Svchost запускается от имени пользователя Windows 10
Обновлено: 21.11.2024
Я в невыгодном положении, поскольку у меня нет постоянного доступа к рассматриваемому ноутбуку с Win10. Могу описать по памяти.
Микрофон ноутбука автоматически отключается. Погуглил и научился искать процесс svchost.exe, работающий под именем пользователя - и есть, и есть. Зашел в сервисы работающие по плохому svchost PID а их там четыре и я тут корю себя - название сервиса не помню, но он показался "необычным".
Таким образом, svchost, работающий под именем пользователя ПК, вызывает подозрения. Я запускал вредоносные байты (с включенным руткитом), SuperAntispyware, AVG, и они его не обнаружили — он все еще работал после сканирования/лечения и перезапуска. Существует связанный scvhost.exe в . папка \system32. его процесс нельзя убить, он просто перезапускается. Я не удалял этот svchost в безопасном режиме и не выполнял никаких действий с помощью regedit, но хотел бы услышать мнение более опытных людей на этом форуме. Мне интересно, достаточно ли я предоставил здесь информации, если нет, я могу попытаться получить то, что нужно, но у меня нет постоянного доступа к ноутбуку.
Я слышал, что могу зайти в system32 и удалить svchost.exe, а затем зайти в реестр и удалить его следы. Но так ли это «безопасно»? Почему сканеры его не видят?
Файл журнала Trend Micro HijackThis версии 2.0.5
Сканирование сохранено в 10:53:01 3 марта 2017 г.
Платформа: Неизвестная Windows (WinNT 6.02.1008)
MSIE : Internet Explorer версии 11.0 (11.00.14393.0000)
FIREFOX: 51.0.1 (x86 en-US)
Режим загрузки: Обычный
Запущенные процессы:
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
C:\Users\xxxx\AppData\Local\Microsoft\OneDrive\OneDrive.exe
>C:\Program Files (x86)\AVG\Framework\Common\avguix.exe
C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe
C:\Program Files ( x86)\Dell Update\DellUpTray.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\Skype\Browser\SkypeBrowserHost.exe < br />C:\Users\xxxx\Desktop\HijackThis.exe
--
Конец файла - 11239 байт
Перенесено из раздела Я заражен из-за журнала HJT
Отредактировано NickAu, 3 марта 2017 г., 20:46.
Редактировать мод
Узел служб (svchost.exe) — это общий процесс службы, который служит оболочкой для загрузки служб из файлов DLL. Службы организованы в связанные группы узлов, и каждая группа работает внутри отдельного экземпляра процесса узла служб. Таким образом, проблема в одном экземпляре не влияет на другие экземпляры. Группы узлов службы определяются путем объединения служб с соответствующими требованиями безопасности. Например:
- Местная служба
- Локальная служба без сети
- Местная сервисная сеть ограничена
- Локальная система
- Локальная системная сеть ограничена
- Сетевая служба
Разделение служб SvcHost
Начиная с Windows 10 Creators Update (версия 1703) службы, которые ранее были сгруппированы, будут разделены — каждая из них будет работать в своем собственном процессе SvcHost. Это изменение вступает в силу автоматически для систем с объемом оперативной памяти более 3,5 ГБ, на которых установлен SKU Client Desktop. В системах с 3,5 ГБ ОЗУ или меньше мы продолжим группировать службы в общий процесс SvcHost.
Преимущества этого изменения дизайна включают:
- Повышение надежности за счет изоляции критически важных сетевых служб от сбоя другой несетевой службы на узле и добавления возможности беспрепятственно восстанавливать сетевое подключение при сбое сетевых компонентов.
- Снижение затрат на поддержку за счет устранения накладных расходов на устранение неполадок, связанных с изоляцией некорректно работающих служб на общем хосте.
- Повышение безопасности за счет дополнительной межсервисной изоляции.
- Увеличение масштабируемости за счет предоставления настроек и привилегий для каждой службы.
- Улучшенное управление ресурсами за счет управления ЦП, вводом-выводом и памятью для каждой службы, а также увеличение четких диагностических данных (отчет об использовании ЦП, ввода-вывода и сети для каждой службы).
- Чтобы увидеть сгруппированные процессы, установите ОЗУ на 3484 МБ или меньше. Перезапустите виртуальную машину и откройте диспетчер задач.
- Чтобы увидеть разделенные процессы, установите для ОЗУ значение 3486 МБ или больше. Перезапустите виртуальную машину и откройте диспетчер задач.
Рефакторинг также упрощает просмотр запущенных процессов в диспетчере задач. Вы можете заглянуть в Диспетчер задач и точно узнать, какая служба использует какие ресурсы, без необходимости расширять множество отдельных групп хостов.
Например, вот запущенные процессы, отображаемые в диспетчере задач в Windows 10 версии 1607:
Сравните это с тем же представлением запущенных процессов в Windows 10 версии 1703:
Исключения
Некоторые сервисы по-прежнему будут группироваться на компьютерах с оперативной памятью 3,5 ГБ или больше. Например, модуль базовой фильтрации (BFE) и брандмауэр Windows (Mpssvc) будут объединены в одну группу хостов, как и службы сопоставления конечных точек RPC и службы удаленного вызова процедур.
Если вам нужно определить службы, которые по-прежнему будут сгруппированы, помимо просмотра их в диспетчере задач и с помощью инструментов командной строки, вы можете найти значение SvcHostSplitDisable в соответствующих служебных ключах в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
Значение по умолчанию 1 предотвращает разделение службы.
Например, это конфигурация ключа реестра для BFE:
Объем памяти
Учтите, что разделение служб увеличивает общее количество экземпляров SvcHost, что увеличивает использование памяти. (Группировка сервисов позволила немного сократить общий ресурс задействованных сервисов.)
svchost.exe — это общий процесс службы, который позволяет многим службам Windows совместно использовать один процесс. Совместное использование одного процесса помогает Windows снизить общее использование ресурсов. Проверив свой диспетчер задач Windows, вы заметите, что под svchost.exe может работать более одной службы Windows. Чтобы увидеть дополнительные службы, работающие под svchost.exe, перейдите в диспетчер задач Windows и щелкните стрелку прямо справа от svchost.exe (хост службы). Диспетчер задач Windows позволяет легко увидеть, что все работает под svchost.exe. Щелкните правой кнопкой мыши нижнюю панель задач Windows, чтобы выбрать и открыть диспетчер задач.
Издатель: Microsoft Windows
svchost.exe означает общие процессы службы или узел службы.
Что делает svchost.exe?
svchost.exe совместно использует и организует служебные процессы в ОС Windows.
Является ли svchost.exe безопасным? 5 простых способов проверить, является ли svchost.exe безопасным или вредоносным.
Мгновенно обнаруживайте шпионские приложения на вашем ПК и блокируйте их!
Получите доступ к тому же инструменту сетевой безопасности, который специалисты по информационной безопасности используют для обнаружения подозрительных приложений с расширением .exe, пожирателей полосы пропускания и нарушителей конфиденциальности. Доверяют более 20 миллионов человек.
Почему svchost.exe обращается к сети?
О нас
Наша цель в GlassWire — помочь людям защитить свою конфиденциальность и безопасность. Мы помогли более 20 миллионам человек защитить свои устройства от угроз.
Вас интересует безопасность другого файла Windows?
Посетите наш полный каталог файлов Windows .exe.
Есть отзывы?
Есть предложения по улучшению этой страницы? Пожалуйста, дайте нам знать.
Подпишитесь на нашу рассылку новостей по безопасности в Интернете!
Узнайте, как защитить и контролировать свою сеть с помощью GlassWire.
Узнайте о новых способах защиты компьютера и телефона от сетевых угроз.
Мы гордимся тем, что являемся организационным членом Electronic Frontier Foundation.
Если вы видите, что многие элементы svchost.exe загружают ваш ЦП, вы не одиноки. Многие пользователи Windows 10 сообщают об этой проблеме. Не беда, это можно исправить. Вот 4 исправления, которые помогут вам разобраться.
Что такое svchost.exe?
Согласно Microsoft, svchost.exe это:
"общее имя хост-процесса для служб, запускаемых из библиотек динамической компоновки" .
Проще говоря, это законный процесс Windows при выполнении определенной операции Windows. Но в некоторых случаях вы можете увидеть, что процесс svchost.exe перегружает ЦП или ресурсы памяти в диспетчере задач без видимых причин.
Как это исправить?
Вот 4 решения, которые вы можете попробовать. Вам может не понадобиться пробовать их все; просто двигайтесь вниз, пока не найдете то, что вам подходит.
1. Просканируйте компьютер на наличие вирусов
Высокая загрузка ЦП или памяти службами svchost.exe может быть вызвана вирусами или вредоносными программами. Поэтому запустите антивирусную программу и проверьте ее на наличие возможных вирусов и вредоносных программ.
Если вы их найдете, удалите их или полностью удалите вирусы, чтобы проверить, устранена ли проблема.
2: Отключить определенные службы svchost.exe
Неисправные службы svchost.exe также могут быть причиной ненормально высокой загрузки ЦП на вашем ПК. Чтобы это исправить:
1) Щелкните правой кнопкой мыши панель задач в нижней части рабочего стола ПК и выберите "Диспетчер задач".
2) Нажмите «Подробнее». Щелкните правой кнопкой мыши процесс svchost.exe, использующий высокую загрузку ЦП, и выберите Перейти к службам .
3) Вы перейдете к окну с выделенными службами, работающими под управлением процесса svchost.exe.
4) Щелкните правой кнопкой мыши один из процессов и выберите Остановить, чтобы остановить его.
5) Повторяйте шаги, пока не найдете неисправный процесс.
6) Обнаружив неисправную службу, нажмите кнопку "Открыть службы" и перейдите в окно службы.
7) В качестве примера мы используем службу Windows Update. Щелкните правой кнопкой мыши Центр обновления Windows и выберите Свойства .
8) Измените Тип запуска на Disable , затем нажмите OK и перезагрузите компьютер.
9) Посмотрите, решена ли проблема.
3: Пустой журнал просмотра событий
Большие файлы журналов в средстве просмотра событий Windows могут привести к чрезмерному использованию ЦП или памяти. Чтобы это исправить, вы можете очистить журнал просмотра событий:
1) На клавиатуре одновременно нажмите клавишу с логотипом Windows и клавишу R, затем введите eventvwr и нажмите Enter.
2) В левой части панели щелкните Приложение в разделе Журналы Windows. В правой части панели нажмите «Очистить журнал…».
3) Повторите те же процедуры, чтобы очистить журналы безопасности, настройки и системы.
4) После этого перезагрузите компьютер.
4: Устранение неполадок с обновлениями Windows
Если что-то не так с настройками обновлений Windows, svchost.exe также увидит ненормальное увеличение. Чтобы это исправить:
1) На клавиатуре одновременно нажмите клавишу с логотипом Windows и R, чтобы открыть окно команды «Выполнить». Введите services.msc и нажмите Enter.
2) Щелкните правой кнопкой мыши Центр обновления Windows и выберите Остановить.
3) Перейдите в раздел Этот компьютер > Локальный диск (C:) > Windows и удалите папку SoftwareDistribution. Перезагрузите компьютер.
ПРОФЕССИОНАЛЬНЫЙ СОВЕТ
Если после того, как вы попробовали все вышеперечисленное, ваш компьютер по-прежнему загружается программами svchost.exe, пришло время обновить драйверы вашего устройства.
Если у вас нет времени, терпения или навыков работы с компьютером для обновления драйверов вручную, вы можете сделать это автоматически с помощью Driver Easy.
Driver Easy автоматически распознает вашу систему и найдет для нее подходящие драйверы. Вам не нужно точно знать, какая система работает на вашем компьютере, вам не нужно рисковать загрузкой и установкой не того драйвера, и вам не нужно беспокоиться об ошибке при установке.
Вы можете автоматически обновлять драйверы с помощью БЕСПЛАТНОЙ или профессиональной версии Driver Easy. Но с Pro-версией это займет всего 2 клика (и вы получите полную поддержку и 30-дневную гарантию возврата денег):
2) Запустите Driver Easy и нажмите кнопку «Сканировать сейчас». Затем Driver Easy просканирует ваш компьютер и обнаружит проблемные драйверы.
3) Нажмите кнопку «Обновить» рядом со всеми отмеченными устройствами, чтобы автоматически загрузить и установить правильную версию их драйверов (вы можете сделать это в БЕСПЛАТНОЙ версии).
Или нажмите «Обновить все», чтобы автоматически загрузить и установить правильную версию всех отсутствующих или устаревших драйверов в вашей системе (для этого требуется версия Pro — вам будет предложено выполнить обновление, когда вы нажмете «Обновить все»).
Читайте также: