Что делать, если svchost грузит систему windows 7

Отслеживание служб

3.1. Диспетчер задач

Узнать, какой из служб нагружен процессор, можно в диспетчере задач. Вызываем контекстное меню на проблемном процессе и выбираем «Перейти к службам».

Окно диспетчера переключится на вкладку «Службы», где они будут выделены блоком.

В контекстном меню, вызываемом на каждой отдельной службе, системы Windows 8.1 и 10, кроме команд ее остановки и запуска, которыми ограничена Windows 7, предлагают, в частности, поиск информации о ней в Интернете. В сети можно узнать, что это за служба, как решаются проблемы с ней, и если в качестве решения предлагается ее отключение, то сможет ли Windows тогда полноценно функционировать. Если компьютер нужен срочно, и на вникание в суть проблемы нет времени, проблемную службу можно попытаться остановить соответствующей командой в контекстном меню. Если их несколько, придется исследовать отключение каждой поочередно.

Принудительное завершение самого процесса svchost.exe в диспетчере задач чревато появлением синего экрана смерти. С остановкой служб ситуация чуть проще: все равно важные для функционирования системы службы отключить не получится – либо будет отказано в доступе, либо служба затем сама запустится снова. Остановленные службы затем можно соответствующей командой в контекстном меню запустить, а после перезагрузки компьютера они запустятся сами. Некоторый из них, если они напрямую не влияют на работоспособность системы, но их остановка в диспетчере задач невозможна, можно попытаться остановить в оснастке «Службы» (services.msc). В диспетчере задач Windows 8.1 и 10 к этой оснастке реализован быстрый доступ.

Двойным кликом для нужной службы вызывается ее окно свойств, в котором она останавливается кнопкой, соответственно, «Остановить».

Если остановить причинную службу невозможно, попытаться снизить нагрузку на процессор можно путем задания в диспетчере задач меньшего приоритета проблемному процессу svchost.exe. В его контекстном меню необходимо выбрать «Задать приоритет», затем – «Ниже среднего» или «Низкий». Однако такое решение будет эффективным далеко не в каждом случае.

3.2. Программа AnVir Task Manager

Возможно, некоторым будет удобнее отслеживать службы проблемных процессов посредством альтернатив штатному диспетчеру задач Windows. Например, в программе AnVir Task Manager в одной графе таблицы с процессами отображаются и их службы. Описание службы  выбранного svchost.exe можно посмотреть в блоке с детальной информацией, который появится после двойного клика на графе выбранного процесса.

Перейти непосредственно к службам процессов svchost.exe можно с помощью контекстного меню программы, нажав в нем «Перейти», затем – «Перейти к сервису».

А уже в контекстном меню для служб Windows можно выбрать либо останавливающую команду «Стоп», либо «Изменить тип запуска», затем – «Отключено (Карантин)», если остановка невозможна. Здесь же, в контекстном меню по каждой отдельной службе можно получить справку в Интернете.

Любого рода эксперименты с отключением служб – хоть посредством штатного функционала Windows, хоть при помощи сторонних программ – лучше проводить, предварительно создав точку восстановления системы.

Почему svchost.exe грузит память Windows

Хост-узел svchost может нагружать систему, оперативную память или жесткий диск по следующим причинам:

• произошел программный сбой. Программный сбой может привести к неправильному функционированию ОС. В некоторых случаях может наблюдаться излишняя активность фоновых приложений и служб. При этом некоторые компоненты могут выйти из строя, и на экране компьютера отобразится синий экран. Как правило, сбой происходит вследствие неправильной перезагрузки или ошибок пакетов обновлений. В этой ситуации рекомендуется восстановление Виндовс;
• сбой ключей системного реестра. Системный реестр необходим для правильного запуска служб и фоновых процессов. В нем хранятся ключи, где зашифрованы специальные параметры для запуска приложений. Если происходит повреждение компонентов, то ОС не сможет нормально работать. Могут наблюдаться сбои, ошибки, циклическая перезагрузка и вылеты в BSOD. В данном случае рекомендуется восстановление с помощью диска Windows Live;
• аппаратные неполадки. В некоторых случаях аппаратные неполадки могут привести к сбою в работе служб. Часто это происходит из-за того, что на кулере процессора и графического ускорителя скопилось много пыли. Вследствие этого нарушается отведение тепла от оборудования. Процессор начинает работать на повышенных тактовых частотах, и службы мониторинга за состоянием аппаратных элементов персонального компьютера выходят из строя. Исправить проблему можно путем очистки кулера от пыли;
• неправильная установка обновлений. Если при установке обновлений или сервисных патчей произошел сбой, то фоновые процессы могут выйти из строя. Службы диагностики и устранения неисправностей пытаются в автоматическом режиме убрать ошибки и произвести повторную инсталляцию апдейтов. В такой ситуации часто наблюдается повышенная активность хост-узла. Чтобы устранить неисправность, необходимо отключить службы обновления Windows и произвести откат системы с помощью точки восстановления;
• вредоносное программное обеспечение. Некоторые вредоносные файлы могут внедряться в системные службы и провоцировать различные ошибки. Помимо этого, вирусы способны повреждать динамические библиотеки, благодаря которым работает большинство служб и фоновых процессов. Чтобы исправить данную ситуацию, необходимо сканирование системы в безопасном режиме. Обнаруженные вредоносные файлы требуется удалить с помощью антивируса. Для проверки не рекомендуется использовать Windows Defender, так как у него небольшие вирусные базы и минимальное количество функций для защиты персонального компьютера;
• слишком большой объем LOG-файла журнала системных ошибок. Данный элемент создается автоматически после инсталляции ОС. В лог-файл записываются ошибки, которые возникают при установке программного обеспечения, обновлений или удаления приложений. В этой ситуации поможет выключение одной службы — «Установщик модулей Windows». Помимо этого, пользователю нужно будет произвести удаление лог-файлов из папки Temp.

Хост-процесс для выполнения системных задач

Восстанавливаем нормальную работу процессора с помощью антивируса

Если вышеописанные способы не помогли, то скорей всего ваша Windows 7 заражена вирусом. Обычно заражение вирусом происходит извне. То есть через интернет или через внешний накопитель данных. Если у вас стоит хороший антивирус, то скорей всего вирус не пройдет. Но бывают случаи, когда антивирусы не видят новые версии вирусов и пропускают их. Если ваш компьютер заражен, то процесс хост Svchost.exe будет грузить процессор до 100 процентов, а также в имени пользователя вы увидите не системные имена «LOCAL» и «NETWORK SERVICE», а совсем другое имя.

Чтобы избавиться от вируса в системе, нужно запустить полную проверку компьютера в Windows 7 на поиск вредоносных программ. Ниже мы рассмотрим пример запуска полной проверки компьютера с помощью антивируса Comodo Internet Security. Также перед запуском любого антивируса для проверки ОС обновите его антивирусную базу. Двигаемся дальше и запустим антивирус Comodo Internet Security.

В главном окне антивируса перейдем к нижней вкладке «Сканирование», после чего откроется меню, в котором можно выбрать варианты сканирования.

В нашем случае нужно выбрать пункт «Полное сканирование». Этот вариант просканирует полностью винчестер, выявит вредоносную программу и обезвредит ее. Ниже показано окно сканирования Comodo Internet Security.

В других антивирусных программах принцип запуска полной проверки ПК максимально схож с рассмотренным. Поэтому если у вас проблема с хост-процессом Svchost.exe, то смело запускайте полную проверку ПК.

Для этого примера мы неспроста выбрали антивирус Comodo Internet Security. В этом антивирусе есть встроенный модуль под названием KillSwitch (в настоящее время этот модуль входит в состав бесплатного набора утилит COMODO Cleaning Essentials, скачать который можно здесь).

Этот модуль представляет собой диспетчер задач, который обладает расширенным функционалом. Например, KillSwitch может остановить дерево процессов и вернуть назад произведенные изменения после этого.

Также особенностью KillSwitch является проверка запущенных процессов на доверие. То есть, если процесс недоверенный, KillSwitch найдет его и укажет это в третьей колонке «Оценка». Эта особенность модуля KillSwitch поможет быстрее определить проблему, связанную с Svchost.exe и загрузкой процессора.

Еще стоит упомянуть, когда вирус заражает сам антивирус или надежно маскируется от него, вследствие чего его не видит установленный антивирус. В этой ситуации на помощь пользователю придёт загрузочный диск Dr.Web LiveDisk. Этот диск представляет собой портативную операционную систему, основанную на Linux, которая грузится с него. После загрузки с этого диска пользователь сможет запустить проверку ПК прямо с загруженной операционной системы.

Такая проверка должна найти и обезвредить вирусы, которые заставляют Svchost.exe грузить процессорные ядра. Наиболее известными вирусами, которые грузят процессор с помощью Svchost.exe, являются:

• «Virus.Win32.Hidrag.d» — представляет собой вирус, написанный на C++. Попав в систему, он осуществляет подмену Svchost.exe. После этого он ищет файлы с расширением «*exe» и заражает их. Вирус является безобидным, он не вредит системе и не крадет информацию. Но постоянное заражение файлов с расширением «*exe» сильно грузит процессор.
• «Net-Worm.Win32.Welchia.a» — этот вирус представляет собой интернет-червь, который нагружает процессор путем интернет атак.
• «Trojan-Clicker.Win32.Delf.cn» — примитивный троян, который регистрирует в системе новый процесс Svchost.exe для открытия определенной страницы в браузере, тем самым нагружая систему.
• «Trojan.Carberp» — опасный троян, который также маскируется под Svchost.exe. Основным предназначением этого вируса является поиск и кража информации крупных торговых сетей.

Реализация

Его исполняемый образ «%SystemRoot%»/»System32″/»Svchost.exe» или «%SystemRoot%»/»SysWOW64 «/»Svchost.exe» (для 32-разрядных служб, работающих в 64-разрядных системах) выполняется в нескольких экземплярах, каждый из которых размещает одну или несколько служб.

Расположение системного файла «Svchost»

Службы, запущенные в Svchost, реализованы как динамически связанные библиотеки (DLL). Ключ реестра такой службы должен иметь значение с именем ServiceDll в разделе «Параметры», указывая на DLL-файл соответствующей службы. Их определение ImagePath имеет вид «%SystemRoot%»/»System32″/»Svchost.exe -k». Сервисы, совместно использующие один и тот же процесс Svchost, указывают один и тот же параметр, имеющий одну запись в базе данных SCM.

В первый раз, когда процесс Svchost запускается с определенным параметром, он ищет значение с тем же именем в ключе «HKLM»-«SOFTWARE»-«Microsoft»-«Windows NT «-«CurrentVersion»-«Svchost», которое оно интерпретирует как список имен служб. Затем он уведомляет SCM о всех сервисах, которые он размещает. SCM не запускает второй процесс Svchost для любой из полученных служб: вместо этого он просто отправляет команду «начать» соответствующему процессу Svchost, содержащему имя службы, которое должно быть запущено в его контексте.

Процесс Svchost запускается с определенным параметром, он ищет значение с тем же именем в ключе «HKLM»-«SOFTWARE»-«Microsoft»-«Windows NT»-«CurrentVersion»-«Svchost»

Согласно презентации MS 2003, минимальный рабочий набор общей службы составляет приблизительно 150 КБ против 800 КБ для автономного процесса.

Service tags

Начиная с Windows Vista, внутренняя идентификация сервисов внутри общих процессов (включая svchost) достигается с помощью так называемых Service tags. Service tags для каждого потока хранится в SubProcessTag его блока среды потока (TEB). Service tag распространяется по всем потокам, которые затем запускают основной поток службы, за исключением потоков, созданных косвенно API-интерфейсами потоков Windows. Набор процедур управления Service tags в настоящее время является не документированным API, хотя он используется некоторыми утилитами Windows, такими как netstat, для отображения TCP-соединений, связанных с каждой службой. Некоторые сторонние инструменты, такие как ScTagQuery, также используют этот API.

Svchost.exe (netsvcs)

Netsvcs — подпроцесс, используемый svchost.exe

Netsvcs — это подпроцесс, используемый svchost.exe (netsvcs). Если и когда происходит утечка памяти, svchost.exe начинает сильно нагружать CPU. Эта проблема возникает из-за утечки дескриптора в службе Winmgmt после установки Windows Management Framework 3.0 на компьютере. Служба Winmgmt является службой инструментария управления Windows (WMI) в процессе svchost.exe, которая выполняется под учетной записью LocalSystem.

Идентификация и управление размещенными службами

• в Windows XP и более поздних версиях команда «tasklist с ключом/svc» включает список сервисов компонентов в каждом процессе;

• в Windows Vista и Windows 7 вкладка «Службы» «Диспетчера задач» Windows включает список служб и их групп и идентификаторов процессов (PID); щелкните правой кнопкой мыши svchost в «Диспетчере задач», а параметр «Перейти к услугам» также переключится на список служб и, при необходимости, выберите службы, запущенные в соответствующем svchost;

• в Windows 8 интерфейс «Диспетчера задач» был оптимизирован таким образом, что каждая запись svchost может быть развернута одним щелчком мыши на суб-список служб, запущенных внутри него.

Проводник Microsoft Sysinternals Process Explorer также предоставляет информацию о сервисах, выполняемых в процессах svchost.exe, когда пользователь наводит курсор на svchost.

Проводник Microsoft Sysinternals Process Explorer также предоставляет информацию о сервисах, выполняемых в процессах svchost

Ни один из вышеперечисленных методов не позволяет пользователю определить, какая из многих служб, запущенных внутри svchost, является конкретным ресурсом, например, процессор, диск, сеть или память. Монитор ресурсов Windows учитывает большинство этих ресурсов, когда процесс детализирован. Тем не менее он учитывает использование процессора при детализации служб путем перехода на вкладку «ЦП». Список открытых TCP-соединений и открытых портов UDP можно получить с помощью «netstat -b».

Запускаем командную строку от имени администратора

Вводим команду «netstat -b», нажимаем «Enter»

Изучаем, полученный результат

Чтобы решить другие проблемы с сервисом, запущенным внутри svchost, служба (или службы, которые должны вызвать проблему) должна быть (все) перенастроена, чтобы каждый из них выполнялся внутри своего собственного экземпляра svchost. Например, «sc config foo type = own» перенастроит службу с именем «foo», чтобы запустить свой собственный svchost. Изменение типа «back to the general» выполняется с помощью аналогичной команды. Чтобы эти изменения конфигурации вступили в силу, необходимо перезапустить службу. Однако этот процесс отладки не является надежным. В некоторых случаях может произойти ошибка heisenbug, из-за чего проблема исчезает, когда служба работает отдельно.

Более сложным методом устранения неполадок является создание изолированной группы обслуживания.

Что за процесс svchost.exe netsvcs (хост)

Svchost.exe — процесс, запускающийся одновременно со стартом системы. Он входит в число системных и работает на увеличение скорости запуска служб/сервисов. В штатных ситуациях svchost выполняет свою первостепенную задачу и сразу же удаляется из оперативки. Когда же приложения загружаются не с первого раза либо просто тормозят, то процесс автоматически записывается в память по нескольку раз, и вы можете увидеть несколько его копий.

Несколько копий одного и того же процесса Svchost.exe

Количество одновременно запущенных хост-процессов ничем не ограничивается. В диспетчере задач можно увидеть один (если компьютер работает нормально), четыре, восемь и больше. Их количество напрямую зависит от числа проблем и ошибок, возникающих во время запуска и работы программных продуктов.

Настоящий Svchost и ложный

У безвредного системного процесса Svchost.exe в разделе пользователя (одноимённое поле в «Диспетчере задач») указаны параметры: system, local service либо network service. Любое другое имя свидетельствует о том, что под видом системного процесса запускается вирус или троян.

К сожалению, злоумышленники умудрились перехитрить эту систему. Они заражают системный процесс, внедряют в него вредоносный код. Внешне, в отличие от предыдущего случая, такой процесс нельзя отличить от системного. Взгляните на потребляемые системные ресурсы. Если увидите, что процесс использует много ресурсов оперативной памяти либо центрального процессора — svchost.exe однозначно заражён.

Svchost.exe стартует в следующих ситуациях:

• сбой работы приложения или системы;
• проблемы в службе обновлений ОС. Данные о неполадках и ошибках способны скапливаться в результате отказа пользователя от установки последних обновлений либо при их слишком активной инсталляции (обычно при плохом качестве связи, конфликтах с системой). Также сами установочные пакеты обновлений могут содержать ошибки, но разработчики это быстро отслеживают и исправляют;
• размер файла журнала событий (если размер файла большой, то процесс svchost.exe загружается в оперативную память именно из-за него);
• вредоносное программное обеспечение. Такие программы маскируются и удалённо воруют системные ресурсы ПК жертвы;
• аппаратные неисправности (часто встречаются в результате повреждения планок ОЗУ, большого скопления пыли, что вызывает перегрев системы и др.);
• замусоренный жёсткий диск. Специалисты рекомендуют регулярно очищать винчестер компьютера, потому что эта простая манипуляция — залог высокой производительности. Если на жёстком диске будет много данных, то рано или поздно это может стать причиной возникновения процесса svchost.exe в оперативной памяти.

Другие способы устранения проблемы

Очистка системных журналов Windows

• Зайдите в Пуск.

• Нажмите на стрелочку рядом с пунктом «Все программы».

• Пролистайте вниз и найдите папку «Стандартные».

• Выберите «Выполнить».

• В открывшемся окне вбейте команду eventvwr.msc и нажмите ОК.

• Выберите нужный раздел журнала, который хотите очистить, и вверху на панели нажмите «Действие». В появившемся списке отыщите функцию «Очистить журнал…».

• Вы можете сохранить резервную копию файлов, либо просто провести очистку журнала.

Журналы событий – это всего лишь информация (как записи в ежедневнике) касательно всех ошибок и событий, которые происходили в вашей системе.

Очистка папки Prefetch

• Зайдите в «Мой компьютер», значок которого обычно находится на рабочем столе.
• Зайдите в Локальный диск С.
• Откройте папку Windows.
• Отыщите в ней подпапку Prefetch, и откройте её.
• Выделите и удалите все файлы в этой папке.

Существует ошибочное мнение, что для повышения производительности процессора папку Prefetch нужно удалить. Но на самом деле это может привести к временным сбоям в работе приложений и всего устройства.

• Запустите Редактор реестра. Это осуществимо, если открыть «Пуск» и ввести в строку поиска regedit.

• В открывшемся окне в колонке слева откройте папку HKEY_LOCAL_MACHINE, нажав на галочку.

• В ней вы найдёте несколько подпапок, среди которых будет SYSTEM.

• Кликните на галочку возле SYSTEM, чтобы выпал список, и перейдите в CurrentControlSet.

• Теперь нужен кликнуть на галочку возле подпапок Control/SessionManager/Memory Management.

• Нажмите на папку PrefetchParameters. В колонке справа появится небольшой перечень файлов. Нас интересует файл EnablePrefetcher.

• Правой кнопкой мыши нажмите на файл EnablePrefetcher и выберите «Изменить».

• Проставьте «2» в строке «Значение» и нажмите ОК. Это позволит закрыть доступ к папке для приложений, которые не относятся к системе Windows.

• Закройте Редактор реестра и перезагрузите систему.

Неправильно установленные приложения для драйвера: откат системы

• Нажмите на «Пуск».

• Наберите в поисковой строке «Восстано» и выберите «Восстановление системы».

• Далее появится окно с информацией о последствиях перезапуска. Ознакомьтесь с ней и нажмите «Далее».

• Установите дату отката, ориентируясь на период прекращения нормальной работы процессора, и нажмите «Далее».

• Просмотрите данные о восстановлении. Продолжите процедуру нажатием на кнопку «Готово».
• Затем появится окно с предупреждением невозможности остановки операции. Подтвердите согласие продолжить процедуру отката кнопкой «Да».
• После этого придётся выждать время, необходимое для отката системы. После завершения процесса на экране появится уведомление об успешности процедуры.

Проверка целостности системы Windows

• Нажмите на значок «Пуск» на панели задач.
• Нажмите на черный треугольничек у строки «Все программы», чтобы увидеть список программ.
• В папке «Стандартные» отыщите Командную строку. Нажмите на неё правой кнопкой мыши и выберите запуск от имени администратора.
• Введите комбинацию sfc /scannow и нажмите на клавиатуре Enter.

• После этого система самостоятельно отыщет и устранит проблемы. Перезагрузите систему.

Отключение автоматического обновления

• Откройте меню «Пуск».
• Зайдите в «Панель управления».
• Выберите раздел «Система и безопасность».
• Запустите «Центр обновления Windows».
• В колонке слева нажмите на категорию «Настройка параметров».

• В открывшемся окне измените статус обновлений, выбрав «Не проверять…». Также уберите галочки в пунктах ниже и нажмите ОК.

• В поисковой строке меню «Пуск» введите слово «Службы» и запустите данную программу.

• В открывшемся окне отыщите в списке «Центр обновления Windows» и нажмите на данную строку. На панели вверху найдите кнопку «Остановки службы».

• После этого кликните по строке «Центр обновления Windows» правой кнопкой мыши и выберите «Свойства».

• В разделе «Тип запуска» поставьте статус «Отключена».

• Подтвердите изменение кнопкой ОК и перезагрузите систему.

Как удалить svchost exe на виндовс 7?

Чтобы избавиться от вредоносного ПО можно либо вручную удалить из реестра ложные svchost exe файлы (по названию файла и месту его расположения), либо воспользоваться специализированным ПО (в качестве таких программ можно использовать, например, бесплатный антивирус AVZ).

После чего обязательно нужно запустить глубокую проверку компьютера с помощью хорошего антивируса  и выполнить перезагрузку системы.

В особо «тяжелых» случаях можно сделать «восстановление системы» из резервной копии (если таковая присутствует) или полностью переустановить Windows на данном компьютере.

Способ №1: очистка утилитой Comodo Cleaning Essentials

Cleaning Essentials — антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).

Где скачать и как установить?

2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.

3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).

4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.

5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».

6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».

Как настроить и очистить ОС?

1. Выберите режим «Custom scan» (выборочное сканирование).

2. Подождите немного, пока утилита обновит свои сигнатурные базы.

3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).

4. Нажмите «Scan».

5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.

Вспомогательные утилиты

В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.

Autorun Analyzer

Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.

Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.

KillSwitch

Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:

1. На вкладке «Система» откройте раздел «Процессы».
2. Проанализируйте все активированные процессы svchost:
   • кликните правой кнопкой по файлу;
3. выберите «Свойства»;
4. посмотрите его текущую директорию. Если она отличная от С:\Windows\system32\, вероятней всего, что исследуемый объект является вирусом.

В случае обнаружения зловреда:

1. Дополнительно просмотрите в его поле графу «Оценка» (safe — безопасный) и подпись.
2. Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
3. Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!

Служба Wuauserv в Windows 7 грузит процессор и память на 50%

Часть пользователей стала жаловаться на проблемы с производительностью их компьютеров с Windows 7. Проблема проявляется следующим образом: ежедневно, примерно в одно и то же время (у каждого пользователя время свое), компьютер начинает сильно тормозить. В диспетчере задач до 1,2 -2 Гб и 100% CPU одного ядра памяти потребляет процесс svchost.exe. В результате в течении 30-60 минут работать с компьютером невозможно, все ужасно тормозит и виснет.

Проблемы наблюдались на клиентах Windows 7 SP1 x86 и x64, получающих обновления с локального сервера SCCM, используемого для управления обновлениями Microsoft на клиентах. На стороне клиента запускаем диспетчер задач (Task Manager) и на вкладке Процессы сортируем запущенные процесс по использованию памяти. Видим, что в настоящий процесс svchost.exe использует 11% CPU и 1,2 Гб оперативной памяти. На самом деле процесс svchost.exe – это процесс контейнер, внутри которого работают другие программы и потоки системных служб. С помощью Task Manager не получится понять, какой именно поток (служба) вызывает высокую нагрузку на систему.

Более подробную информацию о процессе и его потоках можно, к примеру, получить с помощью утилиты Process Explorer Марка Руссиновича.

Запускаем утилиту procexp.exe и находим в списке процесс svchost.exe который потребляет слишком много памяти или % CPU.

Открываем его свойства и переходим на вкладку Threads (Потоки). Здесь мы четко видим, что в рамках процесса svchost.exe больше всего ресурсов CPU и памяти потребляет поток службы wuauserv (Windows Update — Служба обновлений Windows). Служба wuauserv сканирует систему и сервер обновлений на предмет необходимости установки обновлений. В результате каких-то проблем в коде служба начинает «течь», потребляет всю доступную ей память вплоть до 1,5-2 Гб (максимума памяти который доступен процессу) и начинается активно использовать файл подкачки. Система от этого резко начинает тормозить.

Что интересно, проблеме в большей мере подвержены клиенты с 2 Гб оперативной памяти. На ПК с 4 и более Гб памяти, служба wuauserv также «утекает», но не выбирается из 2 Гб, и проблема не так явно проявляется для пользователей.

Если остановить службу wuauserv из консоли services.msc, нагрузка на систему резко уменьшиться. А потребление памяти процессом svchost.exe падает до 80-100 Мб.

Важно. Это не означает, что нужно отключать службу wuauserv и держать ее в отключенном состоянии, т.к

система перестанет получать обновления безопасности и будет подвержена риску взлома.

В первую очередь попробовали сбросить состояние агента Windows Update и обновили его версию по методике, описанной в статье: Восстановление исходных настроек агента Windows Update. Проблема решилась и в течении нескольких дней не повторялась, но через какое-то время все началось заново. Видимо размер локального кэша и базы обновлений достиг каких-то пределов, и служба wuauserv опять стала «течь».

Перебрали еще множество различных методик, но реально помогла только установка следующих патчей для агента обновлений Windows 7:

• https://support.microsoft.com/en-us/kb/3050265 (Обновление WIndows Update агента от июня 2015)
• https://support.microsoft.com/en-us/kb/3065987 (Обновление WIndows Update агента от июля 2015)
• https://support.microsoft.com/en-us/kb/3102810 (Патч для Windows / 2008 R2, решающий проблему высокой загрузки CPU и памяти при установке обновлений через WSUS, ноябрь 2015).

Совет. Патчи ставили не на все компьютеры с Windows 7, а только на ПК, на которых пользователи жаловались на аналогичную проблему.