Высокая загрузка CPU процессом System (Ntoskrnl.exe) в Windows
На одном их компьютеров с только что установленной Windows 10 пользователь стал жаловаться на постоянные зависания и медленную работу ОС. В диспетчере устройств видно, что более 50% ресурсов процессора используется процесс System (ntoskrnl.exe). В этой статье я постараюсь описать основные методики диагностики высокой загрузки CPU различными процессами и методы выявления проблемного компонента Windows.
Ситуация, когда процесс System потребляет более половины процессорных ресурсов системы — это не нормально. Сам по себе файл Ntoskrnl.exe представляет собой исполняемый файл ядра ОС. Это базовый процесс системы. В рамках ядра ОС выполняется запуск системных драйверов устройств, которые скорее всего и являются источником проблемы (далеко не все драйверы соответствующим образом тестируются разработчиками оборудования).
Как правило, проблема утечки в коде драйверов и высокая нагрузка на процессор, память или диск возникает после установки нового оборудования, установки новой версии драйвера (в том числе при автоматическом обновлении драйверов, которое можно отключить) или после апгрейда Windows.Совет. В некоторых случаях высокую нагрузки на процессор и память может вызывать процесс Система и сжатая память Чтобы понять, какой конкретно драйвер или модуль вызывает высокую загрузку процессора можно воспользоваться бесплатной утилитой Process Explorer. Скачайте и запустите ее с правами администратора.
В списке запушенных процессов найдите процесс System, щелкните по нему ПКМ и откройте его свойства Properties.
Перейдите на вкладку Threads. Отсортируйте список модулей, загруженных ядром по степени использования процессора (столбец CPU). В строке Start Address указано имя функции или драйвера, вызывающего высокую загрузку (скриншот не с проблемной системы).
Также, чтобы выявить драйвер, который вызывает высокую загрузку CPU, можно воспользоваться бесплатной утилитой Microsoft — kernrate.exe (Kernrate Viewer). Утилита входит в состав WDK (Windows Device Kit). После установки WDK, найти утилиту можно в каталоге …\Tools\Other\amd64.
Запустите утилиту kernrate.exe без аргументов и подождите некоторое время, пока идет сбор данных (10-15 минут), после чего прервите работу утилиты сочетанием клавиш Ctrl-C: Посмотрите на список модулей в секции Result for Kernel Mode.
Как вы видите, в нашем примере высокую нагрузку на CPU вызывает модуль b57nd60x. С помощью Google или утилиты sigcheck (смотри пример) можно определить, что проблему вызывает драйвер сетевой карты Broadcom NetXtream Gigabit Ethernet NDIS6.0 Driver.
Кроме того, проанализировать использование CPU при загрузки системы можно с помощью Windows Performance Toolkit (WPT). Нужно установить компонент и запустить сбор данных с помощью графической консоли Windows Perfomance Recorder (First level triangle + CPU usage -> Start)
Либо так:
xperf -on latency -stackwalk profile -buffersize 1024 -MaxFile 256 -FileMode Circular && timeout -1 && xperf -d cpuusage.etl
Совет. Этот способ удобно использовать, если после загрузки система напрочь зависает и работать в ней просто невозможно. Скорее всего вам также будет полезна статья с методикой диагностики долгой загрузки Windows.
Полученный файл нужно сохранить и открыть в WPA. Разверните стек процесса System. В этом примере видно, что высокую нагрузку на процессор вызывает драйверathrx.sys (Wi-Fi адаптер Atheros Wireless Network Adapter).
Итак, проблемный драйвер обнаружен. Что делать дальше?
Для решения проблемы нужно попробовать установить более новую (или старую) версию драйвера или же совсем отключить оборудование, если проблема наблюдается со всеми версиями драйвера. Обновленный драйвер можно дополнительно проверить стресс-тестом с помощью Driver Verifier.
Как отключить автоматическое обновление Windows 10 и системные службы
Компания Microsoft в операционной системе Windows 10, и более ранних версиях, предусмотрела возможность автоматического обновления программного обеспечения. К сожалению, данная функция на некоторых компьютерах приводит к тому, что при проверке доступных обновлений на сервисах Microsoft, файл System грузит оперативную память или жесткий диск. В таком случае единственным решением является отключение автоматического обновления Windows 10
Внимание: Если вы отключили автоматическое обновление Windows 10, рекомендуем раз в несколько месяцев (или недель) самостоятельно проверять наличие новых сборок операционной системы
Отключить автоматическое обновление Windows 10 довольно просто, для этого необходимо:
- Нажать на клавиатуре сочетание клавиш Windows+R, и в открывшемся меню «Выполнить» прописать команду services.msc, а после нажать «ОК».
- Команда services.msc позволит открыть меню, в котором отображаются все системные службы. Листаем немалый список до тех пор, пока не обнаружим службу «Центр обновления Windows (локальный компьютер)». Жмем на обнаруженный элемент правой кнопкой мыши, и в выпавшем меню выбираем «Свойства».
- Откроются свойства выбранной службы, и здесь надо сперва нажать кнопку «Остановить», если она активна, а после изменить «Тип запуска» на «Отключена».
Выполнив указанные выше инструкции, в операционной системе будет отключена служба, которая занимается автоматической проверкой, в «фоновом» режиме, актуальности действующей на компьютере версии Windows.
Помимо автоматического обновления Windows 10, чтобы процесс System не грузил систему, необходимо отключить и некоторые службы. В меню «Служб», которое открывается командой services.msc, также необходимо остановить, а после отключить, следующие локальные службы:
- KtmRm для координатора распределенных транзакций
- Snupchat
- Superfetch
- Агент политики IPsec
- Клиент отслеживания изменившихся связей
- Служба политики диагностики
Обратите внимание: в зависимости от версии операционной системы Windows, а также количества установленных драйверов и кодеков, некоторые службы, перечисленные выше, могут отсутствовать. После отключения антивируса DrWeb, автоматического обновления Windows 10 и некоторых служб, следует перезагрузить компьютер
За счет отключения ряда задач, которые отнимали много ресурсов компьютера, должна в целом повыситься производительность работы системы, а в «Диспетчере задач» исчезнет проблема с загрузкой жесткого диска и оперативной памяти
После отключения антивируса DrWeb, автоматического обновления Windows 10 и некоторых служб, следует перезагрузить компьютер. За счет отключения ряда задач, которые отнимали много ресурсов компьютера, должна в целом повыситься производительность работы системы, а в «Диспетчере задач» исчезнет проблема с загрузкой жесткого диска и оперативной памяти.
Вирусы и трояны
Хотя в диспетчере и отображаются все процессы, но это не совсем отвечает действительности. Вирусы могут маскировать свою активную деятельность в системе. Так как официальные программы обязаны выводить свои потребляемые ресурсы, их можно легко отследить. С вредителями все иначе. Хакеры заинтересованы в сокрытии своей деятельности, в некоторых случаях им это удается. Если диспетчер задач отображает все процессы в нормальной работе, то заторможенность компьютера возникает по причины вирусов.
- Произведите полное сканирование всех дисков на наличие вирусов.
- Отследите последние ваши действия в системе, удалите недавно установленные программы.
- Примените adware-сканер AdwCleaner.
Нагрузка возможна из-за наличия вирусных программ
Почему не стоит отключать Windows Defender
Разработчики ОС Microsoft в своих релизах настоятельно не рекомендуют отказываться от использования встроенной защиты, поскольку убеждены, что именно их продукт позволяет нейтрализовать все внешние угрозы. Даже если ваш ПК не подключен к Всемирной сети, ведь подхватить зловредный код можно, например, из флешки или другого подключённого внешнего устройства. На самом деле антивирусные программы от известных производителей обладают более высокой степенью защиты, так что, если вы отключаете «Защитника» из-за зависаний, обеспечьте надёжную защиту компьютера альтернативными способами.
Другие проблемы обновления
Причиной подобного сбоя может быть совершенно другая программа, которая вступает в конфликт с службой, это случается при использовании одинаковых портов. Среди встречающихся проблем можно выделить:
- Трафик фильтруется фаерволом или антивирусом, такая программа может блокировать получение файлов и создаётся двойная нагрузка. Замечено, что возникают сбои из-за программы HP Support Assistant;
- Очистите кэш обновлений. Используется, чтобы удалить битый файл, вручную это можно сделать, если перейти в папку SoftwareDistribution и удалить элементы;
- Необходимо выполнить проверку целостности системы, она исправит возможные неисправности и позволит правильно работать процессу. Для этого вам следует: нажмите Win + R и введите cmd, затем вставьте команду dism /online /cleanup-image /restorehealth;
- Попробуйте запустить систему в безопасном режиме с сетевыми драйверами и выполнить процедуру вручную;
- Дополнительно можно просто ограничить количество выделяемых ресурсов. Сделать это можно нажав ПКМ по процессу и задать ему «Низкий приоритет». Из-за ограничения потребляемых ресурсов сама процедура будет занимать больше времени.
Это дополнительные способы устранить проблему, но они срабатывают не всегда. Если всё же не удалось помочь процессу завершиться, то необходимо его просто выключить.
Процессы, которые могут нагружать систему
Процессы, которые могут существенно нагрузить ваш компьютер: wpffontcache_v0400, rundll32, довольно часто Interrupts грузит ЦП, также причиной могут быть некоторые другие задачи. Рассмотрим некоторые из них.
Trustedinstaller
Эта задача запускается самой системой Windows, она участвует в обновлении системы. Как быть, что требуется сделать, если trustedinstaller грузит процессор. Обычно нагрузка на ЦП из-за данного процесса возрастает в тех случаях, когда он в фоновом режиме сканирует компьютер, чтобы проверить необходимость апдейта. Многие обновления требуют для установки перезагрузки, после которой загруженность процессора уменьшится до обычных значений. Для снятия проблемного процесса, надо выделить его в списке и нажать кнопку Снять задачу.
Чтобы полностью отключить trustedinstaller, нужно зайти в «Пуск» — «Панель управления» — «Настройка автоматических обновлений Windows», где следует выбрать пункт «Не запрашивать и не устанавливать обновления». Если после перезагрузки процесс не исчезнет, то проверьте ПК на наличие вирусов.
Wpffontcache_v0400.exe
Процесс wpffontcache_v0400 чаще всего грузит систему в старых версиях Windows. Этот исполняемый файл входит в библиотеки Microsoft .NET Framework. Его задача заключается в оптимизации отображения шрифтов. Он представляет собой кэш, в который записываются данные об используемых стилях текста, что позволяет при необходимости мгновенно загружать требуемые элементы интерфейса. Этот файл не является жизненно необходимым для работы системы, поэтому его можно удалить. Это можно сделать с помощью Командной строки. Для того чтобы зайти в нее, требуется нажать сочетание клавиш Win + R, а затем ввести команду
Обычно wpffontcache_v0400 начинает вызывать проблемы, связанные с нагрузкой на процессор в тех случаях, когда файл поврежден. Чтобы исправить проблемы с производительностью, можно просто обновить имеющуюся библиотеку .NET Framework.
Другой вариант — полное удаление поврежденного файла:
- Сначала необходимо остановить процесс wpffontcache_v0400 в окне «Диспетчер задач».
- После этого нажать сочетание клавиш Win + R.
- В появившемся окне «Выполнить» ввести cmd и нажать OK.
- Появится окно Командной строки, где нужно ввести команду и нажать Enter.
- Перезагрузить компьютер.
После проделанных действий проблема будет решена.
Rundll32.exe и mscorsvw.exe
Если ваш процессор нагружен почти на 100% задачей под названием rundll32, то скорее всего это связано с обновлением до десятой версии Windows. В этом случае стоит установить программу Process Explorer, с помощью которой можно узнать, с какими параметрами запускается тот или иной процесс. Если загрузка системы связана с обновлением, то для rundll32.exe в строке «Command line» будут указаны appraiser.dll, DoScheduledTelemetryRun. Если вы не хотите обновляться до новой версии операционной системы, то их можно просто отключить. Это можно сделать с помощью Планировщика заданий, который находится в разделе «Администрирование» Панели управления.
Чтобы отключить Appraiser, нужно зайти в «Планировщик заданий», далее в библиотеку «Microsoft», после в папку «Windows», а затем в папку «Application Experience», в которой будет находиться файл «Microsoft Compatibility Appraiser». Эту задачу нужно отключить, выбрав из появившегося списка при нажатии правой кнопочкой мыши необходимую строку. В результате чего нагрузка на процессор, связанная с rundll32, существенно снизится.
Второй процесс, относящийся к библиотеке .NET Framework, который нередко грузит процессор, называется mscorsvw.exe. Этот элемент библиотеки предназначен для того, чтобы Windows-приложения могли одинаково эффективно работать на разных компьютерах без привязки к определенному аппаратному обеспечению. Как правило этот процесс самостоятельно запускается в определенное время, существенно увеличивая нагрузку на ЦП.
Не стоит торопиться снять эту задачу, так как mscorsvw.exe выполняет важную работу для увеличения быстродействия компьютера в дальнейшем. Поэтому лучше просто подождать несколько минут.
wmiprvse.exe
В некоторых случаях грузить процессор может wmiprvse.exe. Часто из-за этой задачи ЦП может быть загружен на 100%, что существенно снижает быстродействие компьютера. Если вы через «Диспетчер задач» снимете этот процесс, то он сразу же запустится заново. Обычно для решения проблемы достаточно удалить Windows System Resource Manager.
Как удалить WebHelper? Мощное сканирование антивирусом
Для удаления этой угрозы первым шагом является использование мощного антивирусного сканера, причем не того, который установлен в системе, а независимого портативного приложения вроде KVRT или Dr. Web CureIt!. В идеале лучше воспользоваться дисковыми утилитами или загрузочными программами, записываемыми на съемные USB-устройства типа Rescue Disk.
Однако если в обычных системах вирус и может определяться, в ноутбуках с программным обеспечением HP возникает серьезная проблема, поскольку сканер иногда не может сделать разницы между угрозой и одноименным компонентом справочной системы. А, если взять в расчет, что этот компьютерный червь иногда ведет себя как лже-антивирус, многие защитные пакеты его пропускают. Вот такой интересный компонент этот WebHelper. Что это за процесс, уже понятно, перейдем к практическому удалению угрозы.
Лучшие практики для исправления проблем с steamwebhelper
Аккуратный и опрятный компьютер – это главное требование для избежания проблем с steamwebhelper. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
Следующие программы могут вам помочь для анализа процесса steamwebhelper.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным – шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.
Стандартное удаление
Первый симптом присутствия в системе вируса WebHelper – выскакивает постоянно сообщение о прекращении работы службы или его ошибке. Если это произошло, применяем стандартное удаление средствами Windows. Странно, но программа не скрывается, хотя и воспроизводит собственные копии (видимо, у ее создателей достаточно много наглости, чтоб не маскировать угрозу – при условии самокопирования это и понятно).
Итак, сначала входим в «Диспетчер задач» (Ctrl + Alt + Del или команда taskmgr в консоли «Выполнить»), выбираем отображение процессов всех пользователей и завершаем все вышеописанные процессы. После этого используем настройку автозапуска через команду msconfig в том же меню «Выполнить», где отключаем автоматический старт этих компонентов.
После этого производим перезагрузку компьютера или ноутбука в безопасном режиме и используем раздел программ и компонентов «Панели управления», где удаляем установленные программы WebHelper, Utorrentie, WebHelper_InstallDownload и Protector (последние два компонента могут не отображаться). Если попутно произойдет удаление оригинальных компонентов справочной системы HP, ничего страшного (их потом можно переустановить с официального сайта разработчика).
WebHelper: что это за процесс? Основные разновидности
Прежде всего нужно четко понимать, что на сегодняшний день существует несколько разновидностей используемого в операционных системах Windows процесса WebHelper. Первый тип предусмотрен исключительно для использования на ноутбуках HP и представляет собой своеобразный онлайн-помощник, помогающий найти ответы на возникающие в процессе работы с программным обеспечением вопросы.
Динамическая библиотека WebHelper.dll, связанная с одноименным исполняемым EXE-файлом, относится к одному из компонентов справочной системы в программных продуктах HP Media Center Firmware and Driver Software и HP Web Helper Module. Эта служба является официальной разработкой Hewlett Packard и никакой угрозы для системы не представляет (хотя, по мнению большинства пользователей, абсолютно бесполезна и не востребована). Таков первый тип модуля WebHelper. Что это за процесс, многие поймут, если просто используют помощь в «чистой» системе.
Со второй разновидностью WebHelper дело обстоит гораздо хуже. На самом деле это замаскированный под официальный процесс компьютерный червь, который на ноутбуках HP можно отличить от настоящего процесса только по некоторым признакам, о которых будет сказано чуть позже. В других компьютерных системах на основе Windows его быть не должно, так что, если такой процесс был замечен, этот компонент нужно сразу же удалить.