Archiv der Kategorie: SVCHOST

Wie finde ich den fehlerhaften SVCHOST – shchost.exe remote raus?

Es gibt zwei Möglichkeiten, die ich in diesen Artikel erwähnen möchte. Man kann per Remote, wenn die entsprechenden Dienste bei Windows aktiviert sind, die svchost.exe herausfinden.  Denkt dran es gibt mehrere SVCHOST-Gruppen. XXX.XXX.XXX.XXX steht für die IP-Adresse, jedoch kann der Hostname auch genutzt werden.

Bei der 1. Möglichkeit handel es sich umd das Programm tasklist oder auch tlist. Dieses Konsolenprogramm kann helfen, tasks von svchost.exe – mittels eines Filters – herauszufinden. Der Befehl lautet “ tasklist /s XXX.XXX.XXX.XXX /svc /fi „imagename eq svchost.exe“ „. Sollte jetzt eine PID das Interesse geweckt haben, dann kann man diese PID mit dem Befehl “ tasklist /s XXX.XXX.XXX.XXX /svc /fi „PID eq 12345″ “ veranschaulichen. 12345 ist im Befehl eine Beispiel-PID.

Die andere Möglichkeit besteht mit dem Programm PsList aus der Windows Sysinternals Suite (siehe 1. Quelle). Mit diesem Tool kann man auch remote tasks anzeigen lassen, auch wenn der Host beim Herunterfahren oder während der Nutzung „einfriert“. Der Befehl für die Remote-Abfrage ist: “ pslist svchost \\XXX.XXX.XXX.XXX -d „. Wenn Ihr jetzt einen svchost mit einer entsprechenden PID gefunden habt, und wollt diesen genauer anschauen, nehmt ihr folgenden Befehl: “ pslist 12345 \\XXX.XXX.XXX.XXX -x „. In diesem Befehl ist 12345 die Beispiel-PID.

Bei den erwähnten Möglichkeiten handel es sich um Vorschläge. Es gibt auch andere Tools, die genutzt werden können, jedoch bevorzuge ich die erwähnten. Weitere Informationen zu den Windows Sysinternals findet Ihr hier oder braucht Ihr Informationen zu svchost,  dann folgt diesem Link.

Quellen:
– http://technet.microsoft.com/de-de/sysinternals/bb896682.aspx
– http://technet.microsoft.com/en-us/library/bb491010.aspx