Wat is svchost.exe in Windows XP?

In Windows XP kun je in Taakbeheer in één oogopslag zien welke programma's en welke processen er worden uitgevoerd op je computer. Afhankelijk van je instellingen op je pc kun je Taakbeheer openen. Een manier die altijd werkt - onafhankelijk van de configuratie - is de toetsencombinatie Ctrl-Shift-Esc. In Windows XP zijn de mogelijkheden van Taakbeheer uitgebreid, waardoor je eenvoudiger problemen op het spoor kunt komen of oplossen.

Taakbeheer en  processen

In het tabblad Processen van Taakbeheer staat een overzicht van alle processen die op een bepaald moment op je pc worden uitgevoerd. Schrik niet, dat kunnen er veel meer zijn dan je in eerste instantie zou verwachten. Dit komt omdat een aantal processen op de achtergrond loopt. Je ziet ze dus niet. Een aantal van vijftig of meer hoeft niet vreemd te zijn. Veel gebruikers controleren regelmatig deze processen indien het systeem bijvoorbeeld wat traag reageert. In het Taakbeheer kun je dan zien door welk programma of proces dat zou worden veroorzaakt.

 In het Taakbeheer komt svchost.exe meerdere keren terug

Extra processen

Virussen, trojans en spyware veroorzaken soms extra processen op je pc. Exotisch klinkende processen zouden kunnen wijzen op deze indringers. Sommigen stuiten dan op svchost.exe in het Taakbeheer. De naam svchost.exe klinkt wat verdacht, wellicht vanwege het woordje host, alsof je pc een host zou zijn voor het een of ander.
De vraag of het bestand svchost.exe gevaarlijk is, is niet eenduidig te beantwoorden. Ja of nee dus. Svchost.exe an sich is niet gevaarlijk, omdat het een gewoon systeembestand is van Windows. Svchost.exe zorgt ervoor dat er gedurende de start van je pc een lijst van services wordt samengesteld die moet worden geladen. Een voorbeeld van zo"n service is de Automatische Update. In de lijst processen van het Taakbeheer kan meerdere malen svchost.exe voorkomen, omdat er meerdere sessies van svchost.exe tegelijkertijd kunnen worden uitgevoerd. Svchost.exe bevindt zich bij Windows XP in %Windir%\system32 (meestal is dat c:\windows\system32). Het is ten zeerste af te raden om svchost.exe te verwijderen of het proces stop te zetten. Je computer zal niet goed meer functioneren.

Wanneer moet je alert zijn?

Hoewel svchost.exe op zich een onschuldig en zelfs een noodzakelijk systeembestand is, is er toch reden voor oplettendheid. Grofweg gesteld zijn er twee mogelijkheden waarin het gevaar schuilt. Ten eerste als het bestand voorkomt in Windows XP in een andere directory dan %Windir%\system32 (ongeveer 14kb groot) of als er een bestand op je computer zit dat lijkt op de naam svchost.exe. Makers van spyware en virussen zijn zo bij de pinken om het bestand svchost.exe te kopiëren naar een andere folder of het een naam te geven zoals svchost32.exe (merk het minieme verschil op met de originele bestandsnaam). De W32.Welchia.B.Worm is zo"n worm die gebruik maakt van het svhcost.exe-bestand dat naar de folder %Windir%\system32\drivers\ is gekopieerd.
Voor alle duidelijkheid: het verwijderen van het svchost.exe-bestand in deze folder is geen oplossing voor deze worm daarvoor moet je andere stappen ondernemen. Een overzicht van virussen en wormen waarbij het svchost.exe-bestand is betrokken vindt je als je op de link klikt.

Om te kijken waar het svchost.exe-bestand zich op jouw computer bevindt, zou je een zoekopdracht kunnen uitvoeren, eventueel met toevoeging van een asterisk (svc*host*.exe) . Zorg er dan wel voor dat er ook gezocht wordt naar verborgen bestanden en systeembestanden. In principe is ieder svchost.exe-bestand dat zich niet in de directory %Windir%\system32 verdacht. Met SP3 geïnstalleerd, zou je eventueel op deze plek ook een svchost.exe moeten vinden: %Windir%\ServicePackFiles\i386 (ongeveer 14kb) groot.

Ten tweede kan de "echte" svchost.exe ook verdacht zijn, echter alleen in die zin dat het een kwaadaardige service opstart. Deze opgestarte service is dan een onderdeel van bijvoorbeeld een virus of spyware. De hamvraag is natuurlijk: welke services zijn te vertrouwen en welke niet? Hier vind je een lijst met Windows XP-services die in theorie op je systeem kunnen draaien. Let op ook software van andere partijen kan services aangestuurd door svchost.exe bevatten, zonder schadelijk te zijn. Als je wilt weten welke services met behulp van svchost.exe er op dit moment op je systeem draaien, doe je het volgende: kies Start Uitvoeren en typ in dat veld cmd. Vervolgens typ je in "Tasklist /svc >C:\TaskList.txt" (zonder aanhalingstekens). Op de c-schijf is een zogeheten Tasklist aangemaakt, waarin je verdachte services kunt opsporen. Het is goed om deze lijst te vergelijken met die van de standaard services die worden gebruikt met svchost.exe in Standaard services in Windows XP SP3. Je kunt ook op Google zoeken welke services verdacht zijn. Overigens werkt het Tasklist-commando alleen op XP Professional. Voor de Home Edition moet je eerst deze tasklist downloaden (zip-bestand) en installeren.

Voor de meer gevorderden onder ons. Je kunt ook onder de motorkap duiken en het Windows Register raadplegen. Exporteer (back-up) natuurlijk eerst wel je huidige register naar een veilige plek. Daarna kijk je in HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost. Wees voorzichtig met het verwijderen van sleutels. Microsoft geeft op de volgende link: meer uitleg over deze sleutelwaarden.

Conclusie

Svchost.exe is een ongevaarlijk systeembestand. Het kan zijn dat er een kwaadaardige kopie van dit bestand zich in een andere folder bevindt dan %Windir%\system32. Daarnaast kan het zijn dat er een proces in het Taakbeheer staat met bijna dezelfde naam. Dat is dan verdacht. Verder kunnen kwaadaardige services gebruik maken van het "echte" svchost.exe-bestand. Onderzoek dan eerst welke services gebruik maken van dit bestand en of ze daadwerkelijk kwaadaardig zijn.

---

Voeg deze pagina toe aan uw favoriete Social Bookmarking websites