Uma análise técnica completa do serviço Out-of-Box Experience Broker — seu propósito, comportamento, uso de recursos, perfil de segurança e como gerenciá-lo no seu sistema.
Se você já abriu o Gerenciador de Tarefas no Windows 10 ou Windows 11 e encontrou um processo chamado User OOBE Broker ou seu serviço subjacente UserOOBEBrokerSvc, saiba que está vendo um componente legítimo e integrado do sistema Windows — não é malware, não é adware e não é nenhum aplicativo de terceiros.
User OOBE Broker · svchost.exe → UserOOBEBrokerSvcO User OOBE Broker funciona como um serviço intermediário em segundo plano que coordena e gerencia as experiências de primeira execução e configuração dentro do Windows. Ele serve de elo entre os fluxos de integração do sistema operacional e a sessão de área de trabalho do usuário, garantindo que determinadas tarefas guiadas de configuração sejam concluídas corretamente e sem conflitos.
Em termos simples, pense nele como um coordenador silencioso que entra em ação quando o Windows precisa guiar você por algo novo: conectar-se a uma rede Wi-Fi pela primeira vez, configurar a biometria do Windows Hello, vincular uma conta Microsoft ou exibir dicas após uma atualização importante. Assim que essas tarefas são concluídas, o processo se encerra silenciosamente.
svchost.exe na aba Detalhes, ou listado diretamente como User OOBE Broker na aba Serviços com o nome de serviço UserOOBEBrokerSvc.
OOBE é a sigla de Out-of-Box Experience (Experiência de Primeiro Uso) — um termo criado pela Microsoft para descrever a sequência inicial de configuração pela qual o usuário passa ao ligar um dispositivo novo ou realizar uma instalação limpa do Windows pela primeira vez.
A fase OOBE inclui tudo o que acontece antes de você chegar à área de trabalho pela primeira vez:
Além da configuração inicial, o termo OOBE se estende também às experiências pós-instalação — os tutoriais de boas-vindas, dicas de apresentação de recursos e avisos de vinculação de conta que podem aparecer dias ou semanas após a instalação, especialmente após as grandes atualizações de recursos do Windows (por exemplo, as atualizações 23H2 ou 24H2 do Windows 11).
Ao contrário de muitos serviços em segundo plano que rodam continuamente, o User OOBE Broker é um serviço sob demanda ativado por eventos. Ele não fica permanentemente na memória; é iniciado somente quando determinados eventos ou condições do sistema são atendidos, conclui seu trabalho e depois é encerrado.
Compreender os fundamentos técnicos do User OOBE Broker ajuda a verificar sua autenticidade e distingui-lo de possíveis impostores.
| Propriedade | Valor |
|---|---|
| Nome do serviço | UserOOBEBrokerSvc |
| Nome de exibição | User OOBE Broker |
| Processo host | svchost.exe |
| Caminho da DLL | C:\Windows\System32\UserOOBEBrokerSvc.dll |
| Editor | Microsoft Windows — assinado digitalmente |
| Tipo de inicialização | Manual (início por gatilho) |
| Conta | Sistema Local |
| Protegido | Sim — Processo Protegido Leve (PPL) |
O serviço é implementado como uma DLL carregada dentro de uma instância compartilhada do svchost.exe — um padrão de arquitetura padrão do Windows que agrupa serviços leves relacionados em um único processo host para reduzir o consumo geral de memória.
O broker utiliza APIs do Windows Runtime (WinRT) e se comunica com a infraestrutura do shell (explorer.exe) e o subsistema de provisionamento para coordenar a apresentação da interface do usuário. Ele também interage com as estruturas de Imagem de Conta, Cortana e o aplicativo Configurações para entregar fluxos de primeira execução contextualmente adequados.
C:\Windows\System32\. Clique com o botão direito no processo no Gerenciador de Tarefas → Abrir localização do arquivo. Se o caminho apontar para qualquer outro lugar, trate o arquivo com suspeita e execute uma varredura antivírus imediatamente.
C:\Windows\System32\ no Explorador de Arquivos.UserOOBEBrokerSvc.dll, clique com o botão direito e selecione Propriedades.Essa é a pergunta mais comum quando os usuários percebem esse processo pela primeira vez. A resposta curta: o User OOBE Broker legítimo é completamente seguro. É um componente assinado da Microsoft que faz parte do Windows desde a versão 1903 do Windows 10.
C:\Windows\System32\svchost.exe.exe independente (não como svchost)Autores de malware ocasionalmente nomeiam seus programas imitando serviços legítimos do Windows — uma técnica chamada falsificação de nome de processo. Se você notar que o processo está consumindo recursos incomuns ou se a localização do arquivo estiver errada, siga as etapas de verificação da seção anterior e execute uma varredura completa com o Microsoft Defender ou um antivírus de terceiros confiável.
Conhecer o perfil típico de recursos desse processo ajuda a identificar rapidamente quando algo pode estar errado em comparação a quando o processo está simplesmente fazendo seu trabalho.
| Cenário | Uso de CPU | Uso de RAM | Duração | Status |
|---|---|---|---|---|
| Em repouso (sem gatilho) | 0% | Não em execução | — | Normal |
| Primeiro login / novo perfil de usuário | 1–5% | 2–8 MB | 30 seg – 2 min | Normal |
| Avisos OOBE após atualização | 0–3% | 3–6 MB | < 1 min | Normal |
| Em execução por mais de 10 minutos | Qualquer | Qualquer | Prolongada | Investigar |
| CPU alta sustentada (>15%) | >15% | — | Persistente | Investigar |
| Múltiplas instâncias simultâneas | Qualquer | Qualquer | Qualquer | Incomum |
Em condições normais, você dificilmente perceberá esse processo porque ele é executado por muito pouco tempo e consome pouquíssimos recursos. Se ele aparecer sistematicamente no Gerenciador de Tarefas com uso elevado mesmo quando você não estiver realizando nenhum fluxo de configuração, consulte a seção de solução de problemas abaixo.
O serviço evoluiu junto com o Windows, tornando-se mais proeminente à medida que a Microsoft expandiu seus recursos de primeira execução e integração de contas.
| Versão do Windows | OOBE Broker Presente | Observações |
|---|---|---|
| Windows 7 / 8.1 | Não | O OOBE antigo era gerenciado diretamente pelo oobe.exe |
| Windows 10 (1507–1809) | Parcial | Framework OOBE inicial; o serviço broker foi introduzido depois |
| Windows 10 (1903 em diante) | Sim | Serviço UserOOBEBrokerSvc completo introduzido |
| Windows 10 (21H2 / 22H2) | Sim | Aprimorado com fluxos de integração da conta Microsoft |
| Windows 11 (21H2 / 22H2) | Sim | Mais ativo — o Windows 11 tem integração mais abrangente |
| Windows 11 (23H2 / 24H2) | Sim | Ativado com apresentações de recursos de IA (Copilot, Recall, etc.) |
Os usuários do Windows 11 podem notar esse processo com mais frequência do que os do Windows 10, pois a Microsoft expandiu consideravelmente as telas de integração no Windows 11 — incluindo avisos para o Microsoft Copilot, Windows Recall, configuração do Phone Link e promoções de assinaturas do Microsoft 365.
Tecnicamente sim — você pode desativar o serviço. Na prática, não é recomendado para a maioria dos usuários, pois pode interromper as experiências de primeira execução, quebrar os fluxos de configuração de novas contas de usuário e interferir no provisionamento corporativo. Veja uma análise honesta:
services.msc e pressione Enter.Alternativamente, via PowerShell (executar como Administrador):
PowerShell — Executar como Administrador
# Desabilitar o serviço User OOBE Broker
Set-Service -Name "UserOOBEBrokerSvc" -StartupType Disabled
Stop-Service -Name "UserOOBEBrokerSvc" -Force
# Para reativá-lo mais tarde:
Set-Service -Name "UserOOBEBrokerSvc" -StartupType Manual
Em casos raros, o serviço broker pode ficar preso em um loop ou não ser encerrado corretamente, resultando em uso de recursos acima do normal. Veja uma abordagem sistemática para solução de problemas:
sfc /scannow. Isso repara arquivos do sistema corrompidos que podem estar causando o mau funcionamento do serviço.DISM /Online /Cleanup-Image /RestoreHealth para reparar a imagem do Windows. Isso pode resolver corrupções mais profundas nos componentes.
Prompt de Comando (Admin) — Comandos de Reparo do Sistema
# Passo 1: Verificador de Arquivos do Sistema
sfc /scannow
# Passo 2: Verificação de integridade DISM
DISM /Online /Cleanup-Image /CheckHealth
# Passo 3: Restauração completa DISM (pode levar 10–20 min)
DISM /Online /Cleanup-Image /RestoreHealth
# Passo 4: Reiniciar para aplicar os reparos
shutdown /r /t 0
Se ele aparece a cada login, geralmente significa que há uma tarefa de primeira execução incompleta que o Windows está tentando apresentar repetidamente — como um aviso de login da conta Microsoft, uma sugestão de configuração do Windows Hello ou um tour de recursos pós-atualização. O processo ainda deve se encerrar rapidamente. Se ele persistir por mais de um minuto ou consumir recursos consideráveis a cada login, execute o reparo SFC /scannow e verifique o Windows Update por atualizações pendentes. Também é possível que uma Diretiva de Grupo ou uma chave de registro esteja redefinindo um indicador OOBE a cada login.
Sim, finalizar a tarefa é seguro. Como o User OOBE Broker é um serviço em segundo plano não crítico, encerrá-lo não causará falha no sistema nem perda de dados. O Windows pode reiniciá-lo automaticamente se a condição de gatilho subjacente ainda existir. Finalizar a tarefa é útil como solução rápida quando o processo está consumindo recursos de forma inesperada.
O serviço em si é um broker de coordenação local — sua função principal é orquestrar os fluxos de interface na sua máquina local, não transmitir dados. No entanto, os processos que ele inicia ou coordena (como fluxos de login de conta e provisionamento do Windows Hello) podem se comunicar com servidores da Microsoft como parte da autenticação e sincronização na nuvem. Esse é um comportamento padrão e esperado, regido pelas configurações de privacidade da Microsoft que você definiu durante a configuração. Se quiser reduzir a telemetria, use a seção de Privacidade e Segurança nas Configurações do Windows, e não desabilitando este serviço broker.
Teoricamente sim — malware pode receber qualquer nome. As etapas-chave de verificação são: (1) confirmar que o arquivo está localizado em C:\Windows\System32\, (2) verificar a assinatura digital válida da Microsoft pelas Propriedades do arquivo e (3) confirmar que ele é executado sob o svchost.exe e não como um executável independente. Um UserOOBEBroker.exe independente rodando de uma pasta incomum deve ser tratado como suspeito imediatamente.
Quase certamente não de forma perceptível. Como o serviço é executado sob demanda e não fica permanentemente em segundo plano, ele tem essencialmente impacto zero no desempenho diário do Windows. Desativá-lo não traz nenhum benefício de desempenho significativo para usuários domésticos ou corporativos típicos. Você terá resultados muito melhores desabilitando programas de inicialização desnecessários, gerenciando as configurações de energia ou atualizando para um SSD se estiver em busca de ganhos reais de desempenho.
Essa é uma observação comum. Mesmo em um sistema bem estabelecido, o broker pode ser ativado por: (1) uma grande atualização de recursos do Windows que introduziu novos avisos de integração, (2) um novo serviço da Microsoft sendo implantado (como o Copilot no Windows 11), (3) uma nova conta de usuário fazendo login pela primeira vez, ou (4) alterações nas configurações da conta que redefinem determinados indicadores de primeira execução. O processo normalmente será concluído e desaparecerá em um ou dois minutos.
oobe.exe é o aplicativo monolítico mais antigo de Out-of-Box Experience que gerencia o assistente de configuração em tela cheia que você vê antes de chegar à área de trabalho do Windows pela primeira vez (configuração de idioma, Wi-Fi, conta etc.). UserOOBEBrokerSvc é o broker modular mais recente que gerencia fluxos menores de integração pós-configuração e experiências de primeira execução por usuário dentro de uma sessão do Windows já em execução. Ambos têm propósitos relacionados, mas distintos na arquitetura de integração.
O processo User OOBE Broker é um componente do sistema Windows normal, seguro e útil. Ele existe para coordenar a Out-of-Box Experience — os fluxos de primeira execução, integração e configuração que a Microsoft integra ao Windows para ajudar os usuários a configurar seus dispositivos sem problemas.
Para a grande maioria dos usuários, este processo não requer nenhuma ação. Ele é executado brevemente quando necessário, consome recursos insignificantes e se encerra automaticamente. Se você notar que ele está se comportando de forma incomum — CPU persistentemente alta, múltiplas instâncias ou um arquivo localizado fora do System32 — as etapas de solução de problemas acima ajudarão você a resolver o problema de forma sistemática.
Resumindo: não o desative sem um bom motivo, verifique sua autenticidade se algo parecer estranho e confie que o Windows está simplesmente fazendo seu trabalho para melhorar sua experiência de configuração.