Узел службы модуля запуска процессов DCOM-сервера грузит процессор – что делать?
DCOM – это набор программных интерфейсов Майкрософт, реализованных на базе модели Удаленного вызова процедур (RPC), который обеспечивает взаимодействие между COM-компонентами по сети и выполняет функцию вызова объекта, размещенного на другом компьютере. Это один из основных процессов Windows и запускается вместе с загрузкой системы.
Но есть случаи, когда при заметном снижении производительности Windows, в Диспетчере задач замечает, что узел службы модуля запуска процессов DCOM-сервера грузит процессор почти до 100%. Есть ряд решений, позволяющие решить проблему чрезмерного использования ресурсов системы.
Отключение внешних устройств
В первую очередь отключите все внешние USB устройства. Возможно, причина высокой нагрузки на процессор, создаваемой модулем запуска DCOM-сервера, в одном из них. Каждый раз при подключении внешних устройств (смартфонов, планшетов, игровых приставок и прочих), они используют ресурсы компьютера для синхронизации с системой.
Поэтому отключите их и проверьте, снизилась ли нагрузка. Если да, определите проблемное устройство и обновите его драйвер.
Создание новой учетной записи
Во многих случаях удается решить проблему высокой нагрузки процессора модулем DCOM-сервера путем создания нового профиля пользователя. Для этого загрузите компьютер в безопасном режиме и войдите в систему как администратор.
Перейдите в раздел Семья и другие пользователи с помощью команды ms-settings:otherusers из окна «Выполнить» (Win + R).
Нажмите на плюс «Добавить пользователя для этого компьютера».
Для создания локального профиля кликните на кнопку «У меня нет данных для входа этого человека».
Выберите пункт «Добавить пользователя без учетной записи Майкрософт».Отобразится окно для заполнения данных авторизации.
Введите данные для входа и выберите пароль, который можете запомнить.
Когда новая учетная запись будет создана, разверните меню Пуск, кликните на иконку пользователя и выберите «Выход».
Теперь с экрана блокировки войдите в систему под вновь созданной учетной записью. Проверьте, грузит ли модуль запуска процессов DCOM-сервера ресурсы процессора. Если проблема решена, переместите все личные файлы в новый профиль.
Если не можете получить доступ к настройкам профиля, можно создать новую учетную запись с помощью командой строки.
Откройте командную строку с правами администратора с помощью системного поиска.
В консоли запустите команду:
net user /add [имя пользователя] [пароль]
После ее выполнения будет создана новая учетная запись. Теперь ей нужно предоставить права администратора.
new localgroup администраторы [имя] /add
С помощью этих команд можно быстро создать профиль локального администратора.
После их успешного выполнения перезагрузите компьютера. Если был использован безопасный режим, откройте окно конфигурации системы командой msconfig из окна «Выполнить» (Win + R). На вкладке Загрузка снимите флажок с опции безопасного режима и примените изменения. Подтвердите перезагрузку ПК.
Запуск инструмента Process Explorer
С помощью утилиты Process Explorer можно узнать, какие DLL были загружены вместе с подробностями о том, какой родительский процесс их запустил. Также можно узнать подробности об использовании процессора, какие фоновые приложения грузят ресурсы системы и прочее. Попробуйте проверить процессы, использующие модулем запуска DCOM-сервера и узнать проблемный, который грузит процессор.
После распаковки пакета в доступном каталоге запустите его.
В меню «File» нажмите на пункт «Show Details for All Processes».
Теперь найдите процесс «svchost.exe», щелкните на нем правой кнопкой мыши и выберите Свойства. Перейдите на вкладку Image. Здесь будет отображен «источник» нагрузки, то есть, какой процесс использует исполняемый файл.
Немного покопайтесь и найдите приложение или службу, которую можно отключить на странице «services.msc».
В большинстве случаев процесс «dll!DabSessionStateChanged+0xe4…» принуждает узел службы модуля запуска процессов DCOM-сервера чрезмерно грузить процессор. Этот процесс можно отключить прямо в окне Process Explorer, он связан с Брокером системных событий (System Events Broker).
Процесс svchost.exe и системные службы, связанные с ним.
Что такое процесс svchost.exe?
Параметры вызова исполняемого файла svchost.exe для конкретных системных служб определяются значениями в ключе реестра
Параметр ImagePath задает командную строку для данной службы или группы служб. Имя библиотеки, которая используется для данной службы, определяется параметром ServiceDll подраздела Parameters
Перечень всех служб, запускаемых с использованием svchost.exe и их объединение в группы определяется содержимым ключа реестра
Так, например, в группу DcomLaunch входят 3 службы:
Каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов, относящихся к группе.
Как определить системную службу, связанную с конкретным процессом svchost.exe.
В данном примере, процесс svchost.exe потребляет 50% ресурсов процессора. Это ненормально, и внешне может проявляться в виде снижения общей производительности, подвисаний (лагов), скачкообразного перемещения указателя мыши и т.п. Поскольку системные процессы имеют более высокий приоритет по сравнению с пользовательскими, они и потребляют ресурсы системы в первую очередь, что снижает реальную производительность программ, выполняемых в контексте учетных записей пользователей.
Использование утилиты командной строки tasklist.exe
Для получения списка выполняющихся служб в любой версии Windows можно использовать команду:
Пример отображаемой информации:
Пример отображаемой информации:
В графическом интерфейсе пользователя, сведения о службе можно получить с использованием оснастки “Службы” консоли управления Microsoft (комбинация клавиш Win+R и выполнить services.msc ), или через меню Панель управления – Администрирование – Службы
Использование Диспетчера задач Windows ( taskmgr.exe )
Стандартные диспетчеры задач отличаются по своим возможностям в зависимости от версии Windows. Так, например диспетчер задач Windows XP не имеет собственных средств по сопоставлению имени процесса с именем системной службы, а диспетчер задач Windows 10 позволяет это сделать с использованием контекстного меню, вызываемого правой кнопкой мышки:
При выборе пункта Перейти к службам откроется окно со списком служб, в котором будут подсвечены службы, связанные с выбранным процессом svchost.exe
При необходимости, можно нажать на ссылку Открыть службы в нижней части экрана, и, непосредственно из диспетчера задач, открыть список системных служб (оснастку консоли управления Windows services.msc ). Диспетчеры задач Windows Vista – Windows 8.1 менее информативны и обладают меньшей функциональностью, но также позволяют выполнять переход от выбранного процесса к связанным с ним службам.
Использование Process Explorer ( procexp.exe ) из пакета Sysinternals Suite
Остальная часть дерева отображает иерархию реально выполняющихся в Windows процессов. Так, например, приложение служб и контроллеров SERVICES.EXE обеспечивает создание, удаление, запуск и остановку служб (сервисов) операционной системы, что и отображается в списке порождаемых им процессов.
Иерархический характер дерева процессов способствует визуальному восприятию родительски-дочерних отношений каждого активного процесса. Нижняя панель дает информацию обо всех DLL, загруженных выделенным в верхней панели процессом, открытых им файлах, папках, разделах и ключах реестра.
При выборе уровня System дерева процессов в нижней панели можно получить информацию обо всех загруженных драйверах системы, их описание, версию, путь исполняемого файла, адрес в оперативной памяти, размер, Кроме того, можно проверить цифровую подпись, а также просмотреть строковые значения в самом исполняемом файле или в оперативной памяти.
При просмотре свойств любого процесса, можно получить очень подробную информацию о ресурсах системы, используемых данным процессом, включая память, процессор, систему ввода-вывода, графическую подсистему и сетевые соединения.
Использование Process Explorer позволяет легко определить дополнительные признаки, которые могут принадлежать вредоносной программе, замаскированной под легальный процесс:
— отсутствует информация о производителе программного обеспечения. В редких случаях это не является настораживающим признаком, но подавляющее большинство разработчиков современного ПО такую информацию предоставляют.
— исполняемый файл находится в \WINDOWS или \WINDOWS\SYSTEM32, но дата его создания значительно отличается от даты создания остальных системных файлов и приблизительно соответствует предполагаемой дате заражения. Тоже довольно редко встречающийся прием вирусного заражения по той же причине, которая приведена в предыдущем пункте.
Одним из приемов диагностики вирусного заражения или причин непомерного потребления системных ресурсов является поочередное принудительное их завершение и анализ состояния системы после него. Вместо принудительного завершения можно использовать последовательное изменение приоритетов процессов на минимальное значение. Если после завершения процесса или снижения его приоритета состояние системы стало нормальным (нет ”подвисаний”, лишнего трафика, роста температуры процессора или видеокарты и т.п.), это явно указывает на необходимость пристального внимания к параметрам процесса, его легальности или принадлежности к вредоносному ПО.
Утилита Process Explorer бесплатна, удобна в использовании, может применяться в переносимом варианте и много лет является одним из наиболее популярных инструментов системных администраторов Windows.
Дополнение к статье:
Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»
Svchost.exe: системный процесс, которого так боятся пользователи Windows
Сегодня мы поговорим про Svchost.exe, что это за процесс и почему он может грузить систему.
СОДЕРЖАНИЕ (нажмите на кнопку справа):
Как зайти во вкладку процессы
Пока компьютер работает нормально, обычного пользователя мало интересует, какие процессы запущены в системе и для чего они нужны вообще.
А вот нестандартное поведение ОС Windows XP/Vista/7 – торможение, зависание, частые перезагрузки, заставляет нас искать причины.
С чего же начать поиск? Давайте попробуем запустить «Диспетчер задач».
Теперь переходим на вкладку «Процессы» и изучаем список.
Большое количество процессов svchost.exe сразу настораживает. Ну что ж, самое время разобраться с возможностями этого приложения.
Первое знакомство с svchost.exe
Этот способ считается более эффективным. Однако, библиотечный файл, в отличие от исполняемого, сам стартовать не может.
Запустить службу (сервис) из dll-файла «помогает» приложение svchost.exe.
Вот, например, как запускается служба DNS-клиента:
Несколько слов о процессах svchost.exe
Каждый экземпляр процесса svhost.exe инициируется родителем — системным процессом services.exe.
Один процесс svshost.exe может запускать одну службу или группу, состоящую из нескольких логически связанных служб Windows.
Для просмотра svchost-групп и их состава переходим в реестр Windows:
Например, в состав группы DcomLaunch входят следующие сервисы:
Ни одну из выше указанных служб отключать не рекомендуется.
При просмотре данных процесса svchost обязательно обратите внимание на колонку «Имя пользователя».
В ней может находиться только одно из следующих значений: «Local Service», «System», «Network Service».
В операционных системах Windows XP/Vista/7 местоположение файла svchost.exe – стандартное:
Запомним точный адрес файла. Это нам пригодится в дальнейшем.
Процесс svchost.exe и его связи
Диспетчер задач выдает нам целый список запущенных процессов svchost.exe, но этой информации явно недостаточно.
Естественно, нас интересует, какие именно сервисы запускает конкретный экземпляр этого процесса.
Итак, несколько способов узнать о связях svchost’а.
Команды tasklist и sc.
Применение команд tasklist и sc возможно в любой версии Windows. Поэтому, этот способ можно считать универсальным.
Прежде всего, запускаем cmd – интерпретатор командной строки Windows:
Для получения списка служб на экране интерпретатора запускаем команду tasklist с ключом svc и нажимаем клавишу «Enter»:
Для сохранения результатов запроса в текстовый файл svc.txt, находящийся на диске C: в папке temp, делаем перенаправление вывода команды tasklist:
Заметим, что файл будет сохранен в dos-кодировке.
Фрагмент листинга tasklist.exe.
Имя образа PID Службы:
Чтобы получить информацию о конкретном сервисе, задаем его краткое название в качестве параметра команды управления сервисами sc.
Пример получения сведений о службе TermService.
– sc qc TermService «Enter».
Два способа перехода к списку сервисов.
Диспетчер задач Windows Vista/7.
Получаем список сервисов, связанных с процессом svchost с помощью диспетчера задач Windows Vista/7:
В операционной системе Windows XP опция «Перейти к службам», к сожалению, отсутствует. Этот вариант нельзя считать универсальным.
Утилита Process Explorer.
Эта программа не входит в дистрибутивы Windows, но доступна к скачиванию с сайта Microsoft либо со страницы загрузки Process Explorer.
Процесс запуска очень простой и не требующий инсталляции:
Утилита выдает детальную информацию о процессах, запущенных в системе: pid, загрузку cpu, краткое описание, сведения о производителе и т.д.
При наведении мыши на название одного из экземпляров svchost’а мы получили следующую информацию:
Контекстное меню, вызываемое нажатием правой кнопки мыши, предоставляет большие возможности по управлению процессом и службами, которые он запускает.
Утилита AnVir Task Manager.
Программа AnVir Task Manager не только обеспечивает управление запущенными процессами, сервисами, драйверами и автозагрузкой, но и выполняет функции антивируса.
Порядок запуска такой же, как и у Process Explorer’а:
Для переключения языка при первом запуске программы пользуемся главным меню:
Выбираем вкладку «Процессы» для получения подробной информации о наших svchost’ах.
В строке процесса мы видим сведения о производителе, путь к исполняемому файлу, процент загрузки ЦП и т.д.
Но самые интересные данные представлены в колонке «Автозагрузка». Здесь вы найдете список запускаемых svchost’ом сервисов.
Дважды щелкаем левой кнопкой мыши по названию процесса и получаем более детальную информацию о нем (окно с вкладками в нижней части экрана).
Система тормозит что делать
Какие симптомы указывают на виновность svchost и как устранить проблемы. Давайте разберемся.
Система может тормозить по разным причинам. Но если в диспетчере задач вы обнаружите процесс svchost.exe c высоким процентом загрузки центрального процессора (иногда даже около 100%) – вполне вероятно, что причина именно в нем.
Многие пользователи считают, что в этом случае svchost обязательно является вирусом. Но это не так. Процесс может грузить систему и по другим причинам.
Давайте рассмотрим, как решить проблему с svchost’ом в обоих случаях.
Svchost – вирус или нет?
Многие трояны и другие компьютерные вирусы маскируются под известные системные приложения Windows. Svchost – не исключение.
По данным лаборатории Касперского svchost’ом «прикидываются» вирусы Trojan-Clicker.Win32.Delf.cn, Virus.Win32.Hidrag.d, Net-Worm.Win32.Welchia.a, а также известный большинству пользователей вирус Kido.
Итак, начинаем проверять наш процесс.
В первую очередь обратите внимание на расположение файла svchost.exe. Если оно отличается от стандартного – файл смело можно удалять.
Проверьте имя пользователя, запустившего процесс. Список допустимых имен приведен в разделе «Несколько слов о процессах svchost.exe».
Внимательно перечитайте имя процесса. Вирусописатели часто используют похожие имена: svhost, svchosts и т.д.
Приложение никогда не может запускаться через раздел «Run» реестра Windows.
Поэтому обязательно нужно проверить его наличие в автозагрузке:
Для удаления подозрительного процесса в диспетчере задач вызываем контекстное меню нажатием правой кнопки мыши и выбираем команду «Завершить дерево процессов».
После выполнения всех описанных действий необходимо обязательно запустить антивирусную программу и пролечить компьютер.
Svchost не является вирусом, но грузит систему
Если вы убедились, что svchost – реальный системный процесс, давайте разберемся со службами, которые он запускает.
Порядок действий следующий – по очереди останавливаем службы, связанные с процессом, и смотрим, что получится.
Мы уже рассказывали о том, как перейти к списку сервисов в разделе «Процесс svchost.exe и его связи». Теперь разберемся, как их останавливать.
Отключение сервиса в стандартной программе «Службы» ОС Windows:
Отключение сервиса в программе Process Explorer:
Отключение сервиса в программе AnVir Task Manager:
Отключение сервиса с помощью команды sc:
Если остановленная вами служба не является причиной загрузки процессора, ее следует запустить и повторить те же действия со следующей службой.
Отметим, что остановка службы действует только до перезагрузки Windows. Поэтому, если вы нашли «виновницу», которая грузит систему, нужно отключить ее запуск в программе «Службы»:
Перед отключением службы вы должны четко представлять, какие функции она выполняет и не приведет ли ее отключение к нарушению работы системы.
Заметим, что при установке Windows включается стандартный набор служб. Некоторые из них могут быть совершенно не нужны вам для работы, и только потреблять ресурсы компьютера.
Поэтому желательно разобраться в назначении каждой из них и отключить лишние службы.
Четыре возможных причины большой загрузки процессора
Если список служб, запускаемых svchost’ом, достаточно велик – поиск «виновника» превращается в довольно утомительное занятие.
Несколько полезных советов, на что следует обратить внимание в первую очередь.
Профиль | Отправить PM | Цитировать 
