Der Prozess "svchost" ist ein Microsoft-Prozess für so genannte "generische Dienstgruppierungen". Im Klartext bedeutet dies, daß sich hinter einem einziegen "svchost"-Prozess mehrere Dienste gleichzeitig "verstecken" können (die Dienste werden also über svchost gruppiert). So fast ein einziger svchost-Prozeß z.B. die Dienste "Alerter", "WebClient", "LmHosts", "RemoteRegistry", "upnphost" und "SSDPSRV" zusammen, während ein anderer svchost-Prozeß für die Dienste "6to4", "AppMgmt", "AudioSrv", etc. zuständig ist. Ein weiterer svchost-Prozeß kann auch einen einzigen Dienst beherbergen (z.B. den "TermServcice"-Dienst). Im Taskmanager sind diese Dienste also nicht mehr zu sehen - lediglich svchost zeigt sich in mehrfacher Ausführung.
Die Anzahl der gestarteten svchost-Prozesse ist davon Abhängig, wie viele Dienstgruppen es auf dem PC gibt und natürlich auch davon, welche Dienste aktiv sind (eine leere Dienstgruppe erhät keinen svchost-Prozess - wird also z.B. "TermService" deaktiviert, so startet der dazu gehörige svchost-Prozess nicht, da der "TermService" der einzige Dienst dieser Gruppe ist).
Die Frage ist nun: Kann sich auch eine Malware hinter einem "svchost" verstecken? Leider lässt sich dies mit ja beantworten. Das Problem: Tools wie netstat oder besser fport.exe können hierüber keinen direkten Aufschluß geben, da in deren Liste ja nur ein unauffälliges "svchost" erscheint. Zudem gibt es die Möglichkeit, daß eine Malware mit gleichem Namen (svchost.exe) gestartet wird, welches auf dem ersten Blick ebenfalls nicht auffallen wird.
So läßt sich der svchost-Prozess auf einfache Weise kontrollieren:
- Wenn Dein PC in einem sauberen Zustand ist (z.B. direkt nach einer Neuinstallation + fertig gestellter Konfiguration), so startest Du einfach
fport.exe > c:\windows\fport-sauber.txt
Nun kannst Du jederzeit eine aktuelle fport-Liste über
fport.exe > c:\windows\fport-jetzt.txt
erstellen und diese mit fport-sauber.txt vergleichen. Das geht sehr einfach, indem Du z.B. den Total Commander (Freeware - ehemals "Windows Commander") startest, beide Dateien markierst und über den Menüpunkt "Dateien / nach Inhalt vergleichen" die beiden Dateien öffnest. So siehst Du auf Anhieb, ob ein neuer svchost-Prozeß auf das Netzwerk zugreifen will, oder ob sich ein alter svchost-Prozeß plötzlich für einen zusätzlichen Port "interessiert".
Andere Programme, die nicht über svchost gestartet werden, kannst Du auf diese Art natürlich ebenfalls umgehend entlarven.
Hinweis: Wenn Du einen "sicheren" PC benötigst, sollten Du die hier beschriebene Prozedur vorsorglich nach jeder Installation eines neuen Programms ausführen. Du solltest Dir aber auch darüber im Klaren sein, dass eine Malware, die sich einer guten Rootkit-Technik bedient, damit nicht aufgespürt werden kann.
Bye, nz
![[HaBo]](/styles/default/logoklein.png){kind=small}
die ganze Zeit mit Admin-Rechten am PC, was böse enden kann.