Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
|
win:svchost [2011/03/31 14:45] 127.0.0.1 external edit |
win:svchost [2012/12/15 16:10] (aktuell) wikisysop |
||
|---|---|---|---|
| Zeile 14: | Zeile 14: | ||
| - | <box round green|**HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\//[ServiceName]//**> | + | <box round green|**HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\//[ServiceName]//**>Key: //[ServiceName]// |
| - | REG_EXPAND_SZ: ImagePath | + | Value: REG_EXPAND_SZ: <fc #800000>ImagePath</fc> |
| - | Value: //[Pfad zur ausführbaren Datei]// -> <fs 0.8em>(zB: "C:\Programme\Alwil Software\Avast4\ashServ.exe")</fs> | + | Data: //[<fc #800000>Pfad zur ausführbaren Datei</fc>]// -> <fs 0.8em>(zB: "C:\Programme\Alwil Software\Avast4\ashServ.exe")</fs> |
| </box> | </box> | ||
| Zeile 34: | Zeile 34: | ||
| Die Syntax für den Aufruf einer Dienstgruppe lautet: <fc #008000>%SYSTEMROOT%\system32\svchost.exe -k //group//</fc>. Der Wert <fc #008000>group</fc> definiert welche Dienste als Service-DLLs in einer SVCHOST Instanz ausgeführt werden. Die Liste der Dienste die in der angegebenen Gruppe ausgeführt werden, wird ebenfalls in der Registry definiert: | Die Syntax für den Aufruf einer Dienstgruppe lautet: <fc #008000>%SYSTEMROOT%\system32\svchost.exe -k //group//</fc>. Der Wert <fc #008000>group</fc> definiert welche Dienste als Service-DLLs in einer SVCHOST Instanz ausgeführt werden. Die Liste der Dienste die in der angegebenen Gruppe ausgeführt werden, wird ebenfalls in der Registry definiert: | ||
| - | <box round green|**HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost**> | + | <box round green|**HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost**>Value: REG_MULTI_SZ: //<fc #800000>groupname</fc>// |
| - | REG_MULTI_SZ: //groupname// | + | |
| </box> | </box> | ||
| Zeile 43: | Zeile 42: | ||
| Wird ein DLL-basierter Dienst bzw. die Dienst Gruppe gestartet, lädt der SVCHOST die dazugehörige DLL, welche in der Registry im Subkey <fc #008000>Parameters</fc> im Wert <fc #008000>ServiceDll</fc> definiert wird. | Wird ein DLL-basierter Dienst bzw. die Dienst Gruppe gestartet, lädt der SVCHOST die dazugehörige DLL, welche in der Registry im Subkey <fc #008000>Parameters</fc> im Wert <fc #008000>ServiceDll</fc> definiert wird. | ||
| - | <box round green|**HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\//[service_name]//\Parameters**> | + | <box round green|**HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\//[service_name]//\Parameters**>Value: REG_EXPAND_SZ: <fc #800000>ServiceDLL</fc> |
| - | REG_EXPAND_SZ: ServiceDLL | + | Data: Pfad zur //[<fc #800000>ServiceDLL</fc>]// -> <fs 0.8em>(zB: "%SYSTEMROOT%\system32\w32time.dll")</fs> |
| - | Wert: Pfad zur //[ServiceDLL]// -> <fs 0.8em>(zB: "%SYSTEMROOT%\system32\w32time.dll")</fs> | + | |
| </box> | </box> | ||
| Zeile 59: | Zeile 57: | ||
| In vielen Foren kommt es nun immer wieder zu der Frage was eine CPU Auslastung eines svchost Prozess von 100% bedeutet. Die kurze Antwort darauf lautet, dass vermutlich in den meisten Fällen ein SVCHOST gestarteter Dienst abgestürzt ist. Aber welcher? Das kann uU dann schon zu einer ausgedehnten Detektivarbeit führen. IdR sollte ein Neustart des Systems die Sache wieder gerade biegen aber man kann sich der Sache auch detaillierter nähern. Dazu ist es erst mal erforderlich die PID (ProzessID) der SVCHOST Instanz zu kennen. Dazu blenden Sie im Task Manager die Spalte PID ein <fc #008000>(Menü: Ansicht -> Spalten auswählen -> Checkbox: PID aktivieren)</fc>. Sie sehen jetzt die PID des Prozesses, welcher die hohe CPU Auslastung verursacht. In einem Terminal können Sie nun den Befehl <fc #008000>tasklist /svc /fi "imagename eq svchost.exe"</fc> ausführen und in der Liste die HostedServices identifizieren, welche zu dieser PID gehören. | In vielen Foren kommt es nun immer wieder zu der Frage was eine CPU Auslastung eines svchost Prozess von 100% bedeutet. Die kurze Antwort darauf lautet, dass vermutlich in den meisten Fällen ein SVCHOST gestarteter Dienst abgestürzt ist. Aber welcher? Das kann uU dann schon zu einer ausgedehnten Detektivarbeit führen. IdR sollte ein Neustart des Systems die Sache wieder gerade biegen aber man kann sich der Sache auch detaillierter nähern. Dazu ist es erst mal erforderlich die PID (ProzessID) der SVCHOST Instanz zu kennen. Dazu blenden Sie im Task Manager die Spalte PID ein <fc #008000>(Menü: Ansicht -> Spalten auswählen -> Checkbox: PID aktivieren)</fc>. Sie sehen jetzt die PID des Prozesses, welcher die hohe CPU Auslastung verursacht. In einem Terminal können Sie nun den Befehl <fc #008000>tasklist /svc /fi "imagename eq svchost.exe"</fc> ausführen und in der Liste die HostedServices identifizieren, welche zu dieser PID gehören. | ||
| - | <xterm> | + | <xterm>C:\> <fc #008000>tasklist /svc /fi "imagename eq svchost.exe"</fc> |
| - | C:\Dokumente und Einstellungen\pronto><fc #9acd32>tasklist /svc /fi "imagename eq svchost.exe"</fc> | + | |
| Abbildname PID Dienste | Abbildname PID Dienste | ||
| Zeile 81: | Zeile 78: | ||
| Ist die gesuchte PID nicht mit so vielen Diensten gesegnet wie hier zB die PID 1048 kann recht schnell der verantwortliche Dienst ausfindig gemacht werden. Sie können in einem Terminal den Dienst dann ggf neu starten. Die Syntax dazu lautet: <fc #008000>net stop [Dienstname] && net start [Dienstname]</fc>: | Ist die gesuchte PID nicht mit so vielen Diensten gesegnet wie hier zB die PID 1048 kann recht schnell der verantwortliche Dienst ausfindig gemacht werden. Sie können in einem Terminal den Dienst dann ggf neu starten. Die Syntax dazu lautet: <fc #008000>net stop [Dienstname] && net start [Dienstname]</fc>: | ||
| - | <xterm> | + | <xterm>C:\> <fc #008000>net stop w32time && net start w32time</fc> |
| - | C:\Dokumente und Einstellungen\pronto><fc #9acd32>net stop w32time && net start w32time</fc> | + | |
| Windows-Zeitgeber wird beendet. | Windows-Zeitgeber wird beendet. | ||
| Windows-Zeitgeber wurde erfolgreich beendet. | Windows-Zeitgeber wurde erfolgreich beendet. | ||
| Zeile 93: | Zeile 89: | ||
| --- //pronto 2010/03/21 19:54// | --- //pronto 2010/03/21 19:54// | ||
| - | ~~DISCUSSION:off~~ | + | ~~DISCUSSION~~ |
| {{keywords>svchost service dienst 100% "net stop" "net start"}} | {{keywords>svchost service dienst 100% "net stop" "net start"}} | ||
