Como parar o processo svchost. Se o processo svchost carregar o sistema. Como reconhecer processos suspeitos
Como resultado da instalação e configuração incorretas de alguns programas, o sistema processo svchost.exe começa a carregar BATER e o processador de um computador Windows.
Sobre o processo do sistema svchost
A abreviatura svchost é a abreviatura de “Service Host”. Este é o principal processo do sistema Windows. Ele foi implementado pela primeira vez no Windows 2000 e chegou ao Windows 10, a versão mais recente do sistema operacional Windows atualmente. Como exemplo, consideramos a operação do processo svchost no Windows 7. O processo svchost é o componente “Processo host para Serviços do Windows» (Processo de host genérico para serviços Win32).
Para que serve?
O processo svchost é um mecanismo avançado para otimizar o desempenho do PC. Desempenha funções importantes:
- economiza memória de acesso aleatório (RAM), liberando-a prontamente dos processos de outros programas cujo trabalho foi concluído;
- melhora o uso dos recursos de desempenho do processador.
Como lançar
Cada vez que você começa Processo do Windows svchost é iniciado a partir do arquivo executável svchost.exe em várias cópias. O iniciador do svchost.exe é outro processo do sistema - services.exe, um componente do Windows responsável pela operação de todos os serviços do sistema Windows.
Execute o programa svchost.exe para serviços armazenados no registro do Windows em: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
Assim, o serviço ComputerBrowser (nome do serviço do navegador) é iniciado como %SystemRoot%\system32\svchost.exe com o parâmetro -k netsvcs. Redistribuição e contabilização dos processos em execução de acordo com as informações nas entradas do registro HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost - lá, cada chave ou subchave corresponde ao nome do grupo, e o valor da chave corresponde à lista de nomes de serviços “vinculados” ao grupo.
Abra o Registro do Windows para visualizar o diretório svchost
Como funciona o processo host para serviços do Windows
Os processos svchost.exe são um dos recursos compartilhados mais importantes do sistema operacional Windows. Ele é acessado por qualquer programa que chega ao seu PC.
Cada cópia em execução do svchost.exe contém suas próprias configurações, determinadas pelas DLLs dinâmicas do sistema Windows. Esta é a base do mecanismo de otimização do uso dos recursos do processador e da RAM. Simplificando, faz o PC “voar” mesmo quando vários programas estão sendo executados simultaneamente.
Falhas neste importante “tijolo” para a “vida” do Windows - o processo svchost.exe - podem levar à inoperabilidade de todo o sistema.
Como o svchost afeta o processador e a RAM?
Parece que você pode trabalhar e não ter problemas. No entanto, o processo svchost.exe muitas vezes “finge” ser vírus e todos os tipos de aplicativos do Windows de spyware e adware.
Disfarçando vírus e trojans
O processo do sistema svchost.exe é simulado da seguinte forma. Como é sabido, esses programas maliciosos colocam seus arquivos executáveis não na pasta \Winwows\system32, mas em outra, por exemplo, Net-Worm.Win32.Welchia.a - ele é criado na mesma pasta do sistema Windows. Os programas antivírus podem isolá-lo da leitura/gravação ou até mesmo removê-lo (“worm de rede” significa “worm de rede”).
Svchost.exe (serviço host) é um arquivo e processo dos sistemas operacionais Windows. Sua função é carregar e executar serviços internos de bibliotecas de vínculo dinâmico (arquivos com extensão .dll), garantindo a funcionalidade de quase todos os componentes do sistema operacional. Falando figurativamente, svchost.exe é o fígado, os rins e os pulmões do Windows, sem os quais sua existência é impensável. Mas por que estes “órgãos vitais” às vezes criam tantos problemas para nós?
Hoje falaremos sobre o que fazer se o svchost.exe carregar o processador, impedindo que você trabalhe normalmente no seu computador.
Razões pelas quais o sistema é carregado pelo processo svchost
Como o svchost.exe lida com uma parte significativa dos serviços do sistema, pode haver vários motivos para uma carga pesada da CPU. Aqui estão os mais comuns:
- Infecção viral.
- A carga da rede é muito alta, por exemplo, com muitos vagas abertas no uTorrent.
- Erros em drivers de dispositivos (som, rede, etc.), uma vez que estes interagem estreitamente com os serviços do sistema.
- Danos aos arquivos do sistema operacional (em particular, ao próprio host do serviço e a várias bibliotecas dinâmicas).
- Erros de serviço do sistema.
- Mau funcionamento do hardware do PC.
Às vezes, isso acontece como resultado de uma ativação pirata malsucedida do Windows (nem todos os ativadores são igualmente úteis) e de programas de hacking.
Como determinar qual serviço está carregando o host de serviço
Para visualizar os serviços em execução no processo de inicialização do host, um gerenciador de tarefas integrado ou alternativo é adequado. No primeiro, as informações que nos interessam estão contidas na seção “ ProcessosWindows" Cada processo host está listado sob o nome " Nó de serviço».
O quadro verde na captura de tela mostra a lista de serviços de um processo svchost.
Como alternativa ao gerenciador de tarefas de estoque, prefiro o gratuito da Sysinternals. Nele, basta passar o cursor sobre uma linha – e todas as informações necessárias serão exibidas em uma janela pop-up.
Se houver mais de um serviço em execução no processo de carregamento do host, você terá que usar força bruta para encontrar aquele que está causando o problema:
- Abra o aplicativo " Serviços"(o botão abrir está localizado na parte inferior da guia do gerenciador de tarefas de mesmo nome).
- Desative o primeiro serviço da lista de host de serviço de carregamento: abra suas propriedades através do menu do botão direito e selecione na lista " Tipo de inicialização» « Manualmente" ou " Desabilitado».
- Reinicie o seu computador. Se o problema persistir, reinicie este serviço e desative o próximo.
Um serviço problemático foi detectado, o que vem a seguir?
Então aja de acordo com a situação. Se a falha for causada por um componente menor, por ex. Superbusca(muitas vezes cria um problema para usuários do Windows 8 e 10), basta deixá-lo desativado. Se o serviço estiver relacionado ao hardware (áudio, rede, etc.), tente atualizar ou reverter o driver do dispositivo. Se você tiver problemas com Centro de atualizaçãoWindows(frequentemente encontrado em G7s e XP), em 90% dos casos desabilitar a verificação de atualização ajuda. No entanto, recusar completamente a instalação de atualizações do sistema é uma grande falha de segurança no Windows, por isso é melhor mudar para o modo manual.
Se o svchost começou a carregar o processador após instalar atualizações, aplicativos ou drivers do Windows, ou desinstalar a origem da falha.
Em alguns casos, limpar a pasta ajuda \Windows\Pré-busca, onde são armazenados os arquivos de rastreamento do Prefetcher, um componente do sistema que acelera o carregamento do sistema e dos programas.
Como descarregar a rede
Muito congestionamento de rede, erros de driver de rede, falhas de aplicativos que utilizam a Internet, vírus de rede (worms) tornam-se a fonte do problema, talvez em metade dos casos. Para verificar esta versão, desative o adaptador de rede no Gerenciador de Dispositivos e reinicie o PC. Se a carga do processador voltou ao normal, a causa foi encontrada, só falta encontrar o culpado.
O seguinte ajuda a reduzir a carga do processador nos componentes da rede:
- redução do número de downloads e distribuições simultâneas de torrents;
- proibir o acesso à Internet para programas para os quais isso não seja necessário (especialmente se houver muitos);
- desligar programas de rede quando não estiverem em uso;
- limpeza de pastas temporárias (temp) – elas podem conter arquivos baixados de forma incompleta que os aplicativos de download estão tentando baixar até o fim;
- verificação antivírus em busca de worms de rede;
Outra “doença” atormentou o Windows 7 por muito tempo. Com ele, a carga da CPU do processo svchost chegava a 100% e diminuía apenas quando a rede era desligada. A razão está na “reprodução” descontrolada de adaptadores de túnel virtual Microsoft 6to4, dos quais às vezes foram criadas várias centenas.
Para verificar se este é o seu caso, abra o gerenciador de dispositivos, vá até a seção " Visualizar"e marque a caixa" Mostrar dispositivos ocultos" Em seguida, expanda a lista de adaptadores de rede. Todos os clones do “Microsoft 6to4”, se houver, estão localizados lá.
Para resolver o problema, basta excluir as cópias extras dos adaptadores virtuais. Isso pode ser feito manualmente, um de cada vez, ou automaticamente – tudo de uma vez. Para a remoção automática, você precisará de um utilitário de console, que está disponível para download no site MSDN da Microsoft.
Após descompactar o devcon em seu disco rígido, execute a linha de comando como administrador e siga as instruções C:\devcon.exe remover *6to4*(em vez de C:\, especifique seu caminho para devcon.exe). Para evitar que isso aconteça novamente, atualize seu sistema operacional.
Hoje, o problema dos adaptadores 6to4 já foi corrigido pelos desenvolvedores e ocorre apenas em quem não instala atualizações do Windows.
E se for um vírus? Como distinguir um svchost malicioso de um normal
O malware pode:
- Crie uma cópia sua em seu disco rígido com o nome svchost.exe, que estará localizada em qualquer lugar, exceto no diretório \Windows\System32, pois contém um arquivo de sistema com o mesmo nome. Ou seja, disfarçar-se de processo do sistema.
- Injete suas bibliotecas dinâmicas em um dos processos host legítimos.
- Modifique (corrija) o arquivo de sistema svchost.exe colocando seu próprio código executável em seu corpo.
Alguns usuários têm medo do que consideram ser muitos processos de host em execução. Na verdade, este indicador não significa nada de ruim. O número de processos svchost em um sistema operacional normal é de 8 a 9 ou mais. Cada um deles executa um ou mais serviços – isso pode ser visto no gerenciador de tarefas. Os serviços são divididos em grupos dependendo do nível de acesso aos recursos de que necessitam, pelo que existem vários processos.
A maioria dos processos de host normais são executados em nome do sistema, do serviço de rede e do serviço local. Antes do lançamento do Windows 8, qualquer serviço host iniciado em nome do usuário era automaticamente reconhecido como vírus, mas agora isso só é verdade para o Windows 7 e seus antecessores. No G8 e no 10, um host de serviço trabalhando em nome do usuário é a norma.
O fato de o processo host estar em execução ou sendo usado por um vírus é indicado por pelo menos um dos seguintes sinais:
- O arquivo do processo host NÃO está na pasta \Windows\System32.
- O processo está executando um serviço desconhecido ou possui uma biblioteca que não é do sistema (.dll) carregada nele.
- No Windows XP-7, o processo host está sendo executado em nome do usuário e no Windows 8-10 há mais de um processo host em nome do usuário.
- O processo pai de um host de serviço normal é sempre o aplicativo Services.exe. Quando infectado por um vírus, tudo pode acontecer.
As capturas de tela mostram ProcessoExplorador, executando como administrador. Para visualizar a lista de .dlls carregados no host de serviço, selecione o último com um clique do mouse e pressione Ctrl+D no teclado. Para descobrir seu processo pai, clique no botão " Propriedades" no painel superior do programa e abra a aba " Imagem».
O que fazer se svchost.exe estiver infectado por um vírus
É importante descobrir onde exatamente a infecção está escondida: no próprio arquivo de sistema svchost.exe ou naquele que o utiliza. Se um arquivo de sistema estiver infectado, não o exclua em hipótese alguma, mas substitua-o por um limpo, retirando-o de uma cópia semelhante do Windows (para isso será necessário inicializar o computador a partir de outra mídia). Bibliotecas maliciosas, pelo contrário, devem ser completamente removidas.
Como verificar se há erros nos arquivos do sistema
A maioria das bibliotecas dinâmicas das quais o host de serviço carrega serviços são arquivos do próprio Windows, uma parte menor são componentes de drivers de dispositivos. O utilitário do console sfc.exe pode ajudar a corrigir erros de arquivos do sistema.
Execute a linha de comando como administrador e siga as instruções sfc/digitalizar agora. A opção /scannow significa: “verificar e substituir imediatamente todos os arquivos corrompidos da cópia em cache”.
Os resultados serão mostrados após a conclusão do teste na mesma janela.
O que fazer se nada ajudar
Em casos muito raros, 100% da carga da CPU em svchost.exe não pode ser eliminada mesmo com a reinstalação do Windows. Os culpados em tais situações são drivers defeituosos ou até mesmo os próprios dispositivos - adaptadores de rede, codecs de áudio, RAM (os erros deste último às vezes se manifestam de maneiras muito bizarras) ou qualquer outra coisa. Houve casos em que o problema foi resolvido pelo computador.
Se a suspeita recair sobre o hardware, primeiro tente reinstalar completamente todos os drivers usando versões estáveis conhecidas. Verifique os dispositivos desligando-os um por um - na BIOS ou, se possível, fisicamente. Se você encontrar a origem do problema, substitua ou repare a unidade com problema.
Também no site:
O funcionamento do sistema operacional Windows é um processo complexo que só é possível com o bom funcionamento de todos os componentes do software. O MacOS não é menos complexo, mas nele os usuários não têm a capacidade de monitorar os processos do sistema. No Windows, você pode visualizar todos os arquivos executáveis no Gerenciador de Tarefas, e alguns deles podem assustar usuários inexperientes. Um excelente exemplo de arquivo que está causando preocupação é o svchost.exe. Muitas vezes, no Windows, svchost.exe carrega memória ou CPU e há a sensação de que é um vírus. Isso é realmente verdade? Vamos descobrir.
Svchost.exe: o que é esse processo, quais funções ele possui e por que é necessário?
Há uma base para a crença generalizada de que svchost.exe é um vírus, mas na realidade, na maioria das vezes, esse processo não representa nenhuma ameaça. Se você entende as responsabilidades funcionais atribuídas a este arquivo, é necessário conectar DLLs dinâmicas para programas e serviços que não podem funcionar sem elas. Cada programa usa seu próprio arquivo svchost, que pode estar localizado em diferentes pastas do sistema operacional Windows. 
Na maioria das vezes, o arquivo svchost.exe pode ser encontrado nos seguintes endereços:
- C:\WINDOWS\system32
- C:\WINDOWS\Pré-busca
- C:\WINDOWS\winsxs\amd64_microsoft-window
- C:\WINDOWS\ServicePackFiles\i386
Se o arquivo svchost.exe estiver localizado em outras pastas, esse é um motivo para soar o alarme, mas está longe de ser uma indicação de que se trata de um vírus. Esta regra também se aplica em direção reversa, mesmo que svchost.exe esteja localizado em uma das pastas acima, pode ser um software antivírus.
Determine em qual pasta os ativos estão localizados no momento Os processos svchost.exe são muito simples. Para fazer isso, siga estas etapas:
Nos sistemas operacionais Windows 8 e Windows 10, você pode visualizar a lista de serviços que usam o processo svchost.exe por meio do Gerenciador de Tarefas. Isso é fácil de fazer - você precisa clicar com o botão direito no processo suspeito e selecionar “Ir para serviços”. É importante notar que é improvável que os nomes de muitos serviços digam alguma coisa ao usuário médio de computador.
O processo svchost.exe pode não ser um vírus e, se carregar o sistema, dois cenários devem ser considerados aqui:
- O computador está infectado com um vírus que envia spam, explora criptomoedas para seus criadores ou transfere outros dados para invasores;
- Por desatenção, o usuário não percebe que o processo malicioso está apenas escondido sob o disfarce da biblioteca do sistema svchost.exe, mas na verdade não é um deles.
Se o seu computador estiver infectado por um vírus e, por causa disso, o processo svchost.exe carregar o Windows 10 ou uma versão anterior do sistema operacional, você deverá verificar o seu computador com antivírus populares. Certifique-se de instalar um Firewall, que garantirá a segurança da rede do seu computador.
No segundo caso, você deve reconhecer o arquivo malicioso svchost.exe, que não é o caso, e excluí-lo.
Como distinguir o vírus svchost.exe de um arquivo de sistema
Se o processo svchost.exe estiver consumindo memória ou CPU, você deve certificar-se de que o arquivo ao qual ele faz referência é válido. Para fazer isso, verifique cuidadosamente o nome do processo em execução. Abaixo apresentamos vários truques de invasores que substituem o processo svchost.exe por outro, mas de nome semelhante. Os seguintes esquemas são usados com mais frequência para disfarçar o vírus:
Listadas acima estão apenas as opções mais comuns para mascarar o vírus, mas pode haver outras. Certifique-se de que o processo se chama svchost.exe e que todas as letras estão escritas em letras latinas.
Se você encontrar um processo que se disfarça como svchost.exe, mas não é um, você deve excluí-lo. Isso é muito fácil de fazer se você usar o programa AVZ.
Como remover svchost.exe usando o programa AVZ
O conhecido utilitário antivírus AVZ é capaz de detectar e remover programas indesejados, incluindo vírus. É gratuito e possui muitos recursos úteis. A vantagem do programa AVZ é que ele não precisa ser instalado na unidade do sistema. AVZ pode ser iniciado a partir de uma unidade flash, externa disco rígido ou diretamente do arquivo baixado.
Para remover o arquivo svchost.exe usando o utilitário AVZ, você deve executar as seguintes etapas:
comece SearchRootkit (verdadeiro, verdadeiro); SetAVZGuardStatus(Verdadeiro);
QuarantineFile("caminho para o vírus ","");
DeleteFile("caminho para o vírus");
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard("TSW",2,3,verdadeiro);
BC_Ativar;
Reinicialize o Windows (verdadeiro);
fim.
svchost.exe permite economizar recursos do computador porque você não precisa executar fisicamente o arquivo executável ao usar o serviço. Portanto, o número de processos que carregam a RAM e a memória virtual do PC é reduzido. É por isso que vários serviços com o mesmo nome são exibidos simultaneamente no Gerenciador de Tarefas.
Além disso, o arquivo svchost.exe é iniciado automaticamente quando o Windows é iniciado, independentemente de quais programas estão “travados” no arquivo . Portanto, desabilitar completamente serviços e aplicativos desnecessários não afetará seu carregamento.
Razões para baixar recursos
Muitas vezes, os usuários percebem que um processo carrega um dos recursos (processador ou RAM) do dispositivo, independentemente de os programas estarem em execução ou não. Existem várias razões para isso.
Vírus
O principal motivo é o malware que entrou no computador e “se disfarça” como o arquivo svchost.exe. Classifique os processos no Gerenciador de Tarefas por nome e veja em nome de quem esses serviços estão sendo executados. Se isso for feito em nome de uma conta de usuário (sua conta), então esses são os “truques” do vírus. Se a coluna “Nome de usuário” indicar: Serviço Local, Serviço de Rede ou Sistema, tal arquivo é seguro.
Se você acha que descobriu um vírus, clique com o botão direito no processo → Abrir local do arquivo. Desta forma, você determinará a localização do malware e verificará através do portal VirusTotal.com. Mas é melhor verificar imediatamente o sistema usando Dr.Web CureIt ou Malwarebytes Anti-Malware. O fato é que excluir um arquivo executável não ajudará a se livrar do vírus, pois provavelmente existem fragmentos auxiliares no computador que irão restaurá-lo após uma reinicialização ou simplesmente impedir que ele seja excluído.
Baixando atualizações
Como na maioria dos casos o usuário não altera as configurações do sistema operacional, o Windows está configurado para baixar atualizações automaticamente por padrão. Esta também é “responsabilidade” do svchost.exe. Para desativar o download de atualizações:
Programas problemáticos
Esse motivo é típico daqueles usuários que instalam uma grande quantidade de programas e aplicativos em seus computadores e não os monitoram. Para identificar software desnecessário, instale o Process Explorer em seu PC. Isso o ajudará a determinar quais programas estão consumindo recursos do dispositivo, mas você não os está usando.
Outra vantagem do Process Explorer é que ele funciona em estreita colaboração com o serviço de verificação de arquivos em busca de malware - VirusTotal, ajudando a distinguir os serviços do sistema dos vírus.
Para verificar um arquivo, selecione-o na janela do programa → Opções → VirusTotal.com → Verificar VirusTotal.com.
Usando µTorrent
Freqüentemente, o programa µTorrent carrega recursos do computador ao baixar arquivos. Para reduzir a carga da CPU: Como reconhecer um vírus?
É fácil reconhecer um vírus que se disfarça como arquivo svchost.exe. Ele é executado na conta do usuário ou em qualquer outro processo, exceto Serviço Local, Serviço de Rede ou Sistema.
Mais um traço característico– “erros” no título. Processos chamados svhost, svchosts ou outros são malwares que precisam ser removidos.
"Limpando" o sistema
Se você encontrar um vírus em seu computador disfarçado de arquivo svchost.exe, execute uma verificação detalhada do sistema com o software antivírus instalado.
Importante! Certamente digitalizar com software instalado não trará resultados.
Mas é melhor usar utilitários especiais de empresas conhecidas: Dr.Web CureIt, Malwarebytes Anti-Malware ou Kaspersky Rescue Disc. Eles identificarão e neutralizarão malware.
Vídeo
Você aprenderá mais sobre o processo svchost.exe no vídeo.
Abaixo está uma lista dos motivos mais comuns pelos quais svchost.exe cria carga de CPU. Primeiro, veremos qual é o objetivo desse processo em geral e, em seguida, veremos métodos para resolver o problema em casos específicos.
O que é svchost e pode ser removido?
Este processo é um dos principais do Windows. Ele ajuda os programas instalados em seu computador a serem executados e foi projetado para reduzir o consumo de recursos. Você não pode excluir este arquivo do sistema (isso não se aplica a vírus disfarçados, mas mais sobre eles abaixo).Se houver muitos programas, o número de processos em execução com esse nome poderá ser aumentado para o número necessário. Portanto, se houver vários svchost.exe no Gerenciador de Tarefas, isso é normal e ainda não é motivo para preocupação.
Possíveis causas de carga da CPU
Vírus
A primeira coisa a fazer quando se depara com um problema de uso da CPU é descobrir se há malware por trás dele.Um sinal claro de tal ameaça:
Abra o Gerenciador de Tarefas e verifique em cujo nome todos os svchost.exe estão sendo executados (para facilitar a visualização, classifique a exibição dos processos por nome).
A captura de tela mostra 3 grupos em nome dos quais um processo real e seguro é lançado:
- Sistema
- Serviço local
- Serviço de rede
Assim você saberá onde está. Agora este arquivo pode ser enviado para verificação através do virustotal.com para obter informações detalhadas sobre o tipo de ameaça.
Mas a maneira mais fácil é usar dois programas para limpar o sistema ao mesmo tempo:
- Dr.Web Cure IT (na página, primeiro clique em “Avançar” e depois em “Baixar com função de envio de estatísticas”)
A velocidade de digitalização depende do tamanho do disco rígido. Mas no caso do CureIT, é bem possível especificar para verificação apenas a partição do sistema na qual o Windows está instalado, porque quase sempre todas as pragas tentam “registrar-se” ali. Isso será suficiente.
No MBAM, basta clicar em “Iniciar verificação”, porque... A verificação de todo o sistema leva em média de 15 a 20 minutos.
Com base nos resultados da verificação, será emitido um relatório com uma lista de arquivos que o programa considera perigosos. O MBAM excluirá alguns elementos (entradas do registro) imediatamente, mas para outros poderá solicitar que você reinicie o sistema.
CureIT vai mais fundo, mas às vezes perde pontos que o MBAM limpa.
Depois de baixar e instalar o utilitário do Dr.Web, você pode permitir que ele verifique o que quiser simplesmente clicando em “Iniciar verificação”.
Para ter mais certeza de que nada escapará, você pode especificar, além dos principais locais de verificação, todo o disco onde o Windows está localizado.
Atualizações automáticas
Por padrão, o Windows tem atualizações de sistema habilitadas, o que geralmente é a causa da carga criada por svchost.exe.Pressione a combinação de teclas Win+R e digite “services.msc” na janela que se abre.
No Windows XP/Vista/7 você pode iniciá-lo assim: Iniciar -> Executar (XP) / Pesquisar (Vista/7) -> services.msc
Encontre o Center na lista de serviços Atualizações do Windows, clique duas vezes com o botão esquerdo do mouse e defina os parâmetros como na imagem abaixo.
No XP, a linha que você precisa é chamada de "Atualizações Automáticas"
Como você pode ver, este serviço usa svchost.