Fråga
Om jag tittar i Aktivitetshanteraren hittar jag inte mindre än tretton processer med samma namn, Svchost.exe. Jag har försökt undersöka om detta är normalt, men hittar inga vettiga svar på nätet. Det finns däremot ställen där det påstås att det handlar om ett virus.
Vad är egentligen korrekt och vad är Svchost.exe för något? Ska den köras i en massa exemplar? Jag kör Windows 7.
Stellan
Svar
Den här frågan var vanlig för många år sedan, men nu var det ett tag sedan jag såg den. Svchost.exe är en del av Windows och namnet står för ”service host”, vilket på svenska ungefär blir tjänstvärd. Många komponenter i operativsystemet Windows körs som så kallade tjänster, vilket enkelt uttryckt innebär program som körs i bakgrunden och inte nödvändigtvis är förknippade med vem som är inloggad i systemet.
Du kan snabbt och enkelt se vilka tjänster som körs i Windows genom att starta Kommandotolken och skriva
net start
eller genom att högerklicka på Dator, välja Hantera, expandera ”Tjänster och program” och sedan klicka på Tjänster. Den första metoden har fördelen att bara visa de som är igång. Det finns många saker som är gemensamma för många tjänster: hur de startar, hur de interagerar med systemet och hur de körs. I stället för att skriva en komplett tjänst från början har många implementeras som en typ av program som drivs av ett annat program.
Det värdprogrammet är just Svchost.exe, som är utformad för att vara värd för en eller flera faktiska tjänster. Det är det programmet som körs och instrueras då vilken tjänst det ska inkludera. Den faktiska tjänsten finns normalt i en dll-fil som Svchost.exe ansluter till och programmet kan dessutom faktiskt vara värd för flera olika tjänster på en gång. Så även om du har något tiotal instanser av Svchost i processlistan betyder det förmodligen att det handlar om ännu fler tjänster.
Ett sätt att kolla detta är att använda en mer avancerad processlista än den i Aktivitetshanteraren. Process Explorer är en sådan, som kan laddas ned här: http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx. I detta program kan du hålla muspekaren över de olika instanserna av Svchost.exe för att se vilka tjänster den kör.
Eftersom det normalt kan förväntas att det ska finnas flera kopior av Svchost.exe och dess funktion är ganska mystisk för den genomsnittliga datoranvändarer har det förekommit att tillverkare av skadegörande program har utnyttjat detta, antingen genom att försöka köra sin kod som en tjänst eller genom att ge den ett likartat namn.
Filskyddet i senare versioner av Windows har gjort detta mycket svårare och det är nog länge sedan det förekom, men det är alltså därifrån virusuppgifterna kommer. Eftersom du kör Windows 7 – och antagligen ett välrenommerat säkerhetsprogram, dessutom – behöver du inte vara orolig i det avseendet.
Men du kan alltså vara lugn, Svchost.exe är ett legitimt program, en nödvändig komponent i Windows, och det är också helt normalt att det förekommer i flera instanser. Endast om det finns i någon annan mapp än WindowsSystem32 kan det finnas anledning att undersöka närmare.