Процесс svchost.exe: вирус или нет?

Если вы читаете эту статью, то наверняка уже обратили внимание на системный процесс, имеющий название «svchost.exe». Причём обычно он не одинок, и компанию ему составляют ещё несколько одноимённых процессов:

В нормальной ситуации быстродействие компьютера от выполнения данного процесса не страдает, и обычные пользователи внимание на него не обращают. Совсем иначе обстоит ситуация, когда процесс начинает «пожирать» от половины до 100% ресурсов компьютера. Причем не эпизодически, а постоянно. Радикальным решением проблемы в таком случае иногда становится переустановка Windows или откат системы к тому моменту, когда она работала нормально. Эти способы не только излишни, но и не всегда помогают, поэтому сегодня мы расскажем вам о более простых решениях проблемы, когда процесс svchost.exe грузит процессор компьютера «на полную».

Что такое svchost.exe

Начнём с теории. Svchost.exe — системный процесс Windows, который отвечает за запуск различных служб на компьютере (например, Служба печати или Брандмауэр Windows). С помощью него на компьютере могут быть запущены несколько служб одновременно, что позволяет сократить потребление ресурсов компьютера этими службами. Кроме того, сам процесс может быть запущен в нескольких копиях. Именно поэтому в «Диспетчере задач» всегда запущено больше одного процесса svchost.exe.

Так из-за чего же svchost.exe может создавать высокую нагрузку на процессор и память компьютера? В сети можно встретить мнение, что процесс svchost.exe инициируется вирусом или вовсе является вирусом. Это не так. Строго говоря, некоторые вирусы и трояны могут маскироваться под него, создавая дополнительную нагрузку на ресурсы компьютера, но их довольно легко вычислить и обезвредить.

Как удалить вирус, замаскированный под процесс svchost.exe

Запустите «Диспетчер задач» (с помощью комбинации клавиш Control+Atl+Delete или из меню Пуск > Программы > Стандартные > Служебные) и откройте вкладку «Процессы». В первой колонке вы увидите названия процессов, а во второй — указание, от чьего имени он был запущен. Так вот, обратите внимание на то, что svchost.exe может запускаться только от имени пользователей LOCAL SERVICE, SYSTEM (или «система»), а также NETWORK SERVICE.

Если вы заметили, что процесс запущен от имени вашего пользователя (например, от имени User), то перед вами — вирус. Так как настоящий svchost.exe может запускаться только системными службами, то он не может находиться в «Автозагрузке» текущего пользователя Windows. Поэтому именно там мы и попробуем найти вирус, замаскированный под системный процесс svchost.exe. Попасть в Автозагрузку можно двумя способами: через стороннюю программу, например, CCleaner или стандартными средствами Windows.

Для того, чтобы попасть в Автозагрузку без установки дополнительных программ, откройте Пуск и в строке поиска программ (в Windows XP — в Пуск > Выполнить) напишите msconfig, после чего нажмите ОК. Появится окно «Конфигурация системы». Перейдите на вкладку Автозагрузка и внимательно просмотрите список программ, запускаемых при загрузке системы. Если в этом списке вы обнаружите процесс svchost.exe, то можете не сомневаться в его вирусном происхождении.

Настоящий svchost.exe может быть запущен только из папки C:\WINDOWS\system32, где «C» — диск, на котором установлена Windows. (В 64-битной операционной системе 32-битная версия svchost.exe расположена в папке C:\WINDOWS\SysWOW64, и теоретически процесс может быть запущен также из неё. Однако по умолчанию все системные процессы, включая svchost.exe, в 64-разрядных Windows запускаются из C:\WINDOWS\system32.) На скриншоте выше видно, файл расположен в папке WINDOWS, да ещё и называется «svhost.exe», а не «svchost.exe», что прямо говорит о его вирусном происхождении.

Список самых излюбленных папок для маскировки вируса выглядит примерно так:

C:\WINDOWS\svchost.exe
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\drivers\svchost.exe
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\sistem\svchost.exe
C:\WINDOWS\windows\svchost.exe
C:\Users\имя-вашего-пользователя\svchost.exe

Файл вирусного процесса может не только находится в одной из перечисленных выше папок (а не в стандартной папке, где находится настоящий svchost.exe), но и называться по-другому:

svhost.exe
svch0st.exe
svchost32.exe
svchosts.exe
syshost.exe
svchosl.exe
svchos1.exe

...И так далее, — фантазия вирусописателей не знает границ :-).

Итак, вы нашли вирус svchost.exe в Автозагрузке. Первое, что нужно сделать — отключить его автозапуск, убрав галку напротив него в столбце «Элемент автозагрузки». Теперь нужно завершить его процесс через «Диспетчер задач» (правая кнопка мыши на процессе > Завершить процесс) и удалить сам файл. Полный путь к файлу, как и на скриншоте выше, всегда указан в столбце «Команда». Вполне возможно, что файл процесса не даст себя удалить, — в этом случае попробуйте сначала перезагрузить компьютер и повторить операцию, или воспользуйтесь программой для удаления подобных, «неудаляемых» файлов Unlocker.

После этого не лишним будет также провести антивирусную проверку компьютера. Если на вашем компьютере до сих пор не установлен антивирус, рекомендуем ознакомиться с нашей статьей о выборе бесплатного антивируса.

Вирусов в системе нет, но svchost.exe всё равно «грузит» компьютер?

Вы нашли и обезвредили все вирусы в системе или убедились, что вирусов на компьютере нет, а svchost.exe по-прежнему мешает работать? Попробуйте выяснить, какая программа или служба использует данный процесс. Это легко сделать с помощью простой бесплатной программы Process Explorer. Очень часто процесс svchost.exe использует служба Windows Update, автоматически устанавливающая обновления на компьютер:

В данном случае можно либо подождать, когда все обновления Windows будут загружены и установлены, либо временно отключить автоматическое обновление Windows. Это можно сделать через Панель управления в разделе Система и безопасность > Центр обновления Windows, открыв Настройки параметров (в боковом меню окна) и выбрав в выпадающем списке пункт Не проверять наличие обновлений:

Если отключение автоматического обновления не помогло, то точно также можно проверить все остальные службы Windows. Остановить или отключить любую службу Windows можно через оснастку «Службы». Попасть в неё легко: нажмите Пуск > кликните на Компьютер правой кнопкой мыши, в раскрывшемся меню выберете Управление > перейдите в Службы и приложения > Службы. Выбрав искомую службу, кликните на неё правой кнопкой мыши и выберите Остановить. Если нагрузку на компьютер создавала именно она, то после остановки службы процесс svchost.exe перестанет загружать ваш компьютер на 100%.

Не удалось решить проблему самостоятельно? Мы готовы вам помочь! «Помощь онлайн» — подробная информация здесь.

Метки статьи: 

17 ноября 2013

У меня стоит антивирус dr web cureit 1 раз я сканировал он нашел вирусы в папке hosts и вирус Yaoffer 1 я их обезвредил потом через несколько дней он опять нашёл точно такие же вирусы хотя они были обезврежены а не в карантине. Что мне делать?

egor123_444, 12 мая 2019 в 23:33

Попробуйте проверить и очистить систему с помощью стороннего антивируса, работающего без установки, например, Kaspersky Virus Removal Tool или HijackThis.

Если и это не решит проблему, антивирусную проверку стоит выполнить в безопасном режиме или с загрузочного диска (например, Dr.Web LiveDisk).

com-service, 14 мая 2019 в 08:54

Вроде нашёл этот вирус-майнер, но меня смутила дата последнего изменения файла аж в 2009 году, может такое быть?

Егор, 19 июля 2018 в 16:45

Егор, да, такое может быть. Реальная дата файла может быть очень легко подменена.

Если вы на 100% не уверены в том, что файл вредоносный, его можно предварительно проверить на https://virustotal.com/

com-service, 20 июля 2018 в 00:45

Также при завершении процесса систему не крашает

Егор, 19 июля 2018 в 17:07

Подскажите пожалуйста я установил Process Explorer и навел на svchost.exe который жрёт половину ЦП но там не отобразились службы которые запущены процессом.

Иван, 19 июня 2018 в 17:51

Иван, либо вы скачали не Process Explorer, либо процесс svchost.exe, который вы проверяли, не запустил ни одной службы (т.е. он фейковый = вирус), либо вы неправильно проверяете.

Список запущенных процессов во всплывающем окне выглядит точно так, как на скриншоте в статье — сразу под словом «Services».

com-service, 19 июня 2018 в 19:26

Всё так, кроме одного момента - снятие задачи в диспетчере задач ломает систему, и виндоус идёт на перезагрузку. Притом, это точно не родной svchost.exe Он и систему грузит, и расположен в папке C:\Windows\SysWOW64 Из-за чего это может быть?

Влад, 29 апреля 2018 в 20:34

Влад, для уверенности в подмене svchost в папке SysWOW64 попробуйте отправить его на проверку в virustotal.com. Возможно, это всё же системный файл, а ресурсы забирает одна из служб Windows.

Также есть смысл провести сканирование системы сторонним антивирусом (например, CureIt!, он не требует удаление основного).

com-service, 29 апреля 2018 в 20:59

Отправил на проверку - прошёл тест. Видимо, системный файл. Но тогда что грузит ресурсы? Проверил систему антивирусом по вашей ссылке. Проблема осталась.

Влад, 30 апреля 2018 в 05:40

Файл был незаражённым, если напротив названия каждого из антивирусов (или подавляющего большинства) стоял статус «Clean».

Нагрузку может создавать одна из системных служб. Посмотреть, что это за служба, можно с помощью Process Explorer, инструкция — в статье выше. Если у вас Windows 7 или старше, список служб легко посмотреть в Диспетчере задач, развернув выпадающий список соответствующего процесса.

com-service, 1 мая 2018 в 21:21

В диспетчере задач два svchost.exe (их всего два) один загружает на 0-2, другой на 50. Запущены от имени пользователя. При открытии места хранения обоих процессов откроется папка SysWOW64 в которой svchost только один. Проверял через множество антивирусов (включая Dr.Web CureIt) угроз не находил. Заранее спасибо

Аноним, 18 апреля 2018 в 22:01

Для надёжности можно отправить файл также на проверку в virustotal.com.

Но скорее всего сам файл в порядке, систему грузит одна из служб, инициируемых через svchost.exe. Список запущенных процессом служб можно посмотреть через Process Explorer (инструкция в статье выше) или просто развернув выпадающий список в Диспетчере задач, если речь идёт о Windows 7-10. После определения списка служб в процессе, загружающем процессор, попробуйте отключать по одной эти службы, проверяя параллельно нагрузку процесса.

com-service, 21 апреля 2018 в 00:49

Скачал Process Explorer , кликая на данный процесси пишет что отказано в доступе, курейт не нашел никакого вируса, запущен пользователем, при завершии в диспетчере=синий экран.Что делать?

Василий, 3 мая 2018 в 19:46

В Process Explorer список служб, запущенных процессом, появляется во всплывающем окне при наведении на его название.

com-service, 6 мая 2018 в 20:52

Подскажите, в диспетчере задач висит процесс svchost.exe.exe и грузит цп до 80-100% , dr.web и avz не помогли, Службы ее не отключаются и из автозагрузки также не убрать , сам даёт мне расположение файла которого в моем компьютере просто-напросилось не существует? Заранее спасибо

Алексей, 12 ноября 2017 в 22:57

В автозапуске svchost нет.

Аноним, 18 апреля 2018 в 22:02

Алексей, проверяли последними версиями антивирусов?
Для лучшего результата попробуйте запустить проверку из Безопасного режима (антивирусом, который работает без установки — например, CureIt).

Какие именно службы не отключаются и что происходит при попытке их отключения?

Поясните, как и что пытались убрать из автозагрузки, и почему не получилось?

И кто даёт расположение файла?

com-service, 14 ноября 2017 в 14:16

Зачем вы обманываете людей? В 64-битных системах 64-битные приложения находятся в system32, а в syswow64 находятся 32-битные приложения, не наоборот.

Аноним, 11 апреля 2017 в 11:16

Вы абсолютно правы, в C:\Windows\SysWOW64 в 64-битной Windows расположены именно 32-битные приложения. И по умолчанию процесс svchost.exe в таких системах запускается из папки C:\WINDOWS\system32.

Однако в папке C:\Windows\SysWOW64 присутствует 32-битная версия svchost.exe, и в теории файл (процесс) может быть запущен из неё.

В статье этот момент был описан неявно, внесли небольшие правки. Спасибо за уточнение.

com-service, 11 апреля 2017 в 13:41

У меня svchost.exe, запущенный пользователем, находится именно в этой папке. Если его завершить, вылезет синий экран(в диспетчере задач пишет: при завершении этого процесса работа операционной системы будет завершена)

Костя, 6 января 2018 в 03:40

У меня тоже такая фигня появилось, совпадение? Ты решил эту проблему?

PuppyX Machine, 11 января 2018 в 12:20

Подскажите пожалуйста как удалить ещё такую програмку как YAC, я в этом ничего не понимаю, но но как обычная программа она не удаляется. Буду очень благодарна вам за помощь. Спасибо!

Татьяна, 15 ноября 2015 в 00:35

Татьяна, попробуйте удалить программу обычным способом: в Панели управления зайдите в Удаление программ и, найдя в списке Yet Another Cleaner, выберите Изменить/Удалить. В открывшемся окне нужно кликнуть на Cruelly uninstall , в следующем — выбрать причину удаления (любую) и нажать Next.

Если программу удалить не удалось, попробуйте воспользоваться «чистильщиками» AdwCleaner или Malwarebytes.

com-service, 15 ноября 2015 в 03:10

Огромное Вам спасибо! Всё получилось с первого раза обычным способом!!! Не хочу показаться навязчивой, но не могли бы Вы мне помочь разаобраться ещё в одной проблеме: перестал работать антивирус , востановить или удалить не удаётся, пишет либо не может завершить операцию поскольку эта папка или файл открыты в другой программе, или же если захожу через удаление программ пишет: неудалось получить доступ к службе установщика Windows installer, возможно неустановлен Windows installer. В списке служб он отсутствует. как его туда вернуть? ведь раньше он там был. Пыталась скачать и установить выдаёт ошибку что то типа несоответствует параметрам Windows 7. Прошу Вас помогите мне ещё разочек! Зарание спасибо Вам!!!

Татьяна, 15 ноября 2015 в 15:55

Есть несколько способов решения проблемы, скорее всего подойдёт первый и второй с этой страницы: https://support.microsoft.com/ru-ru/kb/2642495.

Также есть смысл проверить систему на вирусы с помощью стороннего антивируса, например, Dr.Web CureIt (работает без установки).

com-service, 15 ноября 2015 в 21:53

Извините, при попытке скачать Process Haker мой браузер выключается. Это связано с вирусом?

Ахмад, 5 июня 2018 в 19:53

Ахмад, причины могу быть разные, вирус в том числе. Вы можете проверить систему сторонним антивирусом, например, CureIt.

com-service, 5 июня 2018 в 23:02