Was man wissen sollte
- Service Host (svchost.exe) ist ein legitimer Systemprozess, der im Windows-Betriebssystem verwendet wird.
- Es ist sicher, wenn es hier gespeichert ist: %SystemRoot%\System32\ oder %SystemRoot%\SysWOW64\.
- Sie können svchost.exe löschen, wenn Sie es woanders finden.
Dieser Artikel erklärt, was svchost.exe ist, wie man weiß, ob es sicher ist, und was zu tun ist, wenn man einen svchost.exe-Virus findet.
Was ist Svchost.exe?
Die Datei svchost.exe (Service Host) ist ein kritischer Systemprozess, der von Microsoft in Windows-Betriebssystemen bereitgestellt wird. Unter normalen Umständen ist diese Datei kein Virus, sondern eine wichtige Komponente in vielen Windows-Diensten.
Der Zweck von svchost.exe ist es, wie der Name schon sagt, Dienste zu hosten. Windows verwendet es, um Dienste zu gruppieren, die Zugriff auf dieselben DLLs benötigen, um in einem Prozess ausgeführt zu werden, wodurch der Bedarf an Systemressourcen reduziert wird.
Da Windows den Service-Host-Prozess für so viele Aufgaben verwendet, ist es üblich, eine erhöhte RAM-Nutzung von svchost.exe im Task-Manager zu sehen. Sie werden auch viele Instanzen von svchost.exe sehen, die im Task-Manager ausgeführt werden, da Windows ähnliche Dienste zusammen gruppiert, z. B. netzwerkbezogene Dienste.
Da dies eine so kritische Komponente ist, sollten Sie sie nicht löschen oder unter Quarantäne stellen, es sei denn, Sie haben sich vergewissert, dass die spezifische svchost.exe-Datei, mit der Sie es zu tun haben, unnötig oder bösartig ist. Es kann nur zwei Ordner geben, in denen die echte Version gespeichert ist, wodurch es einfach ist, eine Fälschung zu erkennen.
Welche Software verwendet Svchost.exe?
Der Prozess svchost.exe startet, wenn Windows gestartet wird, und überprüft dann den HKLM-Hive der Registrierung (unter SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost) auf Dienste, die in den Speicher geladen werden sollen.
Svchost.exe kann unter Windows 11, Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP und Windows 2000 ausgeführt werden.
Beginnend mit Windows 10 Creator Update (Version 1703) führt jeder Dienst bei Systemen mit mehr als 3,5 GB RAM eine Instanz von svchost aus. Wenn weniger als 3,5 GB RAM verfügbar sind, werden Dienste wie in früheren Versionen von Windows in gemeinsam genutzte svchost.exe-Prozesse gruppiert.
Einige Beispiele für Windows-Dienste, die svchost.exe verwenden, sind:
- Windows Update
- Infrastrukturdienst für Hintergrundaufgaben
- Plug and Play
- World Wide Web Publishing Service
- Bluetooth-Supportdienst
- Windows-Firewall
- Aufgabenplaner
- DHCP-Client
- Windows-Audio
- Superfetch
- Netzwerkverbindungen
- Remote Procedure Call (RPC)
Ist Svchost.exe ein Virus?
Normalerweise nicht, aber es schadet nicht, es zu überprüfen, besonders wenn Sie nicht wissen, warum svchost.exe den gesamten Speicher Ihres Computers belegt.
Der erste Schritt, um festzustellen, ob svchost.exe ein Virus ist, besteht darin, festzustellen, welche Dienste jede svchost.exe-Instanz hostet. Da Sie wahrscheinlich mehrere Instanzen im Task-Manager ausführen, müssen Sie etwas tiefer eintauchen, um zu sehen, was jeder Prozess tut, bevor Sie entscheiden, ob Sie den svchost-Prozess löschen oder den darin ausgeführten Dienst deaktivieren möchten.
Sobald Sie wissen, welche Dienste in svchost.exe ausgeführt werden, können Sie sehen, ob sie echt und notwendig sind oder ob Malware vorgibt, svchost.exe zu sein.
Wenn Sie Windows 11, 10 oder 8 haben, können Sie jede svchost.exe-Datei im Task-Manager „öffnen“.
- Task-Manager öffnen.
- Wählen Sie die Registerkarte Prozesse.
-
Scrollen Sie nach unten zum Abschnitt Windows-Prozesse und suchen Sie einen Eintrag Diensthost: < Dienstname >.
-
Tippen und h alten Sie den Eintrag oder klicken Sie mit der rechten Maustaste darauf und wählen Sie Dateispeicherort öffnen.
Wenn der Speicherort, der geöffnet wird, ein anderer als einer der folgenden Pfade ist, in denen Windows authentische Kopien von svchost.exe speichert, haben Sie möglicherweise einen Virus:
- %SystemRoot%\System32\svchost.exe
- %SystemRoot%\SysWOW64\svchost.exe
Der zweite Pfad ist der Ort, an dem sich 32-Bit-Dienste befinden, die auf einem 64-Bit-Rechner ausgeführt werden. Nicht alle Computer haben diesen Ordner.
- Zurück im Task-Manager, wählen Sie den Pfeil links neben dem Eintrag, um ihn zu erweitern. Direkt unter der svchost.exe-Instanz befindet sich jeder Dienst, den sie hostet.
Für andere Windows-Versionen wie Windows 7 können Sie auch den Task-Manager verwenden, um alle von svchost.exe verwendeten Dienste anzuzeigen, aber er ist nicht so übersichtlich wie in neueren Versionen. Klicken Sie dazu mit der rechten Maustaste auf eine svchost.exe-Instanz auf der Registerkarte Prozesse, wählen Sie Gehe zu Diensten und lesen Sie dann die Liste der markierten Dienste durch im Tab Dienste.
Eine andere Option ist die Verwendung des tasklist-Befehls in der Eingabeaufforderung, um eine Liste aller Dienste zu erstellen, die von allen svchost.exe-Instanzen verwendet werden.
Öffnen Sie dazu die Eingabeaufforderung und geben Sie den folgenden Befehl ein:
tasklist /svc | finde „svchost.exe“
Eine weitere Option, die Sie hier haben, ist die Verwendung eines Umleitungsoperators, um die Ergebnisse des Befehls in eine Textdatei zu exportieren, die möglicherweise einfacher zu lesen ist.
Wenn Sie etwas auf der Liste nicht finden, bedeutet das nicht unbedingt, dass Sie einen Virus haben. Es könnte sich nur um einen Dienst handeln, den Sie nicht kennen, der jedoch für die wesentlichen Vorgänge von Windows von entscheidender Bedeutung ist. Es gibt wahrscheinlich Dutzende von "virenähnlichen" Diensten, die absolut sicher sind.
Wenn Sie bei irgendetwas, das Sie sehen, zögern, suchen Sie online. Sie können dies in neueren Versionen von Windows über den Task-Manager tun: Klicken Sie mit der rechten Maustaste auf den Dienst und wählen Sie Online suchen. Notieren Sie sich bei Windows 7, Vista oder XP den Dienst in der Eingabeaufforderung und geben Sie ihn in Google ein.
Um einen in svchost.exe laufenden Dienst zu beenden, lesen Sie die beiden Anleitungen unten auf dieser Seite.
Warum verwendet Svchost.exe so viel Speicher?
Wie jeder Prozess benötigt auch dieser Arbeitsspeicher und CPU-Leistung, um ausgeführt zu werden. Es ist normal, dass die erhöhte Speicherauslastung von svchost.exe zu sehen ist, hauptsächlich wenn einer der Dienste, die Service Host verwenden, verwendet wird.
Ein wichtiger Grund dafür, dass svchost.exe viel Speicher (und sogar Bandbreite) verbraucht, ist, wenn etwas auf das Internet zugreift, in diesem Fall könnte „svchost.exe netsvcs“laufen. Dies kann passieren, wenn Windows Update daran arbeitet, Patches und andere Updates herunterzuladen und zu installieren. Andere Dienste, die unter svchost.exe netsvcs verwendet werden, sind BITS (Background Intelligent Transfer Service), Schedule (Task Scheduler), Designs und iphlpsvc (IP Helper).
Eine Möglichkeit, den svchost-Prozess daran zu hindern, so viel Speicher oder eine andere Systemressource wegzusaugen, besteht darin, die dafür verantwortlichen Dienste zu stoppen. Wenn beispielsweise der Diensthost Ihren Computer aufgrund von Windows Update verlangsamt, beenden Sie das Herunterladen/Installieren von Updates oder deaktivieren Sie den Dienst vollständig. Oder vielleicht defragmentiert Disk Defragmenter gerade Ihre Festplatte, in diesem Fall verwendet Service Host mehr Speicher für diese Aufgabe.
Allerdings sollte es in Alltagssituationen nicht den gesamten Systemspeicher in Beschlag nehmen. Wenn svchost.exe mehr als 90–100 Prozent des Arbeitsspeichers verwendet, handelt es sich möglicherweise um eine bösartige, nicht originale Kopie von svchost.exe. Wenn Sie glauben, dass dies der Fall ist, lesen Sie weiter, um zu erfahren, wie Sie svchost.exe-Viren löschen.
So beenden Sie einen Svchost.exe-Dienst
Was die meisten Leute wahrscheinlich mit dem svchost-Prozess machen wollen, ist das Löschen oder Deaktivieren eines Dienstes, der innerhalb von svchost.exe läuft, weil er zu viel Speicher verbraucht. Aber selbst wenn Sie svchost.exe löschen wollen, weil es ein Virus ist, befolgen Sie trotzdem diese Anweisungen, da es hilfreich sein wird, den Dienst zu deaktivieren, bevor Sie versuchen, ihn zu löschen.
Für Windows 7 und ältere Windows-Versionen ist es einfacher, Process Explorer zu verwenden. Klicken Sie mit der rechten Maustaste auf die Datei svchost.exe und wählen Sie Kill Process.
- Task-Manager öffnen.
-
Identifizieren Sie den Dienst, den Sie deaktivieren möchten.
Erweitern Sie dazu unter Windows 11, 10 oder 8 den Eintrag Diensthost: < Dienstname >.
-
Klicken Sie mit der rechten Maustaste auf den Task-Manager-Eintrag für den Dienst, den Sie beenden möchten, und wählen Sie Stopp. Windows stoppt diesen Dienst sofort. Alle verwendeten Systemressourcen werden für andere Dienste und Anwendungen freigegeben.
Wenn Sie die Option zum Beenden des Dienstes nicht sehen, vergewissern Sie sich, dass Sie den Dienst selbst und nicht die Zeile „Diensthost“auswählen.
- Wenn der Dienst nicht angeh alten wird, weil das Programm ausgeführt wird, beenden Sie es. Wenn dies nicht möglich ist, müssen Sie möglicherweise die Software deinstallieren.
Sie können überprüfen, ob es heruntergefahren wurde, oder es dauerhaft deaktivieren, indem Sie denselben Dienst im Programm "Dienste" suchen (suchen Sie im Startmenü nach services.msc). Um die erneute Ausführung zu stoppen, doppelklicken Sie auf den Dienst in der Liste und ändern Sie den Starttyp in Disabled
So entfernen Sie einen Svchost.exe-Virus
Sie können die eigentliche svchost.exe-Datei nicht von Ihrem Computer löschen, da sie für einen Prozess zu wichtig und zu wichtig ist, aber Sie können gefälschte Dateien entfernen. Wenn Sie eine svchost.exe-Datei haben, die sich irgendwo befindet, aber im zuvor erwähnten Ordner \System32\ oder \SysWOW64\, kann sie zu 100 Prozent sicher gelöscht werden.
Wenn Ihr Download-Ordner beispielsweise eine Service-Host-Datei enthält oder sich eine auf Ihrem Desktop oder einem Flash-Laufwerk befindet, ist es offensichtlich, dass Windows sie nicht für wichtige Service-Hosting-Zwecke verwendet. In diesem Fall können Sie sie entfernen es.
Allerdings sind svchost.exe-Viren wahrscheinlich nicht so einfach zu löschen wie normale Dateien. Befolgen Sie diese Schritte, um den Virus zu entfernen:
-
Klicken Sie im Task-Manager mit der rechten Maustaste auf den Prozess svchost.exe und wählen Sie Dateispeicherort öffnen.
Wir werden noch nichts mit diesem Fenster machen, also lass es offen.
Denken Sie daran, dass Ihre svchost.exe-Datei sauber ist und nicht gelöscht werden sollte, wenn der sich öffnende Ordner einer der oben erwähnten Systemordner ist. Achten Sie jedoch besonders darauf, den Dateinamen zu lesen; wenn es auch nur einen Buchstaben von svchost.exe entfernt ist, haben Sie es nicht mit der legitimen Datei zu tun, die von Windows verwendet wird.
-
Klicken Sie mit der rechten Maustaste auf denselben svchost.exe-Prozess und wählen Sie Task beenden.
Falls das nicht funktioniert, öffnen Sie den Process Explorer und klicken Sie mit der rechten Maustaste auf die Datei svchost.exe und wählen Sie dann Kill Process aus, um sie zu beenden.
- Wenn in der Datei svchost.exe Dienste verschachtelt sind, öffnen Sie sie wie oben beschrieben im Task-Manager und stoppen Sie jeden von ihnen.
-
Öffnen Sie den Ordner aus Schritt 1 und versuchen Sie, die Datei svchost.exe wie jede andere Datei zu löschen, indem Sie mit der rechten Maustaste darauf klicken und Löschen wählen.
Wenn dies nicht möglich ist, installieren Sie LockHunter und weisen Sie es an, die Datei beim nächsten Neustart zu löschen (dadurch wird die gesperrte Datei gelöscht, was normalerweise in Windows nicht möglich ist).
-
Installieren Sie Malwarebytes oder ein anderes Tool zum Entfernen von Spyware und führen Sie einen vollständigen Systemscan durch, um den svchost-Prozess zu löschen.
Starten Sie Ihren Computer neu, wenn etwas gefunden wurde.
Wenn Sie mit dem Virus svchost.exe kein Programm auf Ihrem Computer installieren können, laden Sie einen tragbaren Virenscanner auf ein Flash-Laufwerk herunter und scannen von dort aus.
-
Verwenden Sie ein vollständiges Antivirenprogramm, um nach Viren zu suchen.
Es ist trotzdem eine gute Idee, einen dieser ständig aktiven Virenscanner zu haben, auch wenn ein anderer Virenscanner die Datei svchost.exe löschen konnte.
- Verwenden Sie ein kostenloses bootfähiges Antivirenprogramm, um Ihren Computer zu scannen, bevor Windows gestartet wird. Diese sind hilfreich, wenn die anderen Scanner fehlschlagen, da der svchost.exe-Virus nur ausgeführt werden kann, wenn Windows ausgeführt wird, und ein bootfähiges AV-Tool außerhalb von Windows ausgeführt wird.
FAQ
Wie viele Instanzen von svchost sollen laufen?
Es kann jederzeit eine beliebige Anzahl von svchost ausgeführt werden, da mehrere verschiedene Dienste alle auf derselben Systemdatei svchost.exe basieren. Überprüfen Sie den Namen auf der Registerkarte Prozesse im Task-Manager, um sicherzustellen, dass er gültig und keine Malware ist.
Was passiert, wenn ich svchost.exe lösche?
Wenn Sie eine legitime ausführbare Microsoft Windows-Datei svchost.exe löschen, funktioniert Ihr Computer möglicherweise nicht mehr richtig.