Как найти причину тормозов и вирусы через Process Explorer

Иван Корнев·08.05.2026·⏱5 мин

Process Explorer — это бесплатная утилита от Microsoft Sysinternals, которая заменяет стандартный Диспетчер задач и позволяет точно определить, какой процесс нагружает процессор или диск, а также выявить скрытые вирусные активности. Для быстрой диагностики скачайте утилиту, запустите от имени администратора, отсортируйте процессы по колонкам CPU или I/O Disk и проверьте цифровую подпись подозрительных файлов перед их завершением.

Оглавление

Почему Process Explorer лучше стандартного диспетчера
Установка и первоначальная настройка
Диагностика: что грузит процессор (CPU)
Диагностика: что грузит жесткий диск (Disk)
Как отличить вирус от системного процесса
Безопасное удаление вредоносных процессов
Частые ошибки при диагностике
FAQ

Почему Process Explorer лучше стандартного диспетчера

Стандартный «Диспетчер задач» в Windows 10/11 показывает общую нагрузку, но часто скрывает детали. Process Explorer дает преимущество за счет:

Иерархии процессов: вы видите дерево «родитель-потомок». Если браузер запустил сторонний модуль, который завис, вы увидите эту связь.
Подсветки изменений: новые процессы подсвечиваются зеленым, завершающиеся — красным.
Проверки подписей: встроенная проверка цифровых подписей VirusTotal (при настройке) или сертификатов Microsoft помогает мгновенно выявить подделки.
Детализации I/O: точные данные о чтении/записи на диск для каждого процесса, а не только общая активность.

Установка и первоначальная настройка

Утилита не требует установки. Скачайте архив с официального сайта Microsoft Sysinternals, распакуйте его и запустите procexp.exe.

Критически важные шаги перед началом работы:

Запуск от имени администратора: Нажмите правой кнопкой мыши на файл и выберите «Запуск от имени администратора». Без этого вы не увидите процессы других пользователей и некоторые системные службы.
Включение проверки подписей: В меню выберите Options → Verify Image Signatures. Это добавит колонку, показывающую, подписан ли файл издателем.
Настройка колонок: Нажмите Ctrl+L (или View → Select Columns).
- Для вкладки Process Performance убедитесь, что включены: CPU, Private Bytes, Working Set.
- Для вкладки Process I/O включите: I/O Read Bytes, I/O Write Bytes, Other Bytes.

Чтобы Process Explorer заменил собой стандартный диспетчер задач навсегда, зайдите в Options → Replace Task Manager. Теперь при нажатии Ctrl+Shift+Esc будет открываться эта утилита.

Диагностика: что грузит процессор (CPU)

Если компьютер тормозит, вентиляторы шумят, а системы зависают:

Кликните по заголовку колонки CPU, чтобы отсортировать процессы по убыванию нагрузки.
Обратите внимание на процессы, которые стабильно держат высокие значения (например, >10–20% на одном ядре).
Наведите курсор на процесс, чтобы увидеть всплывающую подсказку с путём к исполняемому файлу.

Анализ потоков (Threads): Если процесс нагружает CPU, но вы не понимаете, почему:

Дважды кликните по процессу.
Перейдите на вкладку Threads.
Отсортируйте по колонке Cycles Delta или CPU. Вы увидите конкретный поток внутри процесса, который потребляет ресурсы. Это помогает понять, является ли проблема внутренней ошибкой программы (зацикливание) или полезной работой (рендеринг, архивация).

Диагностика: что грузит жесткий диск (Disk)

Высокая загрузка диска (100% Activity) часто делает систему полностью неотзывчивой. Стандартный диспетчер задач редко показывает виновника точно.

В Process Explorer добавьте колонки ввода-вывода: View → Select Columns → вкладка Process I/O.
Включите отображение I/O Write Bytes и I/O Read Bytes.
Отсортируйте по этим колонкам. Процесс, который постоянно пишет гигабайты данных на диск, будет в топе.

Как узнать, какие файлы пишутся:

Нажмите Ctrl+H (или Find → Find Handle or DLL).
В поле поиска введите имя диска (например, D:) или оставьте пустым, чтобы посмотреть все открытые дескрипторы.
Более простой способ: дважды кликните по подозрительному процессу, перейдите на вкладку Disk Activity. Там будет список конкретных файлов, к которым обращается процесс прямо сейчас.

Как отличить вирус от системного процесса

Вирусы часто маскируются под системные имена (svchost.exe, csrss.exe, explorer.exe). Вот чек-лист для проверки:

Признак	Системный процесс	Вирус / Майнер / Троян
Путь к файлу	`C:\Windows\System32`, `C:\Program Files`	`C:\Users\Name\AppData\Local\Temp`, `C:\ProgramData`
Цифровая подпись	Есть, издатель: Microsoft Windows, Adobe и т.д.	Отсутствует или подпись неверна/подделана
Имя процесса	Точное совпадение с системным	Опечатки (например, `scvhost.exe` вместо `svchost.exe`)
Родительский процесс	Логичный (например, `services.exe` для служб)	Странный (например, `explorer.exe` запустил `cmd.exe`, а тот — `powershell`)

Никогда не удаляйте процессы из папки C:\Windows\System32, если вы не уверены на 100%, что это вредонос. Подмена системных файлов может привести к невозможности загрузки Windows.

Безопасное удаление вредоносных процессов

Если вы выявили подозрительный процесс, действуйте по алгоритму:

Приостановите процесс: Нажмите правой кнопкой мыши → Suspend. Это остановит его работу, но не удалит из памяти. Если система начала работать быстрее, вы нашли виновника.
Проверьте путь: Нажмите правой кнопкой → Properties → вкладка Image. Скопируйте путь к файлу.
Проверьте в антивирусе: Не удаляйте файл сразу. Загрузите его на VirusTotal или проверьте установленным антивирусом.
Завершите процесс: Нажмите Kill Process (или Kill Process Tree, чтобы убрать всех потомков).
Удалите файл: Перейдите по пути, найденному в шаге 2, и удалите исполняемый файл. Если файл не удаляется, перезагрузитесь в Безопасном режиме и повторите операцию.
Очистите автозагрузку: Проверьте планировщик заданий (taskschd.msc) и папки автозагрузки, так как вирус мог прописать себя там для повторного запуска.

Частые ошибки при диагностике

Удаление svchost.exe: Это хост-процесс для служб Windows. Их может быть много. Чтобы узнать, какая служба внутри него грузит систему, наведите на него курсор или раскройте группу процессов (значок «+» слева).
Игнорирование прерываний (Interrupts): Если процесс System Idle Process имеет низкие значения, а нагрузка высокая, но конкретный процесс не виден, посмотрите на Hardware Interrupts. Высокая нагрузка здесь указывает на проблему с драйверами оборудования, а не с программами.
Паника при высоком использовании памяти: Windows специально кэширует часто используемые данные в оперативную память (Standby Memory). Это нормально и освобождается автоматически при необходимости. Смотрите на Private Bytes, а не только на Working Set.

FAQ

Безопасно ли использовать Process Explorer? Да, это официальная утилита Microsoft. Однако изменение приоритетов процессов или принудительное завершение системных служб может вызвать нестабильность. Используйте функцию Suspend для тестов перед полным удалением.

Process Explorer показывает вирус, но антивирус молчит? Антивирусы работают по сигнатурам и эвристике в реальном времени. Process Explorer показывает фактическую активность. Если процесс грузит CPU, майнит криптовалюту или шифрует файлы, но еще не добавлен в базы антивирусов, вы увидите его здесь. В таком случае поможет ручное удаление и отправка образца в поддержку антивируса.

Как вернуть всё назад, если я случайно закрыл важный процесс? Просто перезагрузите компьютер. Большинство системных процессов восстановятся автоматически при старте Windows. Если вы удалили файл, используйте точку восстановления системы.

Можно ли использовать Process Explorer на Windows 11? Да, утилита полностью совместима с Windows 10 и 11, включая последние обновления 2025–2026 годов.