Процесс svchost.exe: вирус или нет?

Если вы читаете эту статью, то наверняка уже обратили внимание на системный процесс, имеющий название «svchost.exe». Причём обычно он не одинок, и компанию ему составляют ещё несколько одноимённых процессов:

В нормальной ситуации быстродействие компьютера от выполнения данного процесса не страдает, и обычные пользователи внимание на него не обращают. Совсем иначе обстоит ситуация, когда процесс начинает «пожирать» от половины до 100% ресурсов компьютера. Причем не эпизодически, а постоянно. Радикальным решением проблемы в таком случае иногда становится переустановка Windows или откат системы к тому моменту, когда она работала нормально. Эти способы не только излишни, но и не всегда помогают, поэтому сегодня мы расскажем вам о более простых решениях проблемы, когда процесс svchost.exe грузит процессор компьютера «на полную».

Что такое svchost.exe

Начнём с теории. Svchost.exe — системный процесс Windows, который отвечает за запуск различных служб на компьютере (например, Служба печати или Брандмауэр Windows). С помощью него на компьютере могут быть запущены несколько служб одновременно, что позволяет сократить потребление ресурсов компьютера этими службами. Кроме того, сам процесс может быть запущен в нескольких копиях. Именно поэтому в «Диспетчере задач» всегда запущено больше одного процесса svchost.exe.

Так из-за чего же svchost.exe может создавать высокую нагрузку на процессор и память компьютера? В сети можно встретить мнение, что процесс svchost.exe инициируется вирусом или вовсе является вирусом. Это не так. Строго говоря, некоторые вирусы и трояны могут маскироваться под него, создавая дополнительную нагрузку на ресурсы компьютера, но их довольно легко вычислить и обезвредить.

Как удалить вирус, замаскированный под процесс svchost.exe

Запустите «Диспетчер задач» (с помощью комбинации клавиш Control+Atl+Delete или из меню Пуск > Программы > Стандартные > Служебные) и откройте вкладку «Процессы». В первой колонке вы увидите названия процессов, а во второй — указание, от чьего имени он был запущен. Так вот, обратите внимание на то, что svchost.exe может запускаться только от имени пользователей LOCAL SERVICE, SYSTEM (или «система»), а также NETWORK SERVICE.

Если вы заметили, что процесс запущен от имени вашего пользователя (например, от имени User), то перед вами — вирус. Так как настоящий svchost.exe может запускаться только системными службами, то он не может находиться в «Автозагрузке» текущего пользователя Windows. Поэтому именно там мы и попробуем найти вирус, замаскированный под системный процесс svchost.exe. Попасть в Автозагрузку можно двумя способами: через стороннюю программу, например, CCleaner или стандартными средствами Windows.

Для того, чтобы попасть в Автозагрузку без установки дополнительных программ, откройте Пуск и в строке поиска программ (в Windows XP — в Пуск > Выполнить) напишите msconfig, после чего нажмите ОК. Появится окно «Конфигурация системы». Перейдите на вкладку Автозагрузка и внимательно просмотрите список программ, запускаемых при загрузке системы. Если в этом списке вы обнаружите процесс svchost.exe, то можете не сомневаться в его вирусном происхождении.

Настоящий svchost.exe может быть запущен только из папки C:\WINDOWS\system32, где «C» — диск, на котором установлена Windows. (В 64-битной операционной системе 32-битная версия svchost.exe расположена в папке C:\WINDOWS\SysWOW64, и теоретически процесс может быть запущен также из неё. Однако по умолчанию все системные процессы, включая svchost.exe, в 64-разрядных Windows запускаются из C:\WINDOWS\system32.) На скриншоте выше видно, файл расположен в папке WINDOWS, да ещё и называется «svhost.exe», а не «svchost.exe», что прямо говорит о его вирусном происхождении.

Список самых излюбленных папок для маскировки вируса выглядит примерно так:

C:\WINDOWS\svchost.exe
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\drivers\svchost.exe
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\sistem\svchost.exe
C:\WINDOWS\windows\svchost.exe
C:\Users\имя-вашего-пользователя\svchost.exe

Файл вирусного процесса может не только находится в одной из перечисленных выше папок (а не в стандартной папке, где находится настоящий svchost.exe), но и называться по-другому:

svhost.exe
svch0st.exe
svchost32.exe
svchosts.exe
syshost.exe
svchosl.exe
svchos1.exe

...И так далее, — фантазия вирусописателей не знает границ :-).

Итак, вы нашли вирус svchost.exe в Автозагрузке. Первое, что нужно сделать — отключить его автозапуск, убрав галку напротив него в столбце «Элемент автозагрузки». Теперь нужно завершить его процесс через «Диспетчер задач» (правая кнопка мыши на процессе > Завершить процесс) и удалить сам файл. Полный путь к файлу, как и на скриншоте выше, всегда указан в столбце «Команда». Вполне возможно, что файл процесса не даст себя удалить, — в этом случае попробуйте сначала перезагрузить компьютер и повторить операцию, или воспользуйтесь программой для удаления подобных, «неудаляемых» файлов Unlocker.

После этого не лишним будет также провести антивирусную проверку компьютера. Если на вашем компьютере до сих пор не установлен антивирус, рекомендуем ознакомиться с нашей статьей о выборе бесплатного антивируса.

Вирусов в системе нет, но svchost.exe всё равно «грузит» компьютер?

Вы нашли и обезвредили все вирусы в системе или убедились, что вирусов на компьютере нет, а svchost.exe по-прежнему мешает работать? Попробуйте выяснить, какая программа или служба использует данный процесс. Это легко сделать с помощью простой бесплатной программы Process Explorer. Очень часто процесс svchost.exe использует служба Windows Update, автоматически устанавливающая обновления на компьютер:

В данном случае можно либо подождать, когда все обновления Windows будут загружены и установлены, либо временно отключить автоматическое обновление Windows. Это можно сделать через Панель управления в разделе Система и безопасность > Центр обновления Windows, открыв Настройки параметров (в боковом меню окна) и выбрав в выпадающем списке пункт Не проверять наличие обновлений:

Если отключение автоматического обновления не помогло, то точно также можно проверить все остальные службы Windows. Остановить или отключить любую службу Windows можно через оснастку «Службы». Попасть в неё легко: нажмите Пуск > кликните на Компьютер правой кнопкой мыши, в раскрывшемся меню выберете Управление > перейдите в Службы и приложения > Службы. Выбрав искомую службу, кликните на неё правой кнопкой мыши и выберите Остановить. Если нагрузку на компьютер создавала именно она, то после остановки службы процесс svchost.exe перестанет загружать ваш компьютер на 100%.

Не удалось решить проблему самостоятельно? Мы готовы вам помочь! «Помощь онлайн» — подробная информация здесь.

Метки статьи: 

Остались вопросы?

Спросите у нас, оставив комментарий ниже, и мы попробуем разобраться вместе!

Задать вопрос

Подскажите, в диспетчере задач висит процесс svchost.exe.exe и грузит цп до 80-100% , dr.web и avz не помогли, Службы ее не отключаются и из автозагрузки также не убрать , сам даёт мне расположение файла которого в моем компьютере просто-напросилось не существует? Заранее спасибо

Алексей, проверяли последними версиями антивирусов?
Для лучшего результата попробуйте запустить проверку из Безопасного режима (антивирусом, который работает без установки — например, CureIt).

Какие именно службы не отключаются и что происходит при попытке их отключения?

Поясните, как и что пытались убрать из автозагрузки, и почему не получилось?

И кто даёт расположение файла?

Зачем вы обманываете людей? В 64-битных системах 64-битные приложения находятся в system32, а в syswow64 находятся 32-битные приложения, не наоборот.

Вы абсолютно правы, в C:\Windows\SysWOW64 в 64-битной Windows расположены именно 32-битные приложения. И по умолчанию процесс svchost.exe в таких системах запускается из папки C:\WINDOWS\system32.

Однако в папке C:\Windows\SysWOW64 присутствует 32-битная версия svchost.exe, и в теории файл (процесс) может быть запущен из неё.

В статье этот момент был описан неявно, внесли небольшие правки. Спасибо за уточнение.

Подскажите пожалуйста как удалить ещё такую програмку как YAC, я в этом ничего не понимаю, но но как обычная программа она не удаляется. Буду очень благодарна вам за помощь. Спасибо!

Татьяна, попробуйте удалить программу обычным способом: в Панели управления зайдите в Удаление программ и, найдя в списке Yet Another Cleaner, выберите Изменить/Удалить. В открывшемся окне нужно кликнуть на Cruelly uninstall , в следующем — выбрать причину удаления (любую) и нажать Next.

Если программу удалить не удалось, попробуйте воспользоваться «чистильщиками» AdwCleaner или Malwarebytes.

Огромное Вам спасибо! Всё получилось с первого раза обычным способом!!! Не хочу показаться навязчивой, но не могли бы Вы мне помочь разаобраться ещё в одной проблеме: перестал работать антивирус , востановить или удалить не удаётся, пишет либо не может завершить операцию поскольку эта папка или файл открыты в другой программе, или же если захожу через удаление программ пишет: неудалось получить доступ к службе установщика Windows installer, возможно неустановлен Windows installer. В списке служб он отсутствует. как его туда вернуть? ведь раньше он там был. Пыталась скачать и установить выдаёт ошибку что то типа несоответствует параметрам Windows 7. Прошу Вас помогите мне ещё разочек! Зарание спасибо Вам!!!

Есть несколько способов решения проблемы, скорее всего подойдёт первый и второй с этой страницы: https://support.microsoft.com/ru-ru/kb/2642495.

Также есть смысл проверить систему на вирусы с помощью стороннего антивируса, например, Dr.Web CureIt (работает без установки).