Содержание
На написание этой статьи меня сподвигло сразу несколько событий.
- На исследование попался компьютер с вредоносами, маскирующимися под этот процесс – svchost.exe.
- На другом компьютере система дико тормозила из-за того, что svchost.exe потреблял очень много памяти (практически всю доступную), суммарное потребление памяти доходило до 96%, куча приложений выгружалась в подкачку – представляете тупняки системы?
Будем последовательны
Что такое svchost.exe
Данный процесс является основным процессом для запуска различных служб системы Windows. Помните раздел “Службы”? Там и служба сети и обозреватель компьютеров и служба обновлений и ещё добрых несколько десятков сервисов. Большая часть из них должна быть представлена в системе через процесс как раз svchost.exe.
Почему в системе несколько процессов svchost.exe
Как раз потому, что одновременно функционирует множество служб.
Если процессы не отображаются, в диспетчере задач нажмите кнопку “Отображать процессы всех пользователей“, т.к. все эти процессы работают от имени других пользователей (например “NT_AUTHORITY\система“). И также обратите внимание на командную строку, с которой запущен процесс – там есть полный путь. Если там что-то отличное от \Windows\System32\svchost.exe – это повод уделить больше внимания такому процессу, т.к. под этот процесс часто маскируется различное вредоносное программное обеспечение.
P.S. Если вам не видно столбец “командная строка” или иной, нажмите в меню “Вид -> Выбрать столбцы” и отметьте нужные галочки напротив имён столбцов.
svchost.exe вирус или нет?
Давайте сделаем так, вот ниже будет ряд вопросов – если вы ответили “нет” на какие-либо из них, тогда стоит обратить пристальное внимание. И чем больше таких ответов, тем более пристальное внимание нужно уделить.
- Вы можете запустить диспетчер задач и перейти на вкладку “Процессы”?
- Вы видите несколько процессов svchost.exe при отображении процессов всех пользователей?
- Имена всех этих процессов выглядят одинаково (именно “svchost.exe” без всяких “0” вместо “o” и т.д.)?
- Параметры запуска у них схожи? “-k LocalService” или что-то типа такого…
- Все процессы запущены из одного каталога? “\Windows\system32\” по умолчанию.
- Все процессы svchost.exe запущены от системных учётных записей?
Конечно, это не все возможные случаи, но большинство троянцев таким образом отсеять можно. Идём дальше.
svchost.exe грузит процессор или память
Вот это очень распространённая проблема. И ход действий здесь весьма интересен.
- Нужно определить имя службы, которая потребляет системные ресурсы.
Итак, пойдём по шагам. Для Windows 7 нужно отобразить процесс “ИД Процесса” или “pID” – отобразит в диспетчере задач идентификатор процесса, чтобы можно было однозначно идентифицировать и отличать один svchost.exe от другого.
Для Windows 8, например, в диспетчере все процессы уже сгруппированы по PID-ам.
Процессы сгруппированы по PID - Запоминаем PID и для Windows 7 переходим на вкладку “Службы”.
Службы по PID процессов Там упорядочиваем по PID и ищем наш злополучный PID, изучаем список служб…
- Если служба вам не нужна – её можно смело отключить. Если нужна – попробовать настроить.
Извечный вопрос “Какие службы нужны, а какие можно смело отключить?” – В Интернете миллион инструкций, мой ответ – если вы твёрдо уверены, что это вам не надо – остановите, поработайте. Запишите, что отключили. Все конфигурации различные, кто-то работает без сети вообще – может отключить многое. Кто-то без принтера, поиска файлов, оформления – отключает другое.
Лично по своему опыту – компьютер задышал посвободнее, когда я отключил службу обновления, брандмауэр, защитник Windows (т.к. использую стороннее антивирусное решение), службу индексирования и темы. Также можно безопасно отключить и другие, но лучше почитайте соответствующие мануалы. Список служб ведь не такой большой – нужно смотреть только те, которые относятся к данному процессу, который потребляет много ресурсов. - PROFIT. И всё.
Практика показала, что такая оптимизация достаточно эффективна. Ну а некоторые службы можно не отключать, а перевести на ручной запуск.
Comments: