор, пока не появится относительно свободное процессорное время. Тогда эти действия будут выполнены в рамках вызова отложенной процедуры. В многопроцессорных системах каждый процессор имеет свою отдельную очередь отложенных вызовов. Порядок обработки очереди запросов на прерывание и очереди отложенных процедур определяется их приоритетами. Для определения приоритетов используется уровень запроса на прерывание IRQL — программно-аппаратный механизм, применяемый для синхронизации выполнения отдельных процессов в операционных системах семейства Windows. Уровни IRQL аппаратных прерываний задаются программированием регистров контроллера прерываний, а уровни IRQL программного кода операционной системы — реализуются программно.

Степень использования ресурсов уровнем System дерева процессов, отображаемого программой Process Explorer, характеризует занятость операционной системы диспетчеризацией и обработкой прерываний. Высокая степень использования процессора для обработки прерываний может указывать на наличие проблем с оборудованием или некорректно работающий драйвер устройства. Обычно, это сопровождается эффектом заметного снижения общей ”полезной” производительности системы и внешне проявляется в виде “тормозов” и ”подвисаний” на пользовательских задачах, например, в скачкообразном перемещении указателя мыши по экрану, медленном открытии страниц в браузере, ”фризы” в играх, увеличении шума от вентиляторов систем охлаждения и т.п.

Остальная часть дерева отображает иерархию реально выполняющихся в Windows процессов. Так, например, приложение служб и контроллеров SERVICES.EXE обеспечивает создание, удаление, запуск и остановку служб (сервисов) операционной системы, что и отображается в списке порождаемых им процессов.

PID — идентификатор процесса PID — уникальное десятичное число, присваиваемое каждому процессу при его создании.

CPU — степень использования центрального процессора.

Private Bytes — объем оперативной памяти, выделенной данному процессу и не разделяемой с другими процессами.

Working Set — рабочий набор процесса, представляющий собой суммарный
объем всех страниц используемой им памяти, в данный момент времени. Размер этого набора может изменяться, в зависимости от запросов процесса. Практически все процессы используют разделяемую память.

Description — описание процесса

Company Name — имя компании-разработчика.

Path — путь и имя исполняемого файла.

Verified Signer — признак достоверности цифровой подписи исполняемого файла. Наличие строки «Not verified» говорит о том, что цифровая подпись отсутствует или ее не удалось проверить. Для проверки цифровой подписи нужен доступ в Интернет. Наличие цифровой подписи легального производителя ПО, гарантирует достоверность подписанного ей файла.

Иерархический характер дерева процессов способствует визуальному восприятию родительски-дочерних отношений каждого активного процесса. Нижняя панель дает информацию обо всех DLL,
загруженных выделенным в верхней панели процессом, открытых им файлах, папках, разделах и ключах реестра.

При выборе уровня System дерева процессов в нижней панели можно получить информацию обо всех загруженных драйверах системы, их описание, версию, путь исполняемого файла, адрес в оперативной памяти, размер, Кроме того, можно проверить цифровую подпись, а также просмотреть строковые значения в самом исполняемом файле или в оперативной памяти.

При просмотре свойств любого процесса, можно получить очень подробную информацию о ресурсах системы, используемых данным процессом, включая память, процессор, систему ввода-вывода, графическую подсистему и сетевые соединения.

Использование Process Explorer позволяет легко определить дополнительные признаки, которые могут принадлежать вредоносной программе, замаскированной под легальный процесс:

— в пути исполняемого файла присутствует папка для хранения временных файлов (TEMP), или в случае с svchost.exe , путь исполняемого файла отличается от \Windows\System32, например — ”C:\Users\User1\Application Data\Microsoft\svchost.exe”. Такой svchost.exe однозначно является вредоносной программой.

— отсутствует информация о производителе программного обеспечения. В редких случаях это не является настораживающим признаком, но подавляющее большинство разработчиков современного ПО такую информацию предоставляют.

— отсутствует цифровая подпись. Большинство производителей программного обеспечения имеют сертификаты с цифровой подписью для своих программ. Для проверки подписи можно нажать кнопку Verify. Необходим доступ в Интернет. Наличие цифровой подписи у исполняемого файла говорит о том, что он не является поддельной программой.

— отсутствуют поля описания загрузочного образа Version и Time. Хотя эти поля и не обязательно являются признаком легального ПО, их отсутствие можно считать дополнительным настораживающим признаком угрозы.

— имя исполняемого файла соответствует имени реально существующего системного файла Windows, но путь отличается от стандартных \WINDOWS, \WINDOWS\SYSTEM32 или \WINDOWS\SysWOW64 (для 64-разрядных систем). Это характерно для вирусов, маскирующихся под наиболее часто встречающиеся программные модули — svchost.exe, smss.exe, csrss.exe, winlogon.exe и т.п. Легальное имя исполняемого файла и нестандартный путь его запуска являются явным признаком вредоносной программы.

— путь исполняемого файла совпадает c \WINDOWS или \WINDOWS\SYSTEM32 , но имя немного отличается от распространенных имен системных файлов — swchoct.exe вместо svchost.exe и т.п. Для современных ОС семейства Windows такой прием вирусного заражения встречается довольно редко, поскольку настройки безопасности современных систем затрудняют реализацию записи данных в системные каталоги.

— исполняемый файл находится в \WINDOWS или \WINDOWS\SYSTEM32, но дата его создания значительно отличается от даты создания остальных системных файлов и приблизительно соответствует предполагаемой дате заражения. Тоже довольно редко встречающийся прием вирусного заражения по той же причине, которая приведена в предыдущем пункте.

Кроме отображения информации о процессах, утилита Process Explorer позволяет убить выбранный процесс или дерево процессов. В ОС Windows XP и более ранних, уничтожение некоторых системных процессов, как например winlogon.exe, может приводить к синему экрану смерти (BSoD), а в более поздних версия Windows – к аварийному завершению сеанса пользователя.

Одним из приемов диагностики вирусного заражения или причин непомерного потребления системных ресурсов является поочередное принудительное их завершение и анализ состояния системы после него. Вместо принудительного завершения можно использовать последовательное изменение приоритетов процессов на минимальное значение. Если после завершения процесса или снижения его приоритета состояние системы стало нормальным (нет ”подвисаний”, лишнего трафика, роста температуры процессора или видеокарты и т.п.), это явно указывает на необходимость пристального внимания к параметрам процесса, его легальности или принадлежности к вредоносному ПО.

Утилита Process Explorer бесплатна, удобна в использовании, может применяться в переносимом варианте и много лет является одним из наиболее популярных инструментов системных администраторов Windows.

Дополнение к статье:

Краткое описание и инструкция по использованию утилиты Process Explorer

Пример использования утилит Process Explorer и Autoruns для обезвреживания вируса-майнера.

Краткое описание и инструкция по использованию утилиты Autoruns

Список команд командной строки с описанием и примерами.

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

В начало страницы &nbsp &nbsp | &nbsp &nbsp На главную страницу

SVCHOST.EXE что за процесс так сильно грузит процессор/память?

На написание этой статьи меня сподвигло сразу несколько событий.

1. На исследование попался компьютер с вредоносами, маскирующимися под этот процесс – svchost.exe.
2. На другом компьютере система дико тормозила из-за того, что svchost.exe потреблял очень много памяти (практически всю доступную), суммарное потребление памяти доходило до 96%, куча приложений выгружалась в подкачку – представляете тупняки системы?

Будем последовательны

Что такое svchost.exe

Данный процесс является основным процессом для запуска различных служб системы Windows. Помните раздел “Службы”? Там и служба сети и обозреватель компьютеров и служба обновлений и ещё добрых несколько десятков сервисов. Большая часть из них должна быть представлена в системе через процесс как раз svchost.exe.

Многие службы представлены через процесс svchost.exe

Почему в системе несколько процессов svchost.exe

Как раз потому, что одновременно функционирует множество служб.

Несколько процессов svchost.exe

Если процессы не отображаются, в диспетчере задач нажмите кнопку “Отображать процессы всех пользователей“, т.к. все эти процессы работают от имени других пользователей (например “NT_AUTHORITY\система“). И также обратите внимание на командную строку, с которой запущен процесс – там есть полный путь. Если там что-то отличное от \Windows\System32\svchost.exe – это повод уделить больше внимания такому процессу, т.к. под этот процесс часто маскируется различное вредоносное программное обеспечение.

P.S. Если вам не видно столбец “командная строка” или иной, нажмите в меню “Вид -> Выбрать столбцы” и отметьте нужные галочки напротив имён столбцов.

svchost.exe вирус или нет?

Давайте сделаем так, вот ниже будет ряд вопросов – если вы ответили “нет” на какие-либо из них, тогда стоит обратить пристальное внимание. И чем больше таких ответов, тем более пристальное внимание нужно уделить.

1. Вы можете запустить диспетчер задач и перейти на вкладку “Процессы”?
2. Вы видите несколько процессов svchost.exe при отображении процессов всех пользователей?
3. Имена всех этих процессов выглядят одинаково (именно “svchost.exe” без всяких “0” вместо “o” и т.д.)?
4. Параметры запуска у них схожи? “-k LocalService” или что-то типа такого…
5. Все процессы запущены из одного каталога? “\Windows\system32\” по умолчанию.
6. Все процессы svchost.exe запущены от системных учётных записей?

svchost вирус или нет

Конечно, это не все возможные случаи, но большинство троянцев таким образом отсеять можно. Идём дальше.

svchost.exe грузит процессор или память

Вот это очень распространённая проблема. И ход действий здесь весьма интересен.

1. Нужно определить имя службы, которая потребляет системные ресурсы.
   Итак, пойдём по шагам. Для Windows 7 нужно отобразить процесс “ИД Процесса” или “pID” – отобразит в диспетчере задач идентификатор процесса, чтобы можно было однозначно идентифицировать и отличать один svchost.exe от другого.
   Для Windows 8, например, в диспетчере все процессы уже сгруппированы по PID-ам.

   Процессы сгруппированы по PID

2. Запоминаем PID и для Windows 7 переходим на вкладку “Службы”.
   Службы по PID процессов

   Там упорядочиваем по PID и ищем наш злополучный PID, изучаем список служб…

3. Если служба вам не нужна – её можно смело отключить. Если нужна – попробовать настроить.
   Извечный вопрос “Какие службы нужны, а какие можно смело отключить?” – В Интернете миллион инструкций, мой ответ – если вы твёрдо уверены, что это вам не надо – остановите, поработайте. Запишите, что отключили. Все конфигурации различные, кто-то работает без сети вообще – может отключить многое. Кто-то без принтера, поиска файлов, оформления – отключает другое.
   Лично по своему опыту – компьютер задышал посвободнее, когда я отключил службу обновления, брандмауэр, защитник Windows (т.к. использую стороннее антивирусное решение), службу индексирования и темы. Также можно безопасно отключить и другие, но лучше почитайте соответствующие мануалы. Список служб ведь не такой большой – нужно смотреть только те, которые относятся к данному процессу, который потребляет много ресурсов.
4. PROFIT. И всё.

Практика показала, что такая оптимизация достаточно эффективна. Ну а некоторые службы можно не отключать, а перевести на ручной запуск.

UnistackSvcGroup — что это за службу?

Приветствую! Иногда может быть непонятная ситуация — грузит комп не программа, не процесс, а группа служб. Здесь уже будет сложнее понять кто именно виновник — но при большом желании возможно.

UnistackSvcGroup — что это такое?

Параметр (ключ), при помощи которого запускаются некоторые системные службы. Но из-за общей программы они в диспетчере могут быть размещены в одной группе UnistackSvcGroup:

И если одна служба нагружает ПК, то в диспетчере будет отображаться что грузит вся группа.

Службы, которые могут входить в группу UnistackSvcGroup:

• OneSyncSvc (Синхронизация узла) — синхронизирует почту, контакты, календарь и другие похожие данные.
• UserDataSvc (Служба доступа к данным пользователя) — обеспечивает доступ приложений к структурированным данным пользователя, например контактной информации, календарям, сообщениям и другому.
• PimIndexMainastedSvc (Служба контактных данных) — индексирует контактные данные, чтобы потом их можно было быстро найти.
• UnistoreSvc (Служба хранения данных пользователя) — хранение структурированных данных пользователя, таких как контактная информация, календари, сообщения и другое.
• CDPUserSvc — доступ к пользовательским данным, также может установить соединение с серверами Microsoft (причина неизвестна).
• MessagingService — обмен сообщениями.

Возможно что это не весь список. Что все они работают под процессами svchost.exe, который запускается из системной папки и с параметрами:

C: \ WINDOWS \ system32 \ svchost.exe -k UnistackSvcGroup

Также нашел в интернете рекомендации:

1. Группа UnistackSvcGroup может загрузить из-за запущенного обновления в приложениях Магазин Microsoft. Поэтому сначала попробуйте открыть магазин, затем в правильное нажатие три точки> настройки> передвинуть ползунок Обновлять приложения автоматически.
2. Откройте папку C: \ Users \ Dima \ AppData \ Local \ Comms (где Dima — название учетки), скопируйте папку UnistoreDB в другую папку (или ее содержимое).После — удалите все данные внутри UnistoreDB и перезагрузку ПК.

Мой личный совет — если хотите отключить в Windows 10 все шпионское и ненужное — используйте утилиту DoNotSpy10. Я пользуюсь уже не первый год, поэтому все безопасно.

UnistackSvcGroup — как убрать нагрузку?

Логично что стоит отключить службу, которая грузит ПК. Однако узнать это не всегда получается.

Что я предлагаю? Это службы отключения группы UnistackSvcGroup — можно все, а можно по одной, чтобы сразу выяснить какую грузит.

План действий:

1. В диспетчере задач вклады раскрыть группу служб (может называться Unistack). Будут названия — вам нужно узнать их короткие названия (о некоторых службах я уже писал выше).
2. Имея короткое название — можно пробовать отключать. Можно также удалить, но перед этим советую создать заранее точку восстановления.

Важно! Отключать стоит также и те службы, которые имеют дополнительную приставку, например CDPUserSvc_xxxxx (короткое название идет тоже с такой же приставкой).

Теперь главное — мини-план отключения службы, а также удаление (по желанию). Отключение может блокироваться, чтобы этого не было — нужно удалить параметр / субраздел Безопасность для каждой службы. Как это сделать? Через реестр (Win + R> regedit) — открываем этот раздел:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \

Внутри находим раздел службы — он будет иметь такое же название (короткое), как и сама служба.Открываем его, находим параметр / раздел Безопасность и удаляем.

Все команды выполняются в командной строке запущенной от администратора (зажимаем Win + X> выбираем соответствующий пункт). Сами команды (вместо NAME пишите короткое название службы):

1. Остановка — sc stop "NAME"
2. Отключение автозапуска — sc config "NAME" start = disabled
3. — sc удалить «ИМЯ»

Удалять стоит только если создать точку восстановления!

Способ через реестр. Через реестр, необходимо открыть раздел:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \

Внутри нам нужно найти раздел службы, как и сама служба. Открываем этот раздел, находим параметр Start, нажимаем по нему два раза и меняем значение на 4 (Отключено). Возможно что если вообще удалить этот раздел — таким образом вы удалите и службу.

Пример раздела службы в реестре:

Задаем значение 4 параметров Начало:

Учтите, что после отключения службы могут работать некоторые метро-приложения, например Почта, Календарь.

Заключение

1. UnistackSvcGroup — группа систем служб, работающих под процесс svchost.exe, который запускается с параметром UnistackSvcGroup.
2. Группа может грузить ПК. Решение — отключить всю группу либо по одной, чтобы найти виновника.

Удачи.

.

Что такое svchost.exe и почему он грузит процессор

06.09.2016 окна | для начинающих | лечение вирусов

У многих пользователей возникают вопросы, связанные с процессом «Хост-процесс для служб Windows» svchost.exe в диспетчере задач Windows 10, 8 и Windows 7. Некоторых смущает, что процессов с таким именем большое число, другие сталкиваются с проблемой, выраженной в том, что svchost.exe грузит процессор на 100% (особенно актуально для Windows 7), вызывая тем самым невозможность нормальной работы с компьютером или ноутбуком.

Подробно о том, что это за процесс, для чего он нужен и решает возможные проблемы с ним, в частности, какая именно служба, запущенная через svchost.exe, грузит процессор, и не является ли данный файл вирусом.

Svchost.exe — это за процесс (программа)

Svchost.exe в Windows 10, 8 и Windows 7 представляет собой процесс внедрения системы операционной системы Windows, хранящейся в динамических библиотеках DLL. То можете есть Windows, получить доступ к списку служб (Win + R, получить службы.msc) загружаются «через» svchost.exe и для многих из них запускается отдельный процесс, который вы и наблюдаете в диспетчере задач.

Службы Windows, особенно те, которые запускаются через svchost, являются необходимыми компонентами для полноценной работы системы и загружаются при ее запуске (не все, но большинство из них). В частности, таким образом запускаются такие нужные вещи, как:

,

,
• Диспетчеры различных видов сетевых подключений, через которые предоставляют доступ в Интернет, в том числе и по Wi-Fi
• Службы для работы с устройствами Plug and Play и HID, позволяющие Вам пользоваться мышками, веб-камерами, USB-клавиатурой
• Службы центра обновления, защитник Windows 10 и 8 другие.

В соответствии с ответом на то, почему пункты «Хост-процесс для служб svchost.exe» состоит в том, что системе необходимо запустить много служб, работа которых выглядит как отдельный процесс svchost.exe.

При этом, если какой-либо данный процесс не вызывает, вам вероятнее всего, не стоит каким-либо образом что-то проблем настроить, переживать о том, что это вирус или тем более пробовать удалить svchost.exe ( при условии, что нахождение файла в C: \ Windows \ System32 или C: \ Windows \ SysWOW64 , иначе, в теории, может оказаться, что это вирус, о чем будет заблокировано далее).

делать, если svchost.exe грузит процессор на 100%

Один из самых распространенных проблем, связанных с svchost.exe — то, что этот процесс грузит систему на 100%. Наиболее частые причины такого поведения:

• Выполняется какая-либо стандартная процедура (если такая нагрузка не всегда) — индексирование содержимого дисков (особенно сразу после установки ОС), выполнение обновлений или его загрузки и подобных. В этом случае (если это проходит «само») делать обычно ничего не требуется.
• Какая-то из служб по какой-то причине работает неправильно (тут попробуем выяснить, что это за служба, см. Далее). Причины неправильной работы могут быть разными — повреждения системных файлов (может помочь проверить целостность системных файлов), проблемы с драйверами (например, сетевыми) и другими.
• Проблемы с жестким диском компьютера (стоит выполнить проверку жесткого диска на ошибки).
• Реже — результат работы вредоносного ПО. Причем не обязательно сам файл svchost.exe представляет собой, могут быть варианты, когда посторонняя вредоносная программа обращается к Хост-службам Windows таким образом, что вызывает нагрузку на процессор. Тут рекомендуется проверить компьютер на вирусы и отдельные средства удаления вредоносных программ. Также, если проблема исчезает при чистой загрузке Windows (запуск с минимальным набором системных служб), то стоит обратить внимание на то, какие программы есть у вас в автозагрузке, возможно, оказывают они.

Наиболее распространенный из указанных вариантов — неправильная работа какой-либо службы Windows 10, 8 и Windows 7. Для того, чтобы выяснить, какая именно служба предлагает такую ​​нагрузку на процессор, удобно использовать программу Microsoft Sysinternals Process Explorer, скачать которую можно бесплатно с официального сайта https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx (представляет собой архив, который нужно распаковать и запустить из него исполняемый файл).

После запуска программы вы увидите список запущенных процессов, в том числе проблемный svchost.exe, нагружающий процессор. Если навести на процесс указатель мыши, во всплывающей подсказке появится информация о том, какие конкретно службы запущенны данным экземплярам svchost.exe.

Если это одна служба — можно попробовать отключить её (см. Какие службы можно отключить в Windows 10 и как это сделать). Если несколько — можно экспериментировать с отключением, можно по типу служб (например, если всё это — сетевые службы) предположить возможную причину проблемы (в указанном случае это может быть неправильно работающие сетевые драйверы, конфликты антивирусов, или же вирус, использующий ваше сетевое подключение , задействуя при этом системной службы).

Как узнать, svchost.exe — это вирус или нет

Существует некоторое количество вирусов, которые либо маскируются, либо загружаются с помощью настоящего svchost.exe. Хотя в настоящее время они встречаются не очень часто.

Симптомы заражения могут быть различными:

• Основной и почти гарантированно говорящий о проблемах задач svchost.exe — расположение этого файла вне папок system32 и SysWOW64 (чтобы узнать расположение, вы можете кликнуть правой кнопкой мыши по процессу в диспетчере и выбрать пункт « Открыть расположение файла ».В Process Explorer посмотреть расположение можно схожим образом — правый клик и пункт меню Properties). Важно: в Windows файл svchost.exe можно также разрушить в папках Prefetch, WinSxS, ServicePackFiles — это не вредоносный файл, но одновременно среди запущенных процессов файла из этих расположений быть не запущенных процессов.
• Среди прочих признаков отмечают, что процесс svchost.exe никогда не запускается от имени пользователя (только от имени «Система», «ЛОКАЛЬНАЯ СЛУЖБА» и «Сетевая служба»).В Windows 10 это точно не так (Shell Experience Host, sihost.exe, запускается именно от пользователя и через svchost.exe).
• Интернет работает только после включения компьютера, потом перестает работать и страницы не открываются (причем иногда можно вести активный обмен трафиком).
• Другие обычные для вирусов проявления (реклама на всех сайтах, открывается не то, что нужно, изменяются системные настройки, компьютер тормозит и т.д.)

В случае, если у Вас возникли подозрения на то, что на компьютере какой -либо вирус, имеющий к svchost.exe, рекомендую:

• С помощью ранее зарегистрированной программы Process Explorer кликнуть правой кнопкой мыши по проблемному экземпляру svchost.exe и выбрать пункт меню «Проверить VirusTotal» для проверки этого файла на вирусы.
• В Process Explorer посмотреть, какой процесс запускает проблемный svchost.exe (т.е. в отображаемом в программе «дереве» находится «выше» в иерархии). Проверить его на вирусы тем же способом, что был описан в старом доме, если он вызывает подозрения.
• Воспользоваться антивирусной программой для полной проверки компьютера (так как вирус может быть не в файле svchost, а просто использовать его).
• Посмотреть описания вирусов здесь https://threats.kaspersky.com/ru/. Просто введите в поисковую систему «svchost.exe» и получите список вирусов, использующих этот файл в своей работе, а также описание, как они работают и каким образом скрываются. Хотя, наверное, это излишне.
• Указать, что именно запускается с помощью системы строки, введя команду Tasklist / SVC

Стоит отметить, что 100% загрузка процессора, вызываемая svchost.exe редко бывает следствием работы вирусов. Чаще всего это все-таки следствие проблем со службами Windows, драйверами или другим ПО на компьютере, а также «кривости» систем на компьютерах многих пользователей «сборок».

А вдруг и это будет интересно:

.

Svchost.exe (netsvcs) грузит память и процессор: что делать?

После включения компьютера в Диспетчере устройств можно наблюдать, как svchost.exe (netsvcs) начинает запрашивать все больше и больше оперативной памяти и не может «отпустить» ее независимо от того, сколько ее накопилось. Узнаем подробнее, что это за процесс, почему сильно грузит оперативную память и процессор.

Что это за процесс svchost.exe (netsvcs)?

Svchost.exe (netsvcs) — это основной хост-процесс для служб Windows, без которой операционная система не будет работать. Так как через него запускаются многие службы, можно осуществлять кратковременные всплески оперативной памяти.

Причины высокой нагрузки процесса svchost.exe (netsvcs)

Проблема очень серьезна, поскольку компьютер становится настолько серьезным, что компьютер становится медленным, что за ним невозможно работать, и требуется только перезагрузка, поскольку объем оперативной памяти используемой процедуры svchost.exe (netsvcs) доходит до 50% после включения ПК и увеличивается до точки.Проблема не является исключением ОС для какой-то специальной версии, от нее не застрахованы пользователи Windows 7, 8.1 и 10.

Высокая нагрузка на процессор и ОЗУ может произойти по двум основным причинам:

1. Утечка памяти Windows 10. Нагрузка на ОЗУ возникает, когда программу, использующую svchost.exe, не удается освободить память, в которой она уже не нуждается.
2. Svchost.exe (LocalSystemNetworkRestricted). Проблема возникает, когда процесс LocalSystemNetwork начинает интенсивно использовать процессор и ОЗУ, чем ему требуется, тем самым вызывая утечку памяти.

Среди прочих причинных проблем может быть вирус или вредоносная программа, которая маскируется под этот процесс и запускается автоматически при загрузке системы.

Если столкнулись с неполадкой, когда svchost.exe (netsvcs) грузит процессор и память, воспользуйтесь возможностью решениями.

Проверка на вирусы

Svchost.exe может чрезмерно грузить процессор и память из-за заражения компьютера вирусами. При вирусном заражении процесс может использовать большие объемы ОЗУ, не «отпуская» ни одного байта ОЗУ.Во время такой нагрузки на ресурсы системы ощущается сильное замедление работы компьютера.

Для эффективного использования проверьте систему антивирусной программой типа Malwarebytes, затем воспользуйтесь возможностью более мощным антивирусом.

Очистка журналов событий

В некоторых случаях процесс потребляет высокий процент памяти из слишком больших файлов журналов.

Откройте окно «Выполнить» (клавиши Win + R), введите команду eventvwr.msc, нажмите Enter для входа в раздел представра событий.

С левой стороны разверните Журналы WIndows. Нажмите правой кнопкой мыши по очереди на подразделах Приложения, Безопасность, Установка, Система, Перенаправление события и выберите «Очистить журнал».

Отключение службы BITS

Фоновая интеллектуальная служба передачи (BITS) — это компонент операционной системы, который незанятую пропускную способность сети для загрузки критически важных для ОС данных (например, обновлений ОС) в фоновом режиме.Но иногда она работает со сбоями, чрезмерно сниженная пропускная способность и скорость передачи по сети, в результате svchost.exe начинает грузить почти до 100% оперативную память и процессор.

Поэтому при снижении скорости интернета и высокой нагрузке на ОЗУ iPad отключить BITS.

Введите services.msc в окне «Выполнить» (Win + R), подтвердите запуск команды на Выполнить.

Найдите Фоновую интеллектуальную службу передачи (BITS) и дважды кликните по ней для входа в Свойства.Разверните выпадающее меню перед типом запуска, выберите «Отключено». Подтвердите изменение нажатием на кнопку «Применить».

Перезагрузите компьютер. Посмотрите, насколько svchost.exe грузит ЦП и ОЗУ.

Отключение Центра обновления Windows

Известны случаев, когда из-за службы Центра Обновления Windows svchost.exe начинает сильно грузить память и процессор. Чтобы, не является ли он способом проверить проблемы, проверьте следующие действия:

Откройте окно «Выполнить» комбинацией клавиш Win + R, наберите услуги.msc. Прокрутите экран в самый низ, дважды кликните на «Центр обновления Windows». Установите тип запуска в положение «Отключена», для сохранения изменений на кнопку «Применить».

После перезагрузки ПК проверьте в Диспетчере задач нагрузки на ОЗУ. Имейте в виду, что означает отключение этой службы, что Центр обновления Windows не будет автоматически устанавливать ожидающие обновления.

Поэтому если убедитесь, что проблема не Центре обновлений, включите ее обратно.

Отключение проблемных служб

Для решения сначала определим, какая служба или программа работает под процессом svchost.exe и потребляет много ресурсов процессора и памяти. Затем ее отключим или полностью удалим.

Нажмите клавиши Ctrl + Alt + Del, затем в «Диспетчер». На вкладке Процесс установки флажка «Отображать процессы от всех пользователей». Нажмите много правой кнопкой мыши на svchost.exe, который потребляет ОЗУ, выбрать «Перейти к службам».

На этой вкладке будет выделено несколько служб, которые работают под этим процессом.

Теперь нужно выяснить, какая из них грузит оперативную память и процессор.Определить ее можно двумя способами:

1. Можно выполнить поочередный поиск с помощью Google всех выделенных служб, и посмотреть, является ли их отключение критическим для системы или нет.
2. Попробуйте по очереди остановить нагрузку на ЦП и ОЗУ не вернется к нормальному состоянию.

Чтобы временно отключить кликните на ней правой кнопкой мыши, выберите «Остановить».

После того, как сообщить проблемную службу или приложение, ее нужно полностью отключить.

Нажмите клавиши Win + R, впишите services.msc, подтвердите ее запуск на Enter. В выберите кликните правой кнопкой мыши кликните на проблемную, выберите Свойства.

Измените тип запуска на «Отключено», подтвердите изменения на «ОК», перезапустите компьютер.

.

Процесс svchost.exe и системные службы, связанные с ним.

& nbsp & nbsp Практически, каждый Windows неоднократно наблюдал пользователь в отображаемых диспетчером задач, несколько процессов с именем svchost.exe . Для разных версий Windows и в зависимости от набора компонентов системы, количество таких процессов может составлять от нескольких штук до нескольких десятков. При чем, это вполне нормальное явление, поскольку svchost.exe — это главный процесс (хост-процесс) для системных служб (сервисов), загружаемых из динамических библиотек (файлов .dll ). Для запуска таких служб используется один и тот же исполняемый файл svchost.exe , размещенный в системном каталоге \ Windows \ system32 \ , но передаются разные параметры командной строки, для каждой конкретной службы — свои. Например, для запуска службы Удаленный вызов процедуры (RPC) используется командная строка:

C: \ Windows \ system32 \ svchost.exe -k RPCSS

Такой способ запуска системы служб вполне оправдан, поскольку позволяет уменьшить объем оперативной памяти и ресурсов процессора. Все копии svchost.exe запускаются системным процессом services.exe (родительским процессом) в ходе запуска, инициализации системы и при необходимости, в ходе выполнения запросов пользовательских или системных задач. Таким образом, каждый процесс svchost.exe — это одна из систем служб Windows, например, «Клиент групповой политики» или «Система событий COM +»

Параметры вызова исполняемого файла svchost.exe для отдельных систем чувств значениями в ключе регист

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ имя службы

Параметр ImagePath задает командную строку для данной службы или группы служб. Имя библиотеки, которая используется для данной службы, определяет параметр ServiceDll подраздела Параметры

Перечень всех служб, запускаемых с использованием svchost.exe и их объединение в группу содержит содержимое реестра

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \ Svchost

Так, например, в группу DcomLaunch входят 3 службы:

Power — Питание

PlugPlay — Plug-and-Play

DcomLaunch — Модуль запуска процессов DCOM-сервера

Каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов, относящихся к группе.

& nbsp & nbsp
Некоторые компьютерные вирусы нередко маскируются под процессы с именем svchost.exe , поскольку так проще замаскировать их зараженной систем среди других легальных процессов с таким же именем. , Такие ложные svchost.exe имеют некоторые принципиальные отличия, позволяющие довольно легко вызвать и обезвредить вредоносную программу:

— исполняемый файл имеет путь отличный от \ Windows \ system32 \ .Такой способ использовать вирусы Net-Worm.Win32.Welchia.a , Virus.Win32.Hidrag.d , Trojan-Clicker.Win32.Delf.cn .
— Процесс svchost выполняется в транзакции записи пользователя. Настоящий процесс svchost.exe является системой системного учета и всегда выполняется в контексте системных записей »(« Локальная системная учетная запись », СИСТЕМА, ЛОКАЛЬНАЯ СЛУЖБА) или в контексте сетевых служб (СЕТЬ, СЕТЕВОЕ ОБСЛУЖИВАНИЕ).Соответственно, легальный исполняемый файл svchost.exe запускается только как системная служба, а прикладная программа. Вполне очевидно, что запуск легальной службы никогда не обеспечивается способами, применимыми для прикладного программного обеспечения (ПО), например, с использованием записи раздела Run реестра или из папок Автозагрузка .

Следует отметить, что существует возможность создания вредоносной программой собственной службы, использующей для запуска настоящей svchost.exe , но выполняющей вредоносные действия через внедрение собственной библиотеки .dll . Как, например, как это делает вирус Conficker (Kido) . Подобный прием нередко использовался во времена Windows XP / 2000, но в современной версии Windows реализовать данный способ заражения системы становится все сложнее и сложнее. Как правило, признаком такого вирусного заражения использование файла .dll , расположенного не в каталоге \ Widows \ System32 \ , отсутствие цифрового подписи разработчика, а также адекватного описания поддельной службы.

Как определить системную службу, связанную с конкретным процессом svchost.exe.

Иногда требуется определить, какая именно служба соответствует конкретной процедуре scvhost.exe , например, когда процесс потребляет большие ресурсы центрального процессора:

В данном примере процесс svchost.exe потребляет 50% ресурсов процессора. Это ненормально, и внешне может проявляться в виде снижения общей производительности, подвисаний (ов), скачкообразного перемещения указателя мыши и т. Д.п. Согласно условиям, система использует ресурсы системы в первую очередь.

Для поиска причин чрезмерного потребления системы конкретным экземпляром svchost.exe , в первую очередь необходимо определить, действительно ли данный процесс является системным (не вирусом), и с какой именно службой он связан.Существует несколько способов применимости, которые зависят от возможностей конкретной версии Windows.

Использование утилиты командной строки tasklist.exe

Для получения списка выполняемых служб в любой версии Windows можно использовать команду:

tasklist / svc

tasklist / svc>% TEMP% \ svclist.txt — то же, что и в примере, но с выдачей результатов в текстовый файл. Результат будет представлен в DOS-кодировке, и для просмотра его кириллической составляющей стандартных средств Windows потребуется перекодировка, или редактор с поддержкой кодовой страницы CP866 (DOS), например, Notepad ++ или встроенный редактор Far Manager.

notepad ++% TEMP% \ svclist.txt — открыть созданный файл со списком сервисов.

Пример отображаемой информации:

Имя образа PID Службы
========================= ======== ================= ===========================
Процесс простоя системы 0 Н / Д
Система 4 Н / Д
smss.exe 492 Н / Д
csrss.exe 668 Н / Д
wininit.exe 748 Н / Д
csrss.exe 764 Н / Д
services.exe 816 Н / Д
lsass.exe 832 KeyIso, SamSs
lsm.exe 840 Н / Д
winlogon.exe 892 Н / Д
svchost.exe 984 DcomLaunch, PlugPlay, Питание
svchost.exe 600 RpcEptMapper, RpcSs
cmdagent.exe 744 CmdAgent
svchost.exe 1040 CryptSvc, Dnscache, LanmanWorkstation,
                                   NlaSvc, TermService
atiesrxx.exe 1096 Утилита внешних событий AMD
svchost.exe 1132 AudioSrv, Dhcp, журнал событий,
                                   HomeGroupProvider, lmhosts, wscsvc
svchost.exe 1176 AudioEndpointBuilder, CscService,
                                   HomeGroupListener, Netman, PcaSvc, TrkWks,
                                   UmRdpService, UxSms, Wlansvc, wudfsvc
svchost.exe 1236 EventSystem, fdPHost, FontCache, netprofm,
                                   nsi, WdiServiceHost
svchost.exe 1288 AeLookupSvc, BITS, браузер, CertPropSvc,
                                   EapHost, gpsvc, IKEEXT, iphlpsvc,
                                   LanmanServer, ProfSvc, Расписание, SENS,
                                   SessionEnv, ShellHWDetection, Темы,
                                   Winmgmt
.. .
 

Отображается имя образа (исполняемого файла), уникальный процесс PID и краткое название службы. Так, например, процесс svchost.exe с указателем 984 имеет отношение к службам с короткими именами DcomLaunch, PlugPlay, Power . Для получения подробной информации о службе, в том числе и ее вывода, можно использовать команду управления службами SC :

sc qc power — показать конфигурацию службы Power

Пример отображаемой информации:

Имя_службы: власть
        Тип: 20 WIN32_SHARE_PROCESS
        Тип_запуска: 2 AUTO_START
        Управление_ошибками: 1 НОРМАЛЬНОЕ
        Имя_двоичного_файла: C: \ Windows \ system32 \ svchost.exe -k DcomLaunch
        Группа_запуска: Plugplay
        Тег: 0
        Выводимое_имя: Питание
        Зависимости:
        Начальное_имя_службы: LocalSystem
 

В графической службе интерфейса пользователя, сведения о можно получить с использованием оснастки «Службы» консоли управления Microsoft (комбинация клавиш Win + R и выполнить services.msc ), или через меню Панель управления — Администрирование — Службы

Использование Диспетчера задач Windows ( taskmgr.exe )

Стандартные диспетчеры отличаются по своим возможностям в зависимости от версии Windows. Так, например, диспетчер задач Windows XP не имеет собственных средств по сопоставлению имени процесса с именем системной службы, а диспетчер задач Windows 10 позволяет это сделать с использованием контекстного меню, вызываемого правой кнопкой мышки:

При выборе пункта Перейти к службам откроется окно со списком служб, в котором будут подсвечены службы, связанные с выбранным процессом svchost.exe

При необходимости можно нажать на ссылку Открыть службы
в нижней части экрана, непосредственно из диспетчера задач, открыть список системной службы (оснастку управления Windows services.msc ). Диспетчеры Windows Vista — Windows 8.1 информативны и обладают меньшей функциональностью, но также позволяют выполнять переход от процесса к меньшему количеству задач с ним службам.

Использование Process Explorer ( procxp.exe ) из пакета Sysinternals Suite

Утилита Process Explorer не входит в состав стандартных дистрибутивов Windows и может быть загружена с сайта Microsoft либо в составе пакета Sysinternals Suite, либо как отдельный программный продукт — Страница загрузки Process Explorer

Программа не требует установки , достаточно разархивировать загруженный пакет и запустить исполняемый файл procxp.exe . Возможности Process Explorer обширны, что даже для их перечисления потребуется отдельная немаленькая статья.А для получения сведений о процессе достаточно просто подсветить его указателем мышки:

Более подробную информацию можно получить, открыв свойства процесса двойным щелчком, или через контекстное меню, вызываемое правой кнопкой мышки — Свойства . На вкладке Services отображается полный перечень всех служб, связанных с выбранным процессом.

Для каждой службы выводится короткое и отображаемое имя, путь и имя используемой библиотеки dll , а также при выборе конкретной службы, — ее краткое описание в нижней части окна.

Process — в данной колонке отображается дерево активных процессов и их потомков. Потомок (дочерний) — процесс, созданный другим, родительским (родительским) процессом. Любой процесс может быть и потомком, если он создан в ходе выполнения другого процесса, и его родителем, если в ходе его выполнения создан другой процесс. Отображение элементов дерева процессов выполняется в соответствии с порядком их запуска в ходе операционной системы и ее дальнейшего функционирования.

Корнем дерева является уровнем процессов Процесс простоя системы . Фактически, это не реальный процесс, а индикатор состояния простоя системы, когда центральный процессор не выполняет каких-либо программ. Следующим представителем дерева представлен уровень Система . Этот уровень так же предназначен для работы с системой, обработанной прерывкой, работой системных драйверов, сеансов Windows (диспетчер сеансов) smss.exe , и csrss.exe (клиент — время выполнения сервера). Элемент Прерывания является уровнем для индикации обработки аппаратных прерываний, элемент DPC — для индикации обработки отложенных процедур процедур (отложенных вызовов процедур). Механизм обработки аппаратных прерываний в Windows предполагает бы двухуровневую обработку. При возникновении запроса на прерывание, сначала получает управление программа-обработчик аппаратного прерывания, выполняемые лишь самые необходимые критические операции, а остальные действия откладываются до тех пор, пока не появится свободное процессорное время.Тогда эти действия будут выполнены в режиме вызова отложенной процедуры. Вопроцессорные системы каждый процессор имеет свою отдельную очередь многенных вызовов. Порядок обработки очереди запросов на прерывание и очереди отложенных процедур определяет их приоритетами . Для аппаратного определения приоритетов используется прерывистый механизм прерывания IRQL , применяемый для синхронизации выполнения отдельных процессов в операционных системах семейства Windows.Уровни IRQL аппаратных прерываний задаются программированием регистров прерываний, уровней IRQL программного обеспечения операционной системы — реализуются программно.

Степень использования ресурсов уровня Система дерева процессов, обрабатываемая программа Process Explorer характеризует занятость операционной системы диспетчеризацией и обработкой прерываний. Высокая степень использования процессора для обработки прерываний указывает на наличие проблем с оборудованием или некорректно работающий драйвер устройства.Обычно это сопровождается эффектом заметного снижения общей «полезной» производительности системы и внешне проявляется в виде «тормозов» и «подвисаний» на пользовательских задачах, например, в скачкообразном перемещении указателя мыши по экрану, медленном открытии страниц в браузере, «фризы» в играх , увеличении шума от вентиляторов систем охлаждения и т.п.

Остальная часть дерева отображает иерархию выполняющихся в Windows. Так, например, приложение служб и контроллеров УСЛУГИ.EXE обеспечивает создание, удаление, запуск и остановку служб операционной системы, что отображается в списке порождаемых им процессов.

PID — идентификатор процесса PID — уникальное десятичное число, присваиваемое каждой процедуре при его создании.

CPU — степень использования центрального процессора.

частных байтов — объем оперативной памяти, выделенной данным процессом и не разделяемым другими процессами.

Рабочий набор — рабочий набор процесса, представляющий собой суммарный
объем всех страниц используемой им памяти, в данный момент времени. Размер этого набора может изменяться, в зависимости от запроса процесса. Практически все процессы используют разделяемую память.

Описание — описание процесса

Название компании — имя компании-разработчика.

Path — путь и имя исполняемого файла.

Проверенный подписант — признак достоверности цифрового подписи исполняемого файла. Наличие строки «Не проверено» говорит о том, что цифровая подпись отсутствует или ее не удалось проверить. Для проверки цифровой подписи нужен доступ в Интернет. Наличие цифрового подписи легального производителя ПО, гарантирует достоверность подписанного ей файла.

Иерархический характер дерева процессов обеспечивает визуальному восприятию родительски-дочерних отношений каждого активного процесса.Нижняя панель дает информацию обо всех DLL,
загружены выделенным в верхней панели процесса, открытых им файлах, папках, разделах и ключах реестра.

При выборе уровня Система дерева процессов в нижней панели можно получить информацию обо всех загруженных драйверах системы, их описание, версию исполняемого файла, адрес в оперативной памяти, размер, кроме того, можно проверить цифровую подпись, а также просмотреть строковые значения в самом исполняемом файле или в оперативной памяти.

При просмотре свойств любого процесса, можно получить очень подробную информацию о ресурсах системы, используемые данные, включая память, процессор, систему ввода-вывода, графическую подсистему и сетевые соединения.

Использование Process Explorer позволяет легко определить дополнительные признаки, которые могут использовать вредоносную программу замаскированной под легальный процесс:

— в пути исполняемого файла присутствует папка временных файлов (TEMP), или в случае с svchost.exe , путь исполняемого файла отличается от \ Windows \ System32, например — ”C: \ Users \ User1 \ Application Data \ Microsoft \ svchost.exe” . Такой svchost.exe однозначно является диагностической программой.

— отсутствует информация о производителе программного обеспечения. В редких случаях это не является настораживающим признаком, но подавляющее большинство современных ПО информацию использует.

— отсутствует цифровая подпись.Большинство производителей программного обеспечения имеют сертификаты с цифровой подписью для своих программ. Для проверки подписи можно нажать кнопку Verify . Необходим доступ в Интернет. Наличие цифрового подписи у исполняемого файла говорит о том, что он не является поддельной программой.

— отсутствуют поля описания загрузочного образа Version и Time . Хотя эти поля и не обязательно являются признаком легального ПО, их отсутствие можно считать дополнительным настораживающим признаком угрозы.

— имя исполняемого соответствует имени реально существующего файла файла Windows, но путь отличается от стандартных \ WINDOWS , \ WINDOWS \ SYSTEM32 или \ WINDOWS \ SysWOW64 (для 64-разрядных систем). Это характерно для вирусов, маскирующихся под наиболее часто встречающиеся программные модули — svchost.exe, smss.exe, csrss.exe, winlogon.exe и т.п. Легальное имя исполняемого файла и нестандартный путь его запуска являются явным признакомной программы.

— путь исполняемого файла совпадает c \ WINDOWS или \ WINDOWS \ SYSTEM32, но имя немного отличается от распространенных имен системных файлов — swchoct.exe вместо svchost.exe и т.п. Для ОС семейства Windows такой прием вирусного заражения современных довольно редко, поскольку настройки безопасности современных систем затрудняют записи данных в системный каталоги.

— исполняемый файл находится в \ WINDOWS или \ WINDOWS \ SYSTEM32, но дата его создания отличается от даты создания остальных системных файлов и соответствует предполагаемой дате заражения.Тоже довольно редко встречающийся прием вирусного заражения по той же причине.

Отображение информации о процессах, утилита Process Explorer позволяет убить выбранный процесс или дерево процессов. В ОС Windows XP и более ранних, уничтожение некоторых системных процессов, например winlogon.exe , может приводить к синему экрану смерти (BSoD), а в более поздних версиях Windows — к аварийному завершению сеанса пользователя.

Одним из приемов диагностики вирусного заражения или причин непомерного использования системных ресурсов поочередное принудительное их завершение и анализ состояния системы после этого. Вместо принудительного завершения можно использовать последовательное изменение приоритетов процессов на минимальное значение. Если после завершения процесса или снижения его приоритета состояние системы стало нормальным (нет «подвисаний», лишнего трафика, роста температуры процессора или видеокарты и т.п.), это явно указывает на необходимость пристального внимания к параметрам процесса, его легальности или к диагностическому ПО.

Утилита Process Explorer является бесплатной, удобной в использовании версией и много лет является одним из наиболее популярных инструментов системных администраторов Windows.

Дополнение к статье:

Краткое описание и инструкция по использованию утилиты Process Explorer

Пример использования утилит Process Explorer и Autoruns для обезвреживания вируса-майнера.

Краткое описание и инструкция по использованию утилиты Autoruns

Список командной строки с описанием и примерами.

Если вы желаете поделиться на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

В начало страницы & nbsp & nbsp | & nbsp & nbsp На главную страницу

.