Wenn Ihr Windows-System ein­wand­frei läuft, haben Sie ver­mut­lich keinen Grund, sich mit dem Task-Manager oder einzelnen Prozessen und Diensten zu be­schäf­ti­gen. Genauso selten wie Au­to­fah­rer die Mo­tor­hau­be ihres Autos öffnen, ver­schaf­fen sich PC-Benutzer Einblick in laufende Dienste und da­hin­ter­ste­hen­de Programme. Al­ler­dings ist es oft sinnvoll, sich hierzu Grund­la­gen­wis­sen an­zu­eig­nen und die wich­tigs­ten Sys­tem­pro­gram­me zu kennen –ins­be­son­de­re, wenn Sie beruflich auf ein funk­tio­nie­ren­des Com­pu­ter­sys­tem an­ge­wie­sen sind. Denn Probleme treten oft in un­pas­sen­den Momenten auf. Liegt eines der folgenden Merkmale vor, ist ein Blick auf die laufenden Prozesse ratsam:

  • Un­er­klär­lich hohe Sys­tem­aus­las­tung, etwa eine un­ver­hält­nis­mä­ßig starke CPU-Aus­las­tung
  • Pro­gramm­ab­stür­ze oder „ein­frie­ren­de“ Fenster
  • Verdacht auf Viren
  • Korrekt in­stal­lier­te Programme lassen sich nicht starten

Der Prozess svchost.exe springt bei Be­trach­tung der laufenden An­wen­dun­gen sofort ins Auge. Das liegt daran, dass er grund­sätz­lich mehrfach aus­ge­führt wird, häufig einige Dutzend Mal. Der Name des Programms enthält die Abkürzung Service-Host (übersetzt: Dienst­an­bie­ter oder „Wirt“ für Dienste). Es handelt sich also um eine Software, die von anderen Pro­gram­men oder Diensten genutzt werden kann. Dadurch ist das Ur­sprungs­pro­gramm hinter dem un­ter­such­ten Prozess nicht sofort erkennbar.

Wie ist svchost.exe ein­ge­bet­tet?

Als Sys­tem­pro­gramm liegt svchost.exe im Sys­tem­ord­ner „\Windows\System32“. Dabei handelt es sich um einen ge­schütz­ten Ordner, auf den Nutzer ohne Ad­mi­nis­tra­tor­rech­te keinen Zugriff haben. Auf­ge­ru­fen wird das Programm nach dem Sys­tem­start vom Service Control Manager (SCM). Dieser verwaltet in der Windows-Re­gis­trie­rungs­da­ten­bank (Registry) eine Liste der zu star­ten­den Dienste. Nach dem Sys­tem­start führt der SCM für jeden dort ein­ge­tra­ge­nen Dienst eine Instanz von svchost.exe als Prozess aus.

Bild: Diensthost-Instanzen (svchost.exe) im Task-Manager von Windows 10
Anders als frühere Versionen weist der Task-Manager von Windows 10 die Instanzen von svchost.exe nicht unter der kryp­ti­schen Be­zeich­nung, sondern als „Dienst­host“ aus.

Hierbei besteht prin­zi­pi­ell auch die Mög­lich­keit, mehrere Dienste in einem Prozess zu bündeln. Bei leis­tungs­star­ken Rechnern tendiert Windows al­ler­dings dazu, für jeden Dienst einen separaten Prozess zu starten. Dadurch können die einzelnen Prozesse besser von­ein­an­der ab­ge­grenzt werden. Das ist von Vorteil, wenn ein Prozess „abstürzt“, also in einen un­de­fi­nier­ten Zustand tritt. In solch einem Fall kann der feh­ler­haf­te Task dann ge­schlos­sen werden, ohne andere Programme zu tangieren.

Fakt

Die Windows-Re­gis­trie­rungs­da­ten­bank, oft auch mit dem eng­li­schen Begriff Registry betitelt, ist zentraler Spei­cher­ort für viele wichtige Ein­stel­lun­gen des Be­triebs­sys­tems. Sie ist hier­ar­chisch aufgebaut und lässt sich mit dem Editor Regedit verwalten.

Wofür benötigt man svchost.exe?

Es stellt sich die Frage, warum zum Start von Diensten überhaupt eine zu­sätz­li­che Software notwendig ist. Das hängt mit einer erhöhten Effizienz und spe­zi­fi­schen Konzepten wie den so­ge­nann­ten Dynamic Link Libraries (DLLs) zusammen. Letztere verwendet svchost.exe nämlich, um einen Dienst aus­zu­füh­ren. Generell handelt es sich bei diesen Bi­blio­the­ken um Pro­gramm­code, der von un­ter­schied­li­cher Software genutzt und bei Bedarf dynamisch ein­ge­bun­den (verlinkt) werden kann. Das spart zum einen Spei­cher­platz, da nicht jede Software die ent­spre­chen­den Funk­tio­nen mit­brin­gen muss. Zum anderen hilft es bei der Mo­du­la­ri­sie­rung. DLLs lassen sich un­ab­hän­gig von der ver­wen­de­ten Software anpassen und ak­tua­li­sie­ren.

Hinweis

Bei Fehlern in einer DLL sind mög­li­cher­wei­se gleich mehrere Programme betroffen!

Mit ihren Ei­gen­schaf­ten un­ter­stüt­zen die dy­na­mi­schen Bi­blio­the­ken ge­wöhn­li­che Programme, die um­fang­rei­chen Ma­schi­nen­code für die ei­gen­stän­di­ge Aus­füh­rung benötigen. Zudem lösen sie das Problem, dass bestimmte Pro­gramm­res­sour­cen (wie ein­ge­bet­te­te Funk­tio­nen) in der Regel nicht direkt von anderen Pro­gram­men an­ge­steu­ert werden können. Ins­be­son­de­re Funk­tio­na­li­tä­ten, die von mehreren Pro­gram­men benötigt werden, stellt das System bevorzugt in Form von DLLs zur Verfügung.

Wie kann man einen svchost.exe-Prozess näher un­ter­su­chen?

Wenn Sie fest­stel­len, dass ein svchost.exe-Prozess für Probleme auf Ihrem System ver­ant­wort­lich ist, gibt es ver­schie­de­ne Mög­lich­kei­ten, ihn zu un­ter­su­chen.

Task-Manager

Ein wir­kungs­vol­les Werkzeug ist der in Windows in­te­grier­te Task-Manager, den Sie ty­pi­scher­wei­se mit den [Strg] + [Shift] + [Esc] Tasten aufrufen. Al­ter­na­tiv können Sie auch den Begriff „Task-Manager“ in die Such­leis­te eingeben und die App über das prä­sen­tier­te Such­ergeb­nis starten.

Der Task-Manager verfügt über mehrere Reiter. Stan­dard­mä­ßig ist die Pro­zess­an­sicht bereits geöffnet. Dort werden für jeden ge­star­te­ten Prozess die pro­zen­tua­le Sys­tem­aus­las­tung, also der Verbrauch an Re­chen­leis­tung, Ar­beits­spei­cher, Netz­werk­ver­kehr und ent­spre­chen­de Fest­plat­ten­zu­grif­fe angezeigt. Die Sor­tie­rung lässt sich durch Anklicken des ge­wünsch­ten Kri­te­ri­ums verändern. Die Prozesse sind nach den zu­ge­hö­ri­gen Pro­gram­men benannt. Unter Windows 10 haben die svchost.exe-Prozesse die vor­an­ge­stell­te Be­zeich­nung „Dienst­host“, gefolgt von der Be­schrei­bung des aus­ge­führ­ten Dienstes. In früheren Versionen von Windows erschien der Name svchost.exe noch direkt in der Pro­zess­lis­te.

Dienste (Services.msc)

Alle Dienste können mit der System-App Dienste ein­ge­se­hen werden. Um diese App zu öffnen, rufen Sie einfach den „Ausführen“-Dialog über das Startmenü (Windows-Icon) auf und geben dort folgendes ein:

services.msc

Im Kon­text­me­nü eines jeden Eintrags befindet sich das Aus­wahl­feld „Ei­gen­schaf­ten“. Dieses zeigt den Pfad zur ver­knüpf­ten aus­führ­ba­ren Datei. Zudem werden die Be­zeich­nung des Dienstes und eine Kurz­be­schrei­bung aus­ge­ge­ben. So können Sie die Funktion des Service ein­schät­zen. Ab­hän­gig­kei­ten von anderen Diensten lassen sich im gleich­na­mi­gen Reiter einsehen.

tasklist.exe

Wenn Sie sich nicht scheuen, die Kom­man­do­zei­le zu nutzen, ist das Programm taskliste.exe eine gute Al­ter­na­ti­ve. Das Programm ist unter Windows 10 vor­in­stal­liert und sehr über­sicht­lich. In vor­an­ge­gan­ge­nen Versionen war eine ähnliche Software unter dem Namen „tlist.exe“ im­ple­men­tiert. Zum Starten muss die Ein­ga­be­auf­for­de­rung (cmd.exe) auf­ge­ru­fen werden. Um eine Auf­lis­tung aller Instanzen von svchost.exe mit da­zu­ge­hö­ri­ger Prozess-ID und den darin aus­ge­führ­ten Diensten zu erhalten, geben Sie in die Windows-Be­fehls­zei­le folgenden Befehl ein:

tasklist /svc /fi "imagename eq svchost.exe"

Externe Programme: Process Explorer

Microsoft bietet kos­ten­frei zu­sätz­li­che Software wie den Process Explorer des bekannten Fachbuch-Autors und Windows-Insiders Mark Rus­si­no­vich. Das Programm ähnelt in der Auf­ma­chung dem Task-Manager, hat aber einen we­sent­lich größeren Funk­ti­ons­um­fang. So ist leicht zu erkennen, von welchen Prozessen andere Prozesse auf­ge­ru­fen wurden. Außerdem ist das per Rechts­klick auf­ruf­ba­re Kon­text­me­nü deutlich aus­führ­li­cher. So wird bei­spiels­wei­se nicht nur das zu einem Prozess gehörige Programm angezeigt, sondern auch der Registry-Eintrag. Zudem ist es möglich, Software direkt auf der Plattform Vi­rus­t­o­tal über­prü­fen zu lassen.

Wie kann man erkennen, ob svchost.exe ein Virus ist?

Der Prozess svchost.exe erscheint häufig ver­däch­tig, wenn ein von Schad­soft­ware be­fal­le­nes System un­ter­sucht wird. Ein Grund hierfür ist, dass der zu­grun­de­lie­gen­de Dienst nicht immer sofort erkennbar ist. Zudem kann nicht aus­ge­schlos­sen werden, dass schad­haf­te Software die Funktion des Prozesses ausnutzt und sich an diesen heftet. Dass der Prozess derart häufig vorkommt, haben sich Cy­ber­kri­mi­nel­le in der Ver­gan­gen­heit des Öfteren zunutze gemacht.

Es ist nicht einfach, fest­zu­stel­len, ob es sich jeweils um legitime Prozesse handelt: Zunächst sollten Sie die korrekte Schreib­wei­se des Prozesses über­prü­fen. So verwenden Schad­pro­gram­me häufig ähnlich aus­se­hen­de Namen wie etwa scvhost.exe oder svhost.exe. Weiterhin lässt sich auf die oben be­schrie­be­ne Weise der Spei­cher­ort der aus­führ­ba­ren Datei einsehen. Dieser darf aus­schließ­lich unter dem Pfad „\Windows\System32\“ zu finden sein, an­dern­falls handelt es sich nicht um einen of­fi­zi­el­len Sys­tem­pro­zess.

Weiteren Auf­schluss geben die ver­knüpf­ten Dienste. Handelt es sich um bekannte Windows-Sys­tem­funk­tio­nen, ist die Wahr­schein­lich­keit gering, dass Schad­soft­ware ur­säch­lich ist. Zudem bietet der Reiter „Details“ des Task-Managers weitere In­for­ma­tio­nen. In den Ei­gen­schaf­ten ist eine digitale Signatur (Zer­ti­fi­kat) des Urhebers hin­ter­legt, deren Aus­stel­ler für svchost.exe immer die Firma Microsoft sein sollte.

Wie kann man einzelne svchost.exe-Prozesse beenden?

Reagiert ein Programm mit einer gra­fi­schen Be­nut­zer­ober­flä­che nicht mehr, kann es hilfreich sein, den da­zu­ge­hö­ri­gen Prozess manuell zu beenden. Ebenso ist es möglich, dass ver­se­hent­lich mehrere Instanzen eines Programms gestartet wurden zum Beispiel durch mehr­ma­li­gen Dop­pel­klick auf das Pro­gramm­sym­bol. Auch in diesem Fall können die über­flüs­si­gen Prozesse beendet werden, damit sich das Programm wieder normal verwenden lässt. Prozesse wie svchost.exe lassen sich im Task-Manager schließen. Hierzu müssen Sie in der Prozess-Ansicht lediglich einen Rechts­klick auf den be­tref­fen­den Eintrag ausführen und die Option „Task beenden“ auswählen.

Hinweis

Beachten Sie, dass beim Beenden von Sys­tem­pro­zes­sen un­vor­her­ge­se­he­ne Probleme im laufenden Be­triebs­sys­tem auftreten können. Offene Dokumente oder sonstige Da­ten­be­stän­de sollten Sie daher zuvor unbedingt ab­spei­chern!

Ver­ur­sacht eine svchost.exe-Instanz auch nach dem Neustart Probleme, bleibt noch die Mög­lich­keit, den Prozess in der App „Dienste“ manuell zu de­ak­ti­vie­ren. In diesem Fall sollten Sie sich aber möglichst vorher über die Funktion des aus­zu­schal­ten­den Dienstes in­for­mie­ren, um nicht das Risiko ein­zu­ge­hen, dass das System nach einem weiteren Neustart nicht mehr korrekt funk­tio­niert.

svchost.exe – (k)ein Prozess wie jeder andere

Tat­säch­lich ist svchost.exe ein ganz normaler und doch be­son­de­rer Prozess. Er wird aus gutem Grund vielfach aus­ge­führt, was grund­sätz­lich weder auf eine Fehl­funk­ti­on Ihres Systems noch auf aktive Schad-Software hindeutet. In­zwi­schen lässt sich der Zweck jedes einzelnen Prozesses im Task-Manager von Windows relativ einfach einsehen. Zudem kann man svchost.exe notfalls wie jeden anderen Prozess manuell beenden.

Zum Hauptmenü