Analysera processerna svchost.exe
- Kategori: Windows
Jag frågade mer än en gång varför jag hade så många svchost.exe-processer som kördes när jag öppnade uppdragshanteraren som visade ingen ytterligare information förutom namn och grundläggande information.
Jag behövde en annan programvara som skulle hjälpa mig att analysera svchost.exe-processerna och avgöra om de verkligen behövdes eller till och med skadliga.
Det första steget var att ladda ner det utmärkta Process Explorer från Sysinternals. Detta program ger detaljerad information om alla processer som för närvarande körs på systemet inklusive tjänster och filer som är beroende av dem samt vägen till filen i operativsystemet.
Alla processer som körs på systemet visas i Process Explorer efter att programmet har startats. Tryck på CTRL + L för att visa en ruta längst ner som visar omfattande information om den valda processen. Att flytta musen över processen visar information också men inte i djupet som bottenrutan gör.
Låt oss ta en snabb titt på vad Wikipedia har att säga om svchost.exe
I programvaran är Svchost.exe ett generiskt värdprocessnamn för tjänster som körs från dynamiska länkbibliotek (DLL-filer) inom moderna versioner av operativsystemet Microsoft Windows.
Vid uppstarten kontrollerar Svchost.exe tjänstens del av registret för att skapa en lista över tjänster som den måste ladda. Flera instanser av Svchost.exe kan köras samtidigt. Varje Svchost.exe-session kan innehålla en gruppering av tjänster. Därför kan separata tjänster köras, beroende på hur och var Svchost.exe startas. Denna gruppering av tjänster tillåter bättre kontroll och enklare felsökning, men det orsakar också vissa svårigheter för slutanvändare som vill se minnesanvändningen eller leverantörens legitimitet för enskilda tjänster och processer.
Den sista meningen förklarar i stort sett det dilemma som vi - användarna - befinner oss i. Hur kan vi ta reda på om en svchost.exe-process är legitim och behövs eller slöseri med minne, bearbetningskraft eller till och med skadlig?
Jag kommer att förklara hur du kan ta reda på om processen behövs eller inte. Tillbaka till Process Explorer.
Håll musen över den första svchost-processen och titta på vad den säger. Det ska visa sökvägen plus de tjänster som startade denna svchost-process.
Min första tjänst var HTTP SSL-tjänsten som kördes på mitt system. En tjänst som inte behövs alls på mitt system. Jag trodde först att det hade något att göra med förmågan att öppna https-webbplatser men detta är inte fallet. Helt värdelös för slutanvändare. Jag öppnade services.msc och stoppade tjänsten och ställde den inaktiverad också.
Svchost-processen försvann i Process Explorer. För att testa att allt fortfarande fungerade öppnade jag en https url i Firefox som fungerade perfekt.
Nästa svchost.exe-process kördes på grund av Windows Image Acquisition-tjänsten. Jag har en kamera som använder den här tjänsten men jag överför sällan bilder från kameran till mitt system. Jag bestämde mig för att inaktivera och stoppa den här tjänsten också och aktivera den när jag vill överföra bilder. Och puff där försvann den andra svchost-processen.
Jag gick igenom alla svchost-processer med samma metod: Håll muspekaren över den, skriv in tjänsten i fråga i en sökmotor, läs upp den och fatta ett beslut om jag verkligen behövde den. Användare som vill vara på den säkra sidan stoppar tjänsten och testar om allt fortfarande fungerar som vanligt. De kan alternativt ställa in tjänsten till manuell om de första testen är framgångsrika och senare inaktiverade.
En bra resurs för serviceinformation är Svart Viper .