|
  |
 Windows 2000/XP: was macht eigentlich Svchost.exe (Update Juli 2010) |
Wallace 
Redakteur/Co-Administrator
Dabei seit: 21.08.2002
Beiträge: 5.128
Herkunft: Montreal
 |
|
| Windows 2000/XP: was macht eigentlich Svchost.exe (Update Juli 2010) |
     |
Dieser Dienst taucht standardmäßig einige Male in unserem Taskmanager auf und verursacht immer wieder mal Fragezeichen bei den Usern, Grund genug dieses Thema zu durchleuchten, denn wir hatten dazu einen interssanten Fall:
Bei einem User befanden sich unter C:\Windows\System32 nicht nur die Datei "Svchost.exe", sondern auch noch "svchost.ini" und "svchost.cmd" sowie noch 2 weitere "svchost32.exe".
Da die "Svchost.exe" grundsätzlich nur einmal vorhanden ist, war schnell klar, daß hier ein Virus steckte. Nach dem Löschen dieses Übels verschwanden auch die ständigen Fehlermeldungen im System.
Zu diesem Befall paßt auch sehr gut unser Wurm-Workshop
, denn "Svchost.exe" wird bei dem beschriebenen Wurmbefall zum Absturz gebracht.
Alle, die eine scvhost.exe auf Ihrem System haben, können davon ausgehen, daß ein Virus oder Trojaner am Werk ist.
Aber was genau macht denn nun Svchost.exe, wenn es so läuft, wie von Microsoft vorgegeben?
Svchost.exe ist ein allgemeiner Hostprozess-Name für Dienste, die über Dynamic Link Library (DLL)-Dateien ausgeführt werden. Die Datei Svchost.exe befindet sich im Ordner "/System32" unseres Windows Ordners. Beim Starten überprüft Svchost.exe den Dienstebereich der Registrierung, um eine Liste von Diensten zu erstellen, die geladen werden müssen.
Svchost.exe gibt es erst ab Windows 2000, aber nicht alle Dienste benötigen Svchost.exe (eben nur solche, die per DLL-Dateien ausgeführt werden müssen). Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird.
Svchost.exe ist so etwas wie ein "Vorarbeiter-Dienst" oder die Zusammenfassung von Einzel-Diensten, die mit Hilfe von DLLs ausgeführt werden. Da in Windows meist viele Dienste laufen, können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden. Jede Svchost.exe-Sitzung kann eine eigene Gruppe von Diensten enthalten, so dass in Abhängigkeit davon, wie und wo Svchost.exe gestartet wird, verschiedene Dienste ausgeführt werden können.
Damit man die Dienste erkennen kann, welche über die Datei SVCHOST.EXE auf das Internet zugreifen, muss man den Befehl tasklist /svc | more in der Kommandozeile (nur bei Windows XP Professional) eingeben.
Bei Windows 2000 muß man das Tool tlist.exe verwenden.
Dazu benötigen wir die Windows 2000-CD, gehen in den Ordner Support\Tools und öffnen mit einem Packer (z.B. Winzip oder Winrar) die Datei Support.cab. Aus dieser entpackt man das Programm Tlist.exe. Gestartet wird es über tlist -s.
Nun kann man sehr genau sehen, welche Dienste/Prozesse von SVCHOST.EXE ausgeführt werden.
Wer sich nicht sicher ist, kann die Aufschlüsselung der einzelnen Prozesse in unserem entsprechenden Artikel
nachlesen.
Hinweis: Bei Windows Vista und auch Windows 7 hat sich an der Funktion und Wirkungsweise von Svchost.exe nicht geändert. Also kommt bitte gar nicht erst auf die Idee, diesen Systemdienst löschen zu wollen, dann startet euer System garantiert nicht mehr !
Wallace
|
|
09.12.2003 03:47 |
|
|
|
|
|
Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2024 PC-Experience.de |
|
