Что такое Generic Host Process для служб Windows, который грузит процессор, и нужно ли с ним бороться?

Открыв диспетчер задач и обнаружив в его списке процессов массу записей с одинаковым содержимым — svchost — многие пользователи впадают в преждевременную панику. Обычно это происходит тогда, когда работоспособность системы находится под вопросом — все виснет, окна не реагируют, не помогает даже перезагрузка. Первым из процессов попадающим под подозрение обычно оказывается exe-шник svchost? Действительно ли хост процесс служб Windows повинен в перегрузке процессора? И если это так, то как с этим бороться?

Generic Host Process for Win32 Services, а именно так расшифровывается название рассматриваемой службы Windows, — является критически важной утилитой операционной системы. Отключить данную службу нельзя, так как в противном случае станет невозможным использование одного из важнейших инструментов Windows — разделяемых между приложениями библиотек подпрограмм — так называемых dll-библиотек. А так как вся архитектура Windows базируется на таких библиотеках, то работа с отключенным svchost.exe — абсолютно нереальна.

Проблема заключается в том, что хакеры предпочитают маскировать свои вредоносные программы под один из системных процессов и Generic Host Process — идеальный кандидат для таких манипуляций.

Система автоматически запускает не один а множество этих процессов, поэтому разобраться какой из них является «здоровым», а какой представляет собой вирус — на глаз не получится.

Где живет Generic Host Process for Win32?

Одним из самых простых способов выявить вирус данного типа является проверка места его обитания. Файлы настоящего хост-процесса не могут располагаться нигде, кроме системных папок, расположенных внутри папки установки Windows (например, C:\WINDOWS) т.е. ее подпапок. Если что-то сильно грузит систему, пройдитесь, для начала, обычным поиском по системному разделу. В случае обнаружения нашего «друга» в любой другой папке, кроме указанных, можете быть уверены — это вирус.

Имейте в виду, что обнаружение данной службы в самой папке Windows — также признак заражения. Сама операционная система практически никогда не сохраняет такие службы в этом месте (за исключением крайне редких случаев, вероятность которых не более нескольких процентов.) Так что если что-то грузит ваш компьютер — не ленитесь и используйте поиск для обнаружения паразитов, мимикрирующих под здоровые организмы.

Нужно обратить внимание еще на один нюанс. Вирус может называться не в точности так же, как и файл здорового процесса.

Название exe-шника может отличаться в одной-двух буквах. или к нему могут добавляться цифры. В нашем случае это может выглядеть так: svch0st, svchosl, svchosts32, ssvvcchhoosst и т.д. Следовательно имеет смысл использовать вместо точного, неточный поиск по образцу.

Из жизни паразита

Чем, собственно, опасен данный тип вирусов и как выглядит его паразитическая деятельность на нашем родном компьютере? Ранние версии svchost были опасны не тем, что грузили компьютер, а тем, что работа данного процесса приводила к появлению сообщения об автоматической перезагрузке компьютера. Поделать с эти ничего было нельзя: с момента появления окошка с сообщением проходило несколько десятков секунд и компьютер уходил на перезагрузку. Такой вирус особенно часто встречался в системах Windows 2000 и Windows XP. Грузил ли он в те времена систему или нет сказать затруднительно.

Более свежие версии данного вируса относятся к совершенно иной категории. Запускаясь в Windows, этот exe немедленно лезет в сеть и начинает рассылать спам чуть ли не по всему Интернету. При этом процесс сильнейшим образом грузит систему. Хотя встречаются и вполне здоровые проявления деятельности данной службы, которые, впрочем, также раздражают пользователя, как и поведение вируса-спамера. Например, закачка обновлений в фоновом режиме. Без хост-процесса и тут не обошлось, но справиться проблемой в данном случае очень просто — нужно взять и отключить автоматическое обновление, которое грузит Windows.

Рекомендации по борьбе с вирусом — самые обыкновенные. Нужно инсталлировать в Windows хороший, популярный антивирус и регулярно обновлять антивирусные базы. Обращая особое внимание на опции, ответственные за spyware. Также поможет установка файервола. Если принять все эти меры заранее, то никакой svchost к вам не проникнет. О том что он грузит систему сможете забыть.

Но что делать, если вредоносный процесс в виде exe-службы уже проник к вам в компьютер и что есть силы грузит операционку? Выполнить наши дальнейшие рекомендации.

Устраняем проблему

Если вы обнаруживаете, что данная служба exe грузит процессор, то поступайте следующим образом:

Если систему грузит не вирус, а ее замучили какие-то фоновые процессы, то:

• Зайдите в «Центр обновления» и отключите автообновление.
• Отыщите в сети один из анализаторов Generic Host Process for Win32 и попробуйте с его помощью отключить ненужные экземпляры сервиса.
• На свой страх и риск можете удалить содержимое папки \WINDOWS\system32\Tasks и удалить папку \WINDOWS\Prefetch .

Если систему грузит вирус, то:

• Находим в сети, скачиваем и устанавливаем антивирусную утилиту AVZ .
• Запускаем программу.
• В меню программы выбираем пункт «Файл -> Выполнить скрипт»
• В появившееся окно вставляем следующий текст (см. рисунок ниже):

• Жмем на кнопку «Запустить».

Программа удалит вредоносные файлы и перезагрузит многострадальную Windows. Больше ее ничто не грузит.

Что такое хост-процесс для служб Windows svchost.exe и почему он грузит процессор

У многих пользователей возникают вопросы, связанные с процессом «Хост-процесс для служб Windows» svchost.exe в диспетчере задач Windows 10, 8 и Windows 7. Некоторых смущает, что процессов с таким именем большое число, другие сталкиваются с проблемой, выраженной в том, что svchost.exe грузит процессор на 100% (особенно актуально для Windows 7), вызывая тем самым невозможность нормальной работы с компьютером или ноутбуком.

В этой подробно о том, что это за процесс, для чего он нужен и как решать возможные проблемы с ним, в частности выяснить — какая именно служба, запущенная через svchost.exe грузит процессор, и не является ли данный файл вирусом.

Svchost.exe — что это за процесс (программа)

Svchost.exe в Windows 10, 8 и Windows 7 является основным процессом для загрузки служб операционной системы Windows, хранящихся в динамических библиотеках DLL. То есть службы Windows, которые вы можете увидеть в списке служб (Win+R, ввести services.msc) загружаются «через» svchost.exe и для многих из них запускается отдельный процесс, которые вы и наблюдаете в диспетчере задач.

Службы Windows, а особенно те, за запуск которых отвечает svchost, являются необходимыми компонентами для полноценной работы операционной системы и загружаются при ее запуске (не все, но большинство из них). В частности, таким образом запускаются такие нужные вещи, как:

• Диспетчеры различных видов сетевых подключений, благодаря которым Вы имеете доступ в Интернет, в том числе и по Wi-Fi
• Службы для работы с устройствами Plug and Play и HID, позволяющие Вам пользоваться мышками, веб-камерами, USB-клавиатурой
• Службы центра обновления, защитник Windows 10 и 8 другие.

Соответственно, ответ на то, почему пунктов «Хост-процесс для служб Windows svchost.exe» много в диспетчере задач заключается в том, что системе необходимо запускать много служб, работа которых выглядит как отдельный процесс svchost.exe.

При этом, если каких-либо проблем данный процесс не вызывает, вам, вероятнее всего, не стоит каким-либо образом что-то настраивать, переживать о том, что это вирус или тем более пробовать удалить svchost.exe (при условии, что нахождение файла в C:\Windows\System32 или C:\Windows\SysWOW64, иначе, в теории, может оказаться, что это вирус, о чем будет упомянуто далее).

Что делать, если svchost.exe грузит процессор на 100%

Одна из самых распространенных проблем, связанных с svchost.exe — то, что этот процесс грузит систему на 100%. Наиболее частые причины такого поведения:

• Выполняется какая-либо стандартная процедура (если такая нагрузка не всегда) — индексация содержимого дисков (особенно сразу после установки ОС), выполнение обновления или его загрузки и подобные. В этом случае (если это проходит «само») делать обычно ничего не требуется.
• Какая-то из служб по какой-то причине работает неправильно (тут попробуем выяснить, что это за служба, см. далее). Причины неправильной работы могут быть разными — повреждения системных файлов (может помочь проверка целостности системных файлов), проблемы с драйверами (например, сетевыми) и другие.
• Проблемы с жестким диском компьютера (стоит выполнить проверку жесткого диска на ошибки).
• Реже — результат работы вредоносного ПО. Причем не обязательно сам файл svchost.exe является вирусом, могут быть варианты, когда посторонняя вредоносная программа обращается к Хост-процессу служб Windows таким образом, что вызывает нагрузку на процессор. Тут рекомендуется проверить компьютер на вирусы и использовать отдельные средства удаления вредоносных программ. Также, если проблема исчезает при чистой загрузке Windows (запуск с минимальным набором системных служб), то стоит обратить внимание на то, какие программы есть у вас в автозагрузке, возможно, влияние оказывают они.

Наиболее распространенный из указанных вариантов — неправильная работа какой-либо службы Windows 10, 8 и Windows 7. Для того, чтобы выяснить, какая именно служба вызывает такую нагрузку на процессор, удобно использовать программу Microsoft Sysinternals Process Explorer, скачать которую можно бесплатно с официального сайта https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx (представляет собой архив, который нужно распаковать и запустить из него исполняемый файл).

После запуска программы вы увидите список запущенных процессов, в том числе проблемный svchost.exe, нагружающий процессор. Если навести на процесс указатель мыши, во всплывающей подсказке появится информация о том, какие конкретно службы запущенны данным экземпляром svchost.exe.

Если это одна служба — можно попробовать отключить её (см. Какие службы можно отключить в Windows 10 и как это сделать). Если несколько — можно экспериментировать с отключением, а можно по типу служб (например, если всё это — сетевые службы) предположить возможную причину проблемы (в указанном случае это могут быть неправильно работающие сетевые драйвера, конфликты антивирусов, или же вирус, использующий ваше сетевое подключение, задействуя при этом системные службы).

Как узнать, svchost.exe — это вирус или нет

Существует некоторое количество вирусов, которые либо маскируются, либо загружаются с помощью настоящего svchost.exe. Хотя, в настоящее время они встречаются не очень часто.

Симптомы заражения могут быть различными:

• Основной и почти гарантированно говорящий о вредоносности svchost.exe — расположение этого файла вне папок system32 и SysWOW64 (чтобы узнать расположение, вы можете кликнуть правой кнопкой мыши по процессу в диспетчере задач и выбрать пункт «Открыть расположение файла». В Process Explorer посмотреть расположение можно схожим образом — правый клик и пункт меню Properties). Важно: в Windows файл svchost.exe можно обнаружить также в папках Prefetch, WinSxS, ServicePackFiles — это не вредоносный файл, но, одновременно, среди запущенных процессов файла из этих расположений быть не должно.
• Среди прочих признаков отмечают, что процесс svchost.exe никогда не запускается от имени пользователя (только от имени «Система», «LOCAL SERVICE» и «Network Service»). В Windows 10 это точно не так (Shell Experience Host, sihost.exe, запускается именно от пользователя и через svchost.exe).
• Интернет работает только после включения компьютера, потом перестает работать и страницы не открываются (причем иногда можно наблюдать активный обмен трафиком).
• Другие обычные для вирусов проявления (реклама на всех сайтах, открывается не то, что нужно, изменяются системные настройки, компьютер тормозит и т.д.)

В случае, если у Вас возникли подозрения на то, что на компьютере какой-либо вирус, имеющий к svchost.exe, рекомендую:

• С помощью ранее упоминавшейся программы Process Explorer кликнуть правой кнопкой мыши по проблемному экземпляру svchost.exe и выбрать пункт меню «Check VirusTotal» для проверки этого файла на вирусы.
• В Process Explorer посмотреть, какой процесс запускает проблемный svchost.exe (т.е. в отображаемом в программе «дереве» находится «выше» в иерархии). Проверить его на вирусы тем же способом, что был описан в предыдущем пункте, если он вызывает подозрения.
• Воспользоваться антивирусной программой для полной проверки компьютера (так как вирус может быть не в самом файле svchost, а просто использовать его).
• Посмотреть описания вирусов здесь https://threats.kaspersky.com/ru/ . Просто введите в поисковую строку «svchost.exe» и получите список вирусов, использующих этот файл в своей работе, а также описание, как именно они работают и каким образом скрываются. Хотя, наверное, это излишне.
• Если по имени файлов и задач вы способны определить их подозрительность, можно посмотреть, что именно запускается с помощью svchost с помощью командной строки, введя команду Tasklist /SVC