Analyse af svchost.exe-processerne

Jeg spurgte mere end én gang mig selv, hvorfor jeg havde så mange svchost.exe-processer, der kørte, da jeg åbnede task manager, som ikke viste yderligere oplysninger udover navn og grundlæggende oplysninger.

Jeg havde brug for en anden software, der ville hjælpe mig med at analysere svchost.exe-processerne og bestemme, om de virkelig var nødvendige eller endda ondsindede.

Det første trin var at downloade det fremragende Process Explorer fra Sysinternals. Dette program giver detaljerede oplysninger om alle processer, der i øjeblikket kører på systemet, herunder tjenester og filer, der afhænger af dem, samt stien til filen på operativsystemet.

Alle processer, der kører på systemet, vises i Process Explorer efter start af applikationen. Tryk på CTRL + L for at få vist en rude i bunden, der viser omfattende information om den valgte proces. At bevæge musen hen over processen viser også information, men ikke i dybden, som den nederste rude gør.

svchost process

Lad os se hurtigt på hvad Wikipedia har at sige om svchost.exe

I software er Svchost.exe et generisk hostprocesnavn for tjenester, der kører fra dynamiske linkbiblioteker (DLLs) inden for moderne versioner af Microsoft Windows-operativsystemet.

Ved opstart kontrollerer Svchost.exe servicedelen i registreringsdatabasen for at konstruere en liste over tjenester, som den skal indlæses. Flere forekomster af Svchost.exe kan køre på samme tid. Hver Svchost.exe-session kan indeholde en gruppering af tjenester. Derfor kan separate tjenester køre, afhængigt af hvordan og hvor Svchost.exe startes. Denne gruppering af tjenester tillader bedre kontrol og lettere debugging, men det medfører også nogle vanskeligheder for slutbrugere, der ønsker at se hukommelsesforbruget eller leverandørens legitimitet af individuelle tjenester og processer.

Den sidste sætning forklarer stort set det dilemma, som vi - brugerne - befinder os i. Hvordan kan vi finde ud af, om en svchost.exe-proces er legit og nødvendig eller spild af hukommelse, behandlingskraft eller endda ondsindet?

Jeg vil forklare, hvordan du kan finde ud af det med en god sikkerhed, om processen er nødvendig eller ej. Tilbage til Process Explorer.

Hold musen hen over den første svchost-proces, og se, hvad den siger. Det skal vise stien plus de tjenester, der startede denne svchost-proces.

Min første service var HTTP SSL-tjenesten, der kørte på mit system. En service, der overhovedet ikke er nødvendig på mit system. Jeg troede først, det havde noget at gøre med evnen til at åbne https-websteder, men dette er ikke tilfældet. Helt ubrugelig for slutbrugere. Jeg åbnede services.msc og stoppede tjenesten og satte den også til deaktiveret.

Svchost-processen forsvandt i Process Explorer. For at teste, at alt stadig fungerede, åbnede jeg en https url i Firefox, som fungerede helt fint.

Den næste svchost.exe-proces kørte på grund af Windows Image Acquisition-tjenesten. Jeg har et kamera, der bruger denne tjeneste, men jeg overfører sjældent billeder fra kameraet til mit system. Jeg besluttede også at deaktivere og stoppe denne service og aktivere den, når jeg vil overføre billeder. Og pust der forsvandt den anden svchost-proces.

Jeg gik igennem alle svchost-processer ved hjælp af den samme metode: Hold musen hen over den, skriv den pågældende service ind i en søgemaskine, læst op og tag en beslutning, hvis jeg virkelig havde brug for den. Brugere, der ønsker at være på den sikre side, stopper tjenesten og tester, om alting stadig fungerer som normalt. De kan alternativt indstille tjenesten til manuel, hvis først test er vellykkede og derefter senere til deaktiveret.

En god ressource til serviceinformation er Sort Viper .