Funktionalität: Wenn man sich mit dem Windows-Taskmanager einen Überblick über die laufenden Prozesse verschaffen möchte, sticht einer davon heraus, da er typischerweise in mehreren Instanzen vorliegt: Svchost.exe. Die zugehörige Beschreibung lautet lapidar Hostprozess für Windows-Dienste. Dabei handelt es sich um einen Betriebssystemprozess, der die in einer DLL enthaltenen Programme als Dienst laden, ausführen und beenden kann. Malware wie der Wurm Conficker ist in der Lage, den Svchost-Prozess zu kapern und dadurch ihre Aktivitäten zu verbergen, sodass sie Virenscannern und Firewalls oft entwischt.

Dieser Art von Bedrohung lässt sich mit dem Svchost Prozess Analyzer begegnen. Die kostenlose Software erfasst auf dem Rechner alle Prozesse, die unter dem Namen svchost.exe oder ähnlichen Bezeichnungen wie svhost.exe oder scvhost.exe gestartet wurden. Diese Buchstabendreher weisen eventuell auf einen Versuch hin, die wahre Herkunft zu verschleiern. Außerdem untersucht das Tool die fraglichen Tasks und präsentiert weitere Details dazu: Neben der ID des Svchost-Prozesses liefert die Software dessen Startdatei (im Normalfall C:\Windows\System32\svchost.exe), ermittelt, wie viele Dienste ein Prozess gestartet hat, zu welcher Gruppe diese Dienste gehören und die zugrunde liegende DLL. Außerdem erfolgt eine Einschätzung, ob sich Schädlinge breitgemacht haben. Entfernen lassen sich solche Eindringlinge allerdings mit dem Tool nicht. Immerhin hat der Anwender aber einen Anhaltspunkt, welche Malware seinen PC befallen hat, sodass er gezielt weitere Recherchen durchführen kann.

Installation: Das Tool kommt als portable Anwendung ohne Installation aus. Es genügt, die 528 KByte große EXE-Datei von der Herstellerseite herunterzuladen und zu starten.

Bedienung: Der Svchost Prozess Analyzer überprüft zunächst automatisch alle über svchost.exe auf dem Computer gestarteten Programme. Dieser Vorgang nimmt nicht viel Zeit in Anspruch, sodass der Anwender kurz darauf in einem Übersichtsfenster sieht, wie viele der fraglichen Systemprozesse laufen und ob das Tool Anlass für eine Warnung sieht.

Mit einem Klick auf die Schaltfläche Details gelangt man zu den näheren Informationen der Scan-Ergebnisse. Den Platz auf der deutschen Benutzeroberfläche teilen sich zwei Bereiche: Oben sind alle Svchost-Prozesse mit ihrer ID und weiteren Angaben wie der Anzahl der darüber gestarteten Dienste aufgeführt. Die Liste lässt sich sortieren, indem man auf die jeweilige Spaltenüberschrift klickt.

Wenn der Anwender einen der angezeigten Prozesse auswählt, erscheinen im unteren Teil des Programmfensters die dazugehörigen Dienstnamen und die jeweilige DLL-Datei. Kleine Symbole daneben helfen dem Anwender bei der Einschätzung: Ein rotes Dreieck mit Ausrufezeichen weist auf eine potenzielle Gefahrenquelle hin, ein grüner Punkt mit Häkchen signalisiert, dass der Dienst unbedenklich ist. Weitere Bedienmöglichkeiten sieht das Tool nicht vor, denn eine Menü- oder Symbolleiste fehlt, und auch ein Kontextmenü lässt sich nicht aufrufen. Ein Doppelklick auf einen Eintrag im unteren Fensterbereich löste auf dem Testsystem lediglich eine Fehlermeldung aus, dass die betreffende Datei nicht gefunden werden konnte.

Fazit: Das kostenlose Tool Svchost Prozess Analyzer ist eine gute Ergänzung zu Virenscanner und Firewall, um verdächtige Programme zu enttarnen, die sich über den Systemprozess svchost.exe einschleichen. Da das Utility portabel nutzbar ist, eignet es sich besonders für Support-Mitarbeiter, die rasch vor Ort überprüfen wollen, ob ein PC infiziert ist. Eine Funktion, um Malware zu entfernen, fehlt dem Svchost Process Analyzer jedoch. (cvi/hal)