Процесс svchost.exe и системные службы, связанные с ним.
Что такое процесс svchost.exe?
Параметры вызова исполняемого файла svchost.exe для конкретных системных служб определяются значениями в ключе реестра
Параметр ImagePath задает командную строку для данной службы или группы служб. Имя библиотеки, которая используется для данной службы, определяется параметром ServiceDll подраздела Parameters
Перечень всех служб, запускаемых с использованием svchost.exe и их объединение в группы определяется содержимым ключа реестра
Так, например, в группу DcomLaunch входят 3 службы:
Каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов, относящихся к группе.
Как определить системную службу, связанную с конкретным процессом svchost.exe.
В данном примере, процесс svchost.exe потребляет 50% ресурсов процессора. Это ненормально, и внешне может проявляться в виде снижения общей производительности, подвисаний (лагов), скачкообразного перемещения указателя мыши и т.п. Поскольку системные процессы имеют более высокий приоритет по сравнению с пользовательскими, они и потребляют ресурсы системы в первую очередь, что снижает реальную производительность программ, выполняемых в контексте учетных записей пользователей.
Использование утилиты командной строки tasklist.exe
Для получения списка выполняющихся служб в любой версии Windows можно использовать команду:
Пример отображаемой информации:
Пример отображаемой информации:
В графическом интерфейсе пользователя, сведения о службе можно получить с использованием оснастки “Службы” консоли управления Microsoft (комбинация клавиш Win+R и выполнить services.msc ), или через меню Панель управления – Администрирование – Службы
Использование Диспетчера задач Windows ( taskmgr.exe )
Стандартные диспетчеры задач отличаются по своим возможностям в зависимости от версии Windows. Так, например диспетчер задач Windows XP не имеет собственных средств по сопоставлению имени процесса с именем системной службы, а диспетчер задач Windows 10 позволяет это сделать с использованием контекстного меню, вызываемого правой кнопкой мышки:
При выборе пункта Перейти к службам откроется окно со списком служб, в котором будут подсвечены службы, связанные с выбранным процессом svchost.exe
При необходимости, можно нажать на ссылку Открыть службы в нижней части экрана, и, непосредственно из диспетчера задач, открыть список системных служб (оснастку консоли управления Windows services.msc ). Диспетчеры задач Windows Vista – Windows 8.1 менее информативны и обладают меньшей функциональностью, но также позволяют выполнять переход от выбранного процесса к связанным с ним службам.
Использование Process Explorer ( procexp.exe ) из пакета Sysinternals Suite
Остальная часть дерева отображает иерархию реально выполняющихся в Windows процессов. Так, например, приложение служб и контроллеров SERVICES.EXE обеспечивает создание, удаление, запуск и остановку служб (сервисов) операционной системы, что и отображается в списке порождаемых им процессов.
Иерархический характер дерева процессов способствует визуальному восприятию родительски-дочерних отношений каждого активного процесса. Нижняя панель дает информацию обо всех DLL, загруженных выделенным в верхней панели процессом, открытых им файлах, папках, разделах и ключах реестра.
При выборе уровня System дерева процессов в нижней панели можно получить информацию обо всех загруженных драйверах системы, их описание, версию, путь исполняемого файла, адрес в оперативной памяти, размер, Кроме того, можно проверить цифровую подпись, а также просмотреть строковые значения в самом исполняемом файле или в оперативной памяти.
При просмотре свойств любого процесса, можно получить очень подробную информацию о ресурсах системы, используемых данным процессом, включая память, процессор, систему ввода-вывода, графическую подсистему и сетевые соединения.
Использование Process Explorer позволяет легко определить дополнительные признаки, которые могут принадлежать вредоносной программе, замаскированной под легальный процесс:
— отсутствует информация о производителе программного обеспечения. В редких случаях это не является настораживающим признаком, но подавляющее большинство разработчиков современного ПО такую информацию предоставляют.
— исполняемый файл находится в \WINDOWS или \WINDOWS\SYSTEM32, но дата его создания значительно отличается от даты создания остальных системных файлов и приблизительно соответствует предполагаемой дате заражения. Тоже довольно редко встречающийся прием вирусного заражения по той же причине, которая приведена в предыдущем пункте.
Одним из приемов диагностики вирусного заражения или причин непомерного потребления системных ресурсов является поочередное принудительное их завершение и анализ состояния системы после него. Вместо принудительного завершения можно использовать последовательное изменение приоритетов процессов на минимальное значение. Если после завершения процесса или снижения его приоритета состояние системы стало нормальным (нет ”подвисаний”, лишнего трафика, роста температуры процессора или видеокарты и т.п.), это явно указывает на необходимость пристального внимания к параметрам процесса, его легальности или принадлежности к вредоносному ПО.
Утилита Process Explorer бесплатна, удобна в использовании, может применяться в переносимом варианте и много лет является одним из наиболее популярных инструментов системных администраторов Windows.
Дополнение к статье:
Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»
Здравствуйте. При запуске устранение неполадок, устранение неполадок с помощью центра обновления виндовс выдает: 1.
Обнаружена потенциальная ошибка базы данных Центра обновления Windows 0x80070490
Компоненты Центра обновления Windows необходимо восстановить
Далее утилита все исправляет, написано: «исправлено». Центр обновлений перенастраивается, но ПРИ ПОВТОРНОМ ЗАПУСКЕ диагностического пакета НАХОДЯТСЯ СНОВА ТЕ САМЫЕ ОШИБКИ. P.S центр обновлений на мой взгляд работает нормально! Но эти ошибки настораживают.
Что было проведено:
1.Проверка на вирусы. ( разными АВ сканерами т.к использую встроенный антивирус виндовс ).
Подозрительные ( на мой взгляд ) записи журнала событий:
Следующие драйверы загрузки или запуска системы не загружены:
Система Windows обнаружила, что файл реестра все еще используется другими приложениями или службами. Файл будет выгружен, после чего приложения или службы, которые его используют, могут начать работать неправильно. Действий от пользователя не требуется.
46 user registry handles leaked from \Registry\User\S-1-5-21-3530777044-708743423-3923009836-1001:
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001
Process 680 (\Device\HarddiskVolume4\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001
Process 680 (\Device\HarddiskVolume4\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001
Process 680 (\Device\HarddiskVolume4\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001
Process 680 (\Device\HarddiskVolume4\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\Root
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\Root
Process 680 (\Device\HarddiskVolume4\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\Root
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\Disallowed
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\Disallowed
Process 680 (\Device\HarddiskVolume4\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\Disallowed
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\SmartCardRoot
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\SmartCardRoot
Process 680 (\Device\HarddiskVolume4\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\SmartCardRoot
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\trust
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\trust
Process 680 (\Device\HarddiskVolume4\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\trust
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\MY
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\TrustedPeople
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\TrustedPeople
Process 680 (\Device\HarddiskVolume4\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\TrustedPeople
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\CA
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\CA
Process 680 (\Device\HarddiskVolume4\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\SystemCertificates\CA
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Policies\Microsoft\SystemCertificates
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Policies\Microsoft\SystemCertificates
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Policies\Microsoft\SystemCertificates
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Policies\Microsoft\SystemCertificates
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Policies\Microsoft\SystemCertificates
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Policies\Microsoft\SystemCertificates
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Policies\Microsoft\SystemCertificates
Process 716 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Policies\Microsoft\SystemCertificates
Process 680 (\Device\HarddiskVolume4\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Policies\Microsoft\SystemCertificates
Process 680 (\Device\HarddiskVolume4\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Policies\Microsoft\SystemCertificates
Process 680 (\Device\HarddiskVolume4\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Policies\Microsoft\SystemCertificates
Process 680 (\Device\HarddiskVolume4\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Policies\Microsoft\SystemCertificates
Process 76 (\Device\HarddiskVolume4\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3530777044-708743423-3923009836-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
Пытался «прочитать» WindowsUpdate.log, но не разобрался как понять содержимое, на всякий случай приложу этот лог.
Что это баг встроенного диагностического пакета или что? Какие действия еще можно предпринять? Кроме переустановки системы, т.к она была сделана недавно и уже установлено и настроено много программ. Жду ответа, спасибо.
Предупреждение 28.10.2010 7:24:44 User Profile Service 1530 Отсутствует
Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.
Прошу вас помочь в решении этой проблемы! или скажите куда обратиться?
Ответы
Это сообщение скорее всего результат того что приложение было убито ОС, например при перезагрузке. Приложение может быть убито ОС если оно само не желает выключаться. Т.е. данное сообщение скорее всего не причина долгой перезагрузки, но возможно следствие.
В зависимости от того какие сервисы запущены на компьютере и используются ли они по сети минута-другая может быть и весьма коротким интервалом.
Я бы посоветовал произвести ревизию запущенных процессов и сервисов которые не используются по умолчанию. Возможно один из них создает замедление при выключении.
Если подобное поведение началось недавно то так же можно выполнить откат.
This posting is provided «AS IS» with no warranties, and confers no rights.
Все ответы
Похоже, какая-то программа работает некорректно.
вот опять,после перезагрузки ОС в журнале событий-события управления, снова запись такая-
Предупреждение 31.10.2010 14:54:48 User Profile Service 1530 Отсутствует
Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.
Прошу не пинать сразу, но возможно это описывали. В поиске я не нашел, как в гугле, так и на пикабу. Знаю не мало случаев, когда из-за проблем с злополучным процессом, люди не найдя точного пошагового решения сносили свою систему, и любимые программы в целях заполучить чистый, без косяков windows 7. Я и сам работая настройщиком, не раз сталкивался с данной ситуацией, когда в диспетчере svhost.exe бушует под сотку жируя драгоценной озухой. В интернете поиски мне предлагали проверить hosts файл, проверить систему различными антивирусами, перепроверить последние установленные программы. Но в большинстве случаев, это оказывалось бессмысленной тратой времени. Так вот. Долгими поисками злополучной службы грузящей систему оказалось
Служба обновления windows.
То есть, люди отрубившие обновление винды через панель управления, заблокировали доступ системе к самообновлению, что в логичность итоге должно было отрубить данную службу в параметрах системы, но увы нет. Она остаётся включенной, и усердно пытается найти обновления несмотря на указания оболочки.
Говоря проще: Если у вас грузит свхост Вы попробовали все (что пробовал я) в интернете и вам не помогло Если вам не необходимы обновления, и вас все устраивает Если вы отрубили обновления системы в центре обновления То: Идём в win+r msconfig службы, и отрубаем службу обновления windows. После перезагрузки все будет ОК
P/s грамматика не мое
Найдены дубликаты
Как было написано на каком-то сайте.
Svchost начинает грузить потому, что в винде косяк и если за раз доступно очень много обновлений, то служба виснет и начинает грузить.
Качал вот эти 3 обновления, после чего служба обновлений переставала виснуть и нормально работала
не раз и не на одной системе замечал что служба обновлений начинает пздц как много жрать если система очень долго стоит без обновлений, так как не однократно после установки всё тех же дистрибутивов что и раньше при нормальном обновлении нифига почти не жрет.
У меня был образ оригинальной 7 где-то через пол года как она там вышла все дела
Раньше при переустановке все было ок, может года 1.5-2 назад столкнулся вот с этой проблемой что после переустановки начал виснуть svchost, но как же так, вирусни нет и образу лет 6-7, в котором я уверен на 146%
Окно с обновлениями тупо не открывало, даже после часиков 3-4 оно таки и не родило
После установки этих 3 заплаток центр обновления нормально работает
ну это да, после установления обновлений центр работает нормально, но если перестать обновляться то через пол года опять начнет жрать.
Также файл подкачки может под тем же именем грузить систему. Через монитор ресурсов лучше смотреть, что именно грузит и отключать ненужное
файл подкачки озу под 2гб не грузит (по крайней мере я ни разу не встречал)
Я согласен, есть способы установить обновление. Но я предложил альтернативу, которая устроит простотой пользователя, которому возможно это покажется более простым вариантом решения проблемы.
Представьте себе, что вы настройщик, и пришли по вызову семьи, которые не могут спокойно сидеть в ВК, из-за данной проблемы.
У вас три выхода: 1) развести людей на переустановки системы 2) установить обновления, искореняющие данный баг 3) отключить службу
В моем случае, я использую последний метод
а еще это может быть процесс Superfetch или еще какие субпроцессы
тогда уж вместо того, чтобы зхаставлять людей вырубать winupdate, рассказал, как искать мразь голодную, что жрет оперативу
ой не вариант. не вариант, каждому человеку обьяснять (особенно когда они чайники) заебешься, мой вариант сразу после установки винды обновить её и отключить службу (поставить в режим ручного запуска) или просто автообновление вырубить.
Чувак, не хотел бы я быть твоим клиентом. С такими советами тебе прямой путь на Ответы Мэйл Ру.
Если вам не необходимы обновления, и вас все устраивает
а потом отправляешь 300$ в биткоинах всем подряд)
Я решил подобные проблемы переходом на линукс, теперь проблемы стали еще больше
а нажать правой кнопкой по процессу и далее «Перейти к службам» и отрубить запущенную этим процессом службу никак нельзя догадаться?
Шел 2017 год, а в windows так и не завезли нормальной системы обновлений.
Наоборот, ставишь чистую винду. раз 5 апдейт-перезагрузка и у тебя шикарнейшая проапдейченая винда. А отрубать обновление винды это полнейший бред. имхо такие советы дают ботоводы и прочие ваннакраеписатели которые еще всякого говна пропихнуть пытаются людям.
Мне что не звонят то минимум часик провозиться и систему от мусора вычестить, а уж переустановка системы часа 2 минимум.
