Kas yra svchost.exe, kaip jis veikia ir kaip jį diagnozuoti

„Windows“ svchost.exe Jis pasirodo visur ir daugeliui tai tikra juodoji dėžė. Tai normalu: tai yra pagrindinis sistemos komponentas, tačiau tuo pačiu metu kai kurie vartoja ir jo pavadinimą. kenkėjiška programa kad paslėptų save. Jei nerimaujate dėl su „svchost“ susijusio procesoriaus, RAM ar net tinklo suvartojimo ir norite sužinoti, kaip tai padaryti kontrolės procesai ir paslaugos, čia pateikiamas aiškus ir praktiškas paaiškinimas.

Pažiūrėkime, kas tai yra, kaip tai veikia, kodėl kartais pasitaiko dešimtys atvejų, kaip patikrinti, ar viskas gerai, ir ką daryti įtarus kenkėjišką veiklą. Taip pat pateikiame veiksmus, kaip diagnozuoti Užduočių tvarkyklė, rekomendacijas su „Process Explorer“ ir parinktis, kaip saugiai sustabdyti arba nutraukti probleminius procesus.

Kas yra svchost.exe ir kodėl jis egzistuoja?

El Paslaugų priegloba (svchost.exe) yra bendras procesas, kurį „Windows“ naudoja paslaugoms, kurių kodas yra, įkelti ir paleisti dll failusKadangi „Windows“ negali tiesiogiai paleisti DLL failų, ji naudoja „svchost.exe“ kaip „apvalkalą“, kad paleistų ir valdytų juos viename ar keliuose atskiruose procesuose, ir jūs galite sužinoti, kaip tai padaryti. Paslaugų modifikavimas sistemoje „Windows 11“.

Siekiant pagerinti stabilumą, paslaugos yra sugrupuoti į šeimas su panašiais saugumo reikalavimais ir kiekviena grupė veikia savo „svchost.exe“ egzemplioriuje. Tokiu būdu, jei viena paslauga sugenda, likusios grupės nėra įtrauktos į klaidą ir sistema išlaiko izoliacija būtina.

Tipinės paslaugų grupės, kurias galima talpinti naudojant „svchost.exe“, apima kategorijas, susietas su paslaugų paskyromis ir prieigos lygiais, pvz. Vietos tarnyba o Vietinė sistema, leisdami kiekvienai paslaugai veikti su atitinkamais leidimais.

• Vietos tarnyba: Vykdo paslaugas su ribotais vietiniais leidimais.
• Vietinė paslauga be tinklopanašiai kaip ir ankstesnis, bet be prieigos prie tinklo.
• Ribotas vietinis paslaugų tinklas: labiau ribota prieiga prie tinklo.
• Vietinė sistema: padidintos sistemos teisės.
• Apribotas vietinis sistemos tinklasvariantas su apribojimais.
• Servicio de raudona: paslaugos, kurioms reikalinga tinklo tapatybė.

Kaip svchost.exe veikia praktiškai

„svchost.exe“ misija yra įkelti paslaugų DLL failus ir palaikyti juos veikiančius, kad sistemos funkcijos (tinklas, saugumas, priežiūra ir kt.) veiktų normaliai. Kiekvienas „svchost“ egzempliorius gali talpinti vieną ar daugiau paslaugų, o „Windows“ vienu metu paleidžia kelis egzempliorius, kad paskirstytų apkrovą ir pagerintų sistemos atsparumą.

Toks atskyrimas grupėmis reiškia, kad jei viena paslauga sugenda arba ją reikia paleisti iš naujo, likusios toliau veikia. Tai metodas, skirtas optimizuoti išteklius ir sumažinti poveikį įrangos stabilumui.

Kaip peržiūrėti paslaugas, esančias už svchost.exe, užduočių tvarkytuvėje

1. spauda Ctrl + Shift + Esc Norėdami tiesiogiai atidaryti užduočių tvarkytuvę.
2. Jei matote paprastą vaizdą, spustelėkite Daugiau informacijos kad būtų rodomi visi procesai.
3. Skirtuke „Procesai“ rūšiuokite pagal Vardas ir suraskite įrašus „Paslaugų teikėjas„. Išskleiskite juos, kad pamatytumėte, kokios paslaugos yra surengė kiekvienu atveju, todėl galėsite valdyti paslaugas naudojant services.msc.
4. Dešiniuoju pelės mygtuku spustelėkite jus dominantį „Paslaugų prieglobos serverį“ ir pasirinkite Eikite į išsamią informaciją arba „Atidaryti failo vietą“, kad patikrintumėte vykdomąjį failą.

Kodėl yra tiek daug svchost.exe egzempliorių?

„Windows“ vykdo daug paslaugų. Jei jos visos būtų viename procese, bet koks gedimas galėtų sutrikdyti svarbių funkcijų veikimą. Paskirstant paslaugas keliuose sistemos egzemplioriuose svchost.exe, įgyjamas stabilumas ir sumažina riziką nuo grandinės gedimų. Tai taip pat padeda efektyviau paskirstyti procesoriaus ir atminties naudojimą.

Nuo „Windows 10“ versijos 1703 („Creators Update“) kompiuteriuose su daugiau nei 3,5 GB RAM ir leidybos darbalaukiuose srityje „Microsoft“ nusprendė dar labiau atskirti Paslaugos: Užuot grupavus jas kartu, daugelis dabar veikia savo SVCHOST procese. Šis pertvarkymas leidžia lengviau žinoti, kuri paslauga bet kuriuo metu naudoja išteklius.

Perjungimo privalumai, kai yra pakankamai atminties: aukštesnis patikimumas (izoliacija tarp paslaugų), pagalbos pastangų mažinimas, gerinimas saugumas (mažiau bendro naudojimo paviršiaus), geresnis mastelio keitimas (konfigūracija ir privilegijos kiekvienai paslaugai) ir aiškesnė diagnostika (naudojimas CPU, įvesties / išvesties ir tinklo kiekvienai paslaugai).

• Su mažiau nei 3,5 GB RAM„Windows“ ir toliau grupuoja paslaugas, kad taupytų atmintį.
• Su 3,5 GB ar daugiauDaugelis paslaugų veikia atskirais procesais, siekiant pagerinti stebimumą ir stabilumą.

Turėkite omenyje, kad atskyrus paslaugas, padidėja bendras „svchost“ egzempliorių skaičius, todėl egzempliorių skaičius gali augti. atminties naudojimas globalus. Įprasta matyti ~17–21 procesų skaičių, kai jie sugrupuoti, ir ~67–74, kai atskirti, kuris kinta priklausomai nuo sistemos aktyvumo.

Kaip patikrinti paslaugų atskyrimo poveikį

Jei norite eksperimentuoti, virtualioje mašinoje su „Windows 10 1703“ galite pakoreguoti RAM ir paleiskite iš naujo, kad pamatytumėte, kaip pasikeis užduočių tvarkyklės rodinys. Jei disko dydis yra 3484 MB ar mažesnis, matysite sugrupuotus procesus; jei disko dydis yra 3486 MB ar didesnis, matysite daugiau atskirų procesų.

Get-Process SvcHost | Group-Object -Property ProcessName | 
Format-Table Name, Count, @{n='Mem (KB)';e={'{0:N0}' -f (($_.Group|Measure-Object WorkingSet -Sum).Sum / 1KB)};a='right'} -AutoSize

Tas įsakymas PowerShell " sugrupuoja „SvcHost“ egzempliorius ir rodo procesų, kuriuos jie atstovauja, skaičių bei bendrą atmintį, idealiai tinka atskyrimo poveikiui matuoti.

Ar svchost.exe yra saugus, ar tai gali būti virusas?

The teisėti atvejai svchost.exe failai yra saugūs ir būtini, tačiau kai kurie užpuolikai sukuria kenkėjiškas programas, kurios pasivadina tuo pavadinimu, kad liktų nepastebėtos. Patikimiausias rodiklis yra jų vietaTeisėtos kopijos yra aplanke „C:\Windows\System32“. Jei tokiuose aplankuose kaip „svchost.exe“ randate failą Siuntiniai arba Laikinas, būkite įtarūs.

Kiti sistemos procesai taip pat kelia klausimų. Pavyzdžiui, csrss.exe (Kliento-serverio vykdymo aplinka) yra teisėta ir svarbi; ji būtų įtartina tik tuo atveju, jei būtų ne „System32“ sistemoje arba netinkamai pasirašyta. Be to, yra vykdomasis failas, vadinamas utcsvc.exe (telemetrija / diagnostika), kuri kartais naudoja procesoriaus resursus arba kai kurių sistemų yra pažymėta kaip potencialiai nepageidaujama programa; paprastai ji yra „Windows“ dalis ir pati savaime nėra kenkėjiška.

Kita įprasta kenkėjiškų programų taktika yra tyčinis neteisingas pavadinimų kūrimas: tokie variantai kaip svhost.exe o svchosl.exe Jie gali bandyti jus suklaidinti. Visada patikrinkite tikslų pavadinimą skaitmeninis parašas ir šaltinio aplanką iš užduočių tvarkyklės, o jei jums reikia teismo ekspertizės analizės, sužinokite, kaip elgtis su artefaktai sistemoje „Windows“.

Patikrinkite naudodami „Process Explorer“ ir „VirusTotal“

Norėdami žengti dar vieną žingsnį, galite naudoti Process Explorer (iš „Microsoft“ / „Sysinternals“). Atsisiųskite naujausią versiją, išpakuokite ir paleiskite. procexp64.exe 64 bitų sistemose (arba procexp.exe (32 bitų). Rūšiuokite procesų stulpelį abėcėlės tvarka, kad greitai rastumėte tai, kas jus domina.

Suaktyvinkite stulpelį Virustotal Proceso naršyklėje (Parinktys > VirusTotal.com > Tikrinti VirusTotal). Vienas rezultatas 0 / 7x paprastai rodo, kad joks variklis neaptinka problemų. 1/7x gali būti klaidingai teigiamas rezultatas, tačiau didesnėms vertėms reikalingas išsami analizė sistemos.

Ką daryti, jei svchost.exe naudoja daug procesoriaus, RAM arba tinklo išteklių?

Didelis vartojimas gali turėti priežasčių teisėtas arba problemiškų. Teisėti pavyzdžiai yra „Windows“ naujinimų diegimas, indeksavimas, defragmentavimas arba tokios paslaugos kaip Superfetch/SysMain, kurie, kaip žinoma, kai kuriuose kompiuteriuose per daug apkrauna diską / procesorių. Tokiais atvejais, atlikus užduotis, apkrovimas turėtų sumažėti.

Jei pastebite, kad tinklas lėtas ir programa „svchost.exe“ naudoja pralaidumą, patikrinkite, ar nėra kokių nors užduočių "Windows" naujinimo arba kitas diagnostikos paslaugas. Taip pat patikrinkite savo naršyklę: sugedę plėtiniai arba per daug skirtukų gali perkrauti išteklius ir supainioti diagnozę.

Naudokite užduočių tvarkytuvę, kad nustatytumėte, kurios konkrečios kiekvienos užduoties paslaugos veikia. Paslaugų teikėjas yra aktyvūs. Išskleidę kiekvieną svchost.exe failą, matysite susijusias paslaugas ir galėsite įvertinti jų poveikį procesoriui, atminčiai, diskui ir kt. raudonas.

Kad sistema išliktų lanksti, apsvarstykite pašalinti programas kad nebenaudojate ir išvalote programinės įrangos likučius. Yra optimizavimo priemonės (pavyzdžiui, iš saugos paslaugų teikėjų, tokių kaip „Avast Cleanup“), kurie padeda pašalinti laikini failai ir procesai, skirti bagažinė kurie baudžia už našumą; taip pat peržiūrėkite Trečiųjų šalių paslaugos, kurios sulėtina „Windows 11“ veikimą.

Kaip sustabdyti svchost.exe teikiamą paslaugą (atsargiai)

Sistemos procesų užbaigimas turėtų būti atliekamas su apdairumasSvarbaus „svchost“ sutrikdymo nutraukimas gali destabilizuoti „Windows“ sistemą arba išjungti pagrindines funkcijas. Prieš ką nors liesdami, išsaugokite savo darbą ir patikrinkite, kas... paslaugos, kurių neturėtumėte išjungti.

1. Atidarykite Task Manager su Ctrl + Shift + Esc ir paspauskite Daugiau informacijos.
2. Rūšiuoti pagal Vardas, suraskite probleminį „Paslaugų prieglobą“, spustelėkite dešiniuoju pelės mygtuku ir pasirinkite Pabaiga užduotisJei programa aktyviai ją naudoja, „Windows“ gali ją užkirsti kelią, kad apsaugotų jūsų kompiuterį. stabilumas sistemos.

Jei reikia sustabdyti konkrečią paslaugą, geriausia tai padaryti nuo services.msc arba „Windows“ paslaugų konsolę, kurioje galite pristabdyti arba paleisti paslaugą iš naujo nesustabdydami viso susijusio „svchost“ proceso ir sužinoti, kaip tai padaryti. atkurti ištrintas paslaugas jei kas nors nutiks ne taip.

Kaip pašalinti kenkėjišką programą, apsimetantį svchost.exe

Jei įtariate infekciją (svchost.exe ne System32, keli aptikimai „VirusTotal“ programoje nuolatiniai nepaaiškinami išteklių šuoliai), veikia kruopščiai išvalant.

Pirmiausia atlikite nuskaitymą su kenkėjiškų programų šalinimo programa kuris gali aptikti ir izoliuoti su netikru svchost.exe susijusius komponentus. Atminkite, kad šie įrankiai skirti infekcijoms pašalinti jau esant ir nepakeičia patikimos apsaugos komplektas gyventojas.

Jei kenkėjiška programa blokuoja užduočių tvarkytuvę arba konsolę, paleiskite kompiuterį iš naujo. Saugus režimas ir vėl paleiskite antivirusinę programą. Kai vėl pasieksite liniją komandos, naudokite sistemos failų tikrinimo įrankį, kad ištaisytumėte žalą.

1. Atidarykite Pradžia, įveskite CMD, dešiniuoju pelės mygtuku spustelėkite ir pasirinkite Vykdyti kaip administratorius.
2. Rašo: SFC / scannow ir paspauskite „Enter“. Leiskite jam baigti. Jei vis tiek matote sugadintų failų, pakartokite nuskaitymą, kol trys laikai.

Kaip antrą nuomonę galite perduoti pripažintus įrankius, tokius kaip AdwCleaner, Malwarebytes o HitmanPro išplėsti apsaugą nuo reklaminių programų, potencialiai nepageidaujamų programų ir Trojos arkliaiJei aptikimo negalima išvalyti karštuoju būdu, vadovaukitės karantinavimo ir ištrynimo perkrovus instrukcijomis.

Išimtys, išplėstinė informacija ir registro raktai

Net ir kompiuteriuose, kuriuose yra daugiau nei 3,5 GB RAM, kai kurios paslaugos išlieka sugrupuoti pagal paskirtį. Įprasti pavyzdžiai: bazinis filtravimo modulis (BFE), „Windows“ užkarda (Mpssvc) ir RPC komponentai, pvz., galinių taškų susiejimo įrankis. ekstremalusJų laikymas kartu sumažina sudėtingumą ir apsaugo nuo funkcinių sutrikimų.

Administratoriai gali nustatyti paslaugas, kurios nebus padalintos, pateikdami užklausą dėl reikšmės SvcHostSplitDisable savo paslaugų raktuose, esančiuose aplanke: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Reikšmė „1“. neleidžia tos konkrečios paslaugos atskyrimas.

Jei vadovaujate daugeliui komandų, atskyrimas nuo darbo palengvina diagnozė (pažiūrėkite, kuri paslauga naudoja procesoriaus arba tinklo energiją, neplečiant grupių po vieną), tačiau tai šiek tiek padidina foninės atminties suvartojimą.

Greiti diagnostikos patarimai

• Failo vietaUžduočių tvarkytuvėje pasirinkite „Atidaryti failo vietą“. Jei tai ne „System32“, programa bloga.
• Skaitmeninis parašasTinkamais atvejais skiltyje Ypatybės > Skaitmeniniai parašai turėtumėte matyti „Microsoft Trusted Publisher“.
• tinklo naudojimas„svchost“ rodmenų šuoliai „Windows“ naujinimo arba telemetrijos metu yra normalūs; patikrinkite, kuri pagrindinio kompiuterio paslauga juos sukelia.
• Rašybos klaidos: atmeta tokius variantus kaip „svhost.exe“ arba „svchosl.exe“, būdingus kenkėjiška programa.

Ištekliai ir rekomenduojama dokumentacija

Dėl išsamesnės informacijos labai naudinga peržiūrėti oficialią „Microsoft“ dokumentaciją, pateiktą adresu svchost.exe ir veikalas „Windows Internals“ (Russinovičius, Solomonas, Ionesku), kuriame gilinamasi į „Windows“ architektūrą, paslaugas ir procesų valdymą.

Jei „svchost.exe“ suprantate kaip „pagrindinį kompiuterį“, kuris paleidžia paslaugas iš DLL failų, pastebėsite, kad normalu turėti daug egzempliorių ir kintamą suvartojimą, priklausomai nuo sistemos aktyvumo; svarbiausia yra patikrinti vieta, parašas, susijusios paslaugos ir elgesys (naudodami tokias priemones kaip „Task Manager“ ir „Process Explorer“), o jei aptinkama kokių nors nenormalių požymių, atlikite valymo veiksmus naudodami atitinkamas priemones.

Susijęs straipsnis:

Kaip išjungti nereikalingas paslaugas ir pagerinti „Windows 11“ našumą

Izaokas

Aistringas rašytojas apie baitų pasaulį ir technologijas apskritai. Man patinka dalytis savo žiniomis rašydamas, būtent tai ir darysiu šiame tinklaraštyje, parodysiu jums įdomiausius dalykus apie programėles, programinę įrangą, techninę įrangą, technologijų tendencijas ir kt. Mano tikslas – padėti jums paprastai ir smagiai naršyti skaitmeniniame pasaulyje.