In den Zeiten, wo immer mehr Trojaner und Viren ihr Unwesen auf den Rechnern der ahnungslosen User treiben, hat so mancher Benutzer schon mal einen Blick in den Taskmanager geworfen und ihm ist sicherlich der Prozess svchost.exe aufgefallen, der auch gerne mal mehrmals gestartet ist.
Ist es ein Trojaner? Ein Rootkit? Ist es gefährlich?
Was ist svchost.exe?
Microsoft hat alle Funktionen von Windows, die vorher als EXE Dateien im System integriert waren, in DLL Dateien gepackt. Das hat den Vorteil, das auch andere Anwendungen von diesen Funktionen Gebrauch machen können.
Nur ist damals ein neues Problem aufgetaucht: DLL Dateien lassen sich unter Windows nicht direkt aufrufen, wie EXE Dateien, sind also nicht ausführbar. Eine DLL Datei braucht eine Applikation, die diese laden kann. Somit war svchost.exe geboren.
Wieso läuft dieser Prozess aber mehrmals?
Wenn man einen Blick in den Taskmanager von Windows XP oder Windows Vista wirft, dann entdeckt man schnell, das dieser Prozess svchost.exe mehrmals gestartet ist, aber wieso ist das so?
Werfen wir zuerst einen Blick in das Register Dienste im Taskmanager (nur in Windows Vista). Dort werden für die verschiedenen Funktionen, wie Firewall, DHCP, Computerbrowser usw. eigene Dienste gestartet. Wenn nun jeder Dienst in einer Instanz, also Prozess von svchost.exe laufen würde und ein Dienst versagen würde, durch einen Absturz beispielsweise, dann würde das ganze Windows Betriebssystem dadurch mitgerissen werden. Das wäre denkbar schlecht.
Microsoft hat nun die Dienste in Gruppen unterteilt. Für jeder dieser Gruppe wird eine neue Instanz von svchost.exe gestartet. Das bedeutet, das für Firewalldienste beispielsweise eine svchost.exe Instanz gestartet wird, diese aber 3 Dienste auf einmal beherbergt. Somit sind in einem svchost.exe Prozess 3 Dienste gestartet.
Wie kann ich erkennen, welche Dienste unter einem svchost.exe Prozess laufen?
Um alle svchost.exe Prozesse anzeigen zu lassen, muss man im Taskmanager die Option Prozesse aller Benutzer anzeigen auswählen, da die svchost.exe Prozesse nicht vom momentan angemeldeten Benutzer gestartet werden, sondern von Systemkonten und diese werden Standardmässig nicht angezeigt.
Klickt man unter Windows Vista auf einen svchost.exe Prozess mit der rechten Maustaste, hat man die Auswahl Zu Dienste(n) wechseln. Wählt man diese Option aus, werden im Dienste Tab alle Dienste markiert, welche zu diesem svchost.exe Prozess gehören.
Unter Windows XP ist dies nicht möglich. Es gibt jedoch einen Komandozeilenbefehl, der das gleiche bewirkt und dieser funktioniert unter Windows XP wie auch unter Windows Vista.
Gibt man tasklist /svc ein, erhält man folgendes Ergebnis:
Nun werden alle momentan laufenden Prozesse angezeigt. Hinter den Prozessen svchost.exe, die ja mehrmals auftauchen, sind dann alle Dienste vermerkt, die unter dem einen svchost.exe Prozess laufen. Die Dienste werden nicht ausgeschrieben, sondern so dargestellt, wie ihr interner Name ist.
Da muss man dann unter Umständen in den Diensten direkt suchen gehen, welcher nun gemeint ist.
Process Explorer – Eine andere Möglichkeit
Mark Russinovich, ehemalig Systeminternals und heute Microsoft, hat ein funktionelles Programm für die Darstellung von Prozessen geschrieben. Der Process Explorer läuft unter Windows XP und Windows Vista. Damit ist es ebenfalls möglich, die Dienste zum svchost.exe Prozess anzuzeigen. Dort werden die Dienste mit vollen Namen ausgeschrieben.
Mit einem Doppelklick auf den svchost.exe Prozess öffnet sich ein Fenster und unter Services sind dann alle Einzelheiten aufgezeigt.
So, das war’s zu diesem Thema, ich hoffe, das ich euch etwas Licht ins Dunkle geben konnte, was der svchost.exe Prozess anbetrifft.
soo…. etwas gelernt
bin ein informatikerlehrling.. 
LOL
Das is also kein Virus?
Danke für diesen Artikel!!!
Great!
so ne saubere und für mich (als Durchschnitts-PC-User) so verständliche Erklärung und Zusammenfassung habe ich schon länger gesucht.
Meist finden sich nur Bruchstücke einer Erklärung im WEB — Deine ist vorzüglich
Gratuliere Martin
Dieser Kommentar ist vollständig und sehr verständlich.
@Filipo
danke für das kompliment!
du meinst wohl beitrag, nicht kommentar
Tag auch
Möchte mich ebenfalls für diesen Artikel bedanken. Hab auch schon etliches über diese Datei gelesen, doch wirklich verstanden hab ichs nie, bis jetzt!
Und das mit dem “Process Explorer”, göttlich!, sowas habe ich schon lange gesucht.
Greez Charon
Pingback: Photographie und Webdesign » Blog Archive » Ärger mit svchost.exe und wieso habe ich mehrere svchost.exe Prozesse im Taskmanager?
Hallo,
ich wollte ebenfalls meinen Dank über die durchaus super verständliche und logisch sehr gut aufgebaute Beschreibung der Informationen aussprechen.
Weiter SOOO!!!!
PS:
Aber vielleicht könnte man ja auch noch für uns Laien erklären wie es mit BIOS im Bereich Update
vorrangeht, man hört ja immer das man beim Updatetn so viel falsch machen kann
ganz toll erklärt!! bin auch lehrling, werde auch nicht dumm sterben