svchost.exe : four­nis­seur de services de test contrôle des systèmes d’ex­ploi­ta­tion Windows

Si votre système d’ex­ploi­ta­tion Windows fonc­tionne par­fai­te­ment, vous n’avez gé­né­ra­le­ment aucune raison de vous préoc­cu­per du ges­tion­naire des tâches ni des dif­fé­rents processus et services. Les uti­li­sa­teurs de PC examinent les services en cours d’exécution et les pro­grammes s’y rat­ta­chant aussi rarement qu’un con­duc­teur ouvre le capot de sa voiture. Il est toutefois judicieux de connaître et de se fa­mi­lia­ri­ser avec les pro­grammes les plus im­por­tants de son système, surtout lorsque son activité pro­fes­sion­nelle dépend de l’accès à un système in­for­ma­tique fonc­tion­nel. En effet, les problèmes sur­vien­nent rarement au bon moment. Lorsque l’un des éléments suivants apparaît, il est conseillé de jeter un œil sur les processus en cours :

• surcharge inex­pli­quée du système comme, par exemple, un taux d’uti­li­sa­tion élevé de l’unité centrale ;
• plantages de pro­grammes ou fenêtres « figées » ;
• suspicion de virus ;
• pro­grammes cor­rec­te­ment installés ne démarrant pas.

Le processus svchost.exe saute im­mé­dia­te­ment aux yeux lorsqu’on examine les ap­pli­ca­tions en cours. Cela est dû au fait qu’il est gé­né­ra­le­ment exécuté plusieurs fois, souvent plusieurs douzaines de fois. Le nom du programme contient l’abré­via­tion Service Host (hôte de service en français). Il s’agit d’un logiciel pouvant être utilisé par d’autres pro­grammes ou services. Il n’est donc pas toujours facile d’iden­ti­fier le programme d’origine en arrière-plan du processus observé.

Il est également possible de con­cen­trer plusieurs services en un seul processus. Cependant, sur les or­di­na­teurs puissants, Windows a plutôt tendance à démarrer un processus séparé pour chaque service. Il est ainsi possible de mieux délimiter les processus les uns par rapport aux autres. Ce qui constitue un avantage de poids en cas de « plantage » d’un processus, c’est-à-dire de son passage dans un état indéfini. Le cas échéant, la tâche dé­fec­tueuse peut être fermée sans affecter d’autres pro­grammes.

Pourquoi a-t-on besoin d’un logiciel sup­plé­men­taire pour le démarrage de services ? Ceci permet d’améliorer l’ef­fi­ca­cité et tient à des concepts spé­ci­fiques, tels que les Dynamic Link Libraries (DLL). En effet, ces dernières utilisent svchost.exe pour exécuter un service. Ces bi­blio­thèques forment gé­né­ra­le­ment un code de programme utilisé par dif­fé­rents logiciels et pouvant être intégré (lié) dy­na­mi­que­ment en cas de besoin. Il en résulte, d’une part, un gain d’espace de stockage car tous les logiciels ne sont pas tenus de proposer les fonctions cor­res­pon­dantes. De l’autre, cela facilite la mo­du­la­ri­sa­tion. Les DLL peuvent être adaptées et ac­tua­li­sées in­dé­pen­dam­ment du logiciel utilisé.

Grâce à leurs pro­prié­tés, les bi­blio­thèques dy­na­miques prennent en charge des pro­grammes usuels dont l’exécution in­dé­pen­dante exige un code machine vo­lu­mi­neux. Elles empêchent également tout problème lié au fait que certaines res­sources de pro­grammes (telles que les fonctions intégrées) ne peuvent gé­né­ra­le­ment pas être pilotées di­rec­te­ment pas d’autres pro­grammes. Le système préfère alors mettre à dis­po­si­tion les fonc­tion­na­li­tés né­ces­saires à plusieurs pro­grammes sous forme de DLL.

Si vous constatez qu’un processus svchost.exe oc­ca­sionne des problèmes sur votre système, vous pouvez l’examiner de dif­fé­rentes manières.

Par­ti­cu­liè­re­ment efficace, le ges­tion­naire des tâches intégré à Windows s’ouvre gé­né­ra­le­ment à l’aide du raccourci clavier [Ctrl] + [Maj] + [Echap]. Vous pouvez également saisir le terme « Ges­tion­naire des tâches » dans la barre de recherche et démarrer l’ap­pli­ca­tion à partir du résultat de recherche affiché.

Le ges­tion­naire des tâches compte plusieurs onglets. L’affichage des processus s’ouvre au­to­ma­ti­que­ment. Vous y voyez le taux d’uti­li­sa­tion du système en pour­cen­tage pour chaque processus démarré, c’est-à-dire la puissance de calcul consommée, la mémoire vive, le trafic du réseau et les accès aux disques durs cor­res­pon­dants. Vous pouvez modifier les pa­ra­mètres de tri d’un clic sur le critère souhaité. Les processus sont nommés d’après les pro­grammes cor­res­pon­dants. Sous Windows 10, par défaut, les processus svchost.exe sont désignés comme « hôtes de service ». La des­crip­tion du service exécuté suit cette dé­sig­na­tion. Dans les versions an­té­rieures de Windows, le nom svchost.exe ap­pa­rais­sait di­rec­te­ment dans la liste des processus.

Tous les services peuvent être consultés via l’ap­pli­ca­tion de système Services. Pour ouvrir cette ap­pli­ca­tion, ouvrez sim­ple­ment la boîte de dialogue « Exécuter » à partir du menu de démarrage (icône Windows) et saisissez-y ce qui suit :

Vous trouverez, dans le menu con­tex­tuel, le champ de sélection « Pro­prié­tés ». Il affiche le chemin vers le fichier exé­cu­table lié. Vous y trouverez également la dé­sig­na­tion du service et une des­crip­tion succincte. C’est ainsi que vous pourrez évaluer la fonction du service. Dans l’onglet de même nom, les dé­pen­dances avec d’autres services sont aussi affichées.

Si vous n’avez pas peur d’utiliser la ligne de commande, le programme taskliste.exe est une bonne al­ter­na­tive. Le programme est préins­tallé sous Windows 10 et est très clair. Dans les versions pré­cé­dentes, un logiciel similaire portant le nom « tlist.exe » était déjà im­plé­menté. Pour le démarrer, ouvrez la demande de saisie (cmd.exe). Pour obtenir une liste de toutes les instances de svchost.exe avec les ID de processus cor­res­pon­dants et les services qui y sont exécutés, saisissez la commande suivante dans la ligne de commande Windows :

Microsoft propose des logiciels gratuits sup­plé­men­taires, tels que le Process Explorer de l’auteur d’ouvrages spé­cia­li­sés et Windows-Insider, Mark Rus­si­no­vich. La structure du programme ressemble à celle du ges­tion­naire des tâches de Windows. Cependant, il dispose d’un volume de fonctions plus important. Il permet d’iden­ti­fier ra­pi­de­ment les processus ouverts par d’autres processus. Le menu con­tex­tuel (clic droit) est également nettement plus complet. Vous n’y voyez pas que le programme ap­par­te­nant à un processus, mais également son entrée dans le Registry. Vous pouvez, de plus, également faire di­rec­te­ment contrôler le logiciel sur la pla­te­forme Vi­rus­to­tal.

Le processus svchost.exe semble souvent suspect lors d’examens de systèmes envahis par des logiciels mal­veil­lants. En effet, le service sous-jacent n’est pas toujours im­mé­dia­te­ment iden­ti­fiable. On ne peut également pas exclure que des logiciels mal­veil­lants dé­tour­nent la fonction du processus et s’y attachent. Le processus est utilisé si souvent que des cy­ber­cri­mi­nels l’ont souvent détourné par le passé.

Il n’est pas facile de dé­ter­mi­ner s’il s’agit de processus légitimes : vérifiez tout d’abord l’or­tho­graphe du processus. Les pro­grammes mal­veil­lants utilisent souvent des noms ap­pro­chants comme scvhost.exe ou svhost.exe. Vous pouvez également consulter l’em­pla­ce­ment d’en­re­gis­tre­ment du fichier exé­cu­table de la manière décrite ci-avant. Le chemin d’en­re­gis­tre­ment doit im­pé­ra­ti­ve­ment être « \Windows\System32\ ». Dans le cas contraire, il ne s’agit pas d’un processus officiel du système.

Les services liés donnent également d’autres in­for­ma­tions. S’il s’agit de fonctions de système de Windows connues, la pro­ba­bi­lité de devoir gérer un logiciel mal­veil­lant est minime. L’onglet « Détails » du ges­tion­naire des tâches fournit plus d’in­for­ma­tions. Dans les pro­prié­tés, vous trouverez la signature numérique (cer­ti­fi­cat) de l’auteur. Il doit toujours s’agir de Microsoft pour svchost.exe.

Lorsqu’un programme doté d’une interface uti­li­sa­teur graphique ne réagit plus, il peut être utile d’arrêter ma­nuel­le­ment le processus cor­res­pon­dant. Il est également possible que plusieurs instances d’un programme aient été démarrées in­vo­lon­tai­re­ment, de plusieurs double-clics sur l’icône du programme, par exemple. Le cas échéant, il est également possible d’arrêter les processus superflus pour pouvoir utiliser le programme nor­ma­le­ment. Les processus tels que svchost.exe peuvent être fermés dans le ges­tion­naire des tâches. Pour cela, double-cliquez sur l’entrée concernée de la page des processus et sé­lec­tion­nez l’option « Arrêter le processus ».

Si une instance de svchost.exe continue d’oc­ca­sion­ner des problèmes après son re­dé­mar­rage, vous pouvez dé­sac­ti­ver ma­nuel­le­ment le processus dans l’ap­pli­ca­tion « Services ». Le cas échéant, informez-vous, au préalable, sur la fonction du service à dé­sac­ti­ver pour ne pas risquer de nouveaux dys­fonc­tion­ne­ments au re­dé­mar­rage suivant.

svchost.exe est, tout à la fois, un processus des plus normaux et des plus par­ti­cu­liers. Il est utilisé plusieurs fois, avec raisons, et n’indique gé­né­ra­le­ment pas de dys­fonc­tion­ne­ment de votre système ni la présence d’un logiciel mal­veil­lant actif. Il est, par ailleurs, re­la­ti­ve­ment simple de consulter l’uti­li­sa­tion de chaque processus dans le ges­tion­naire des tâches de Windows. En outre, au besoin, vous pouvez arrêter ma­nuel­le­ment svchost.exe, comme n’importe quel autre processus.