¿Qué tipo de virus es svohos.exe?
Nombre del proceso: proceso de host del servicio universal del servicio win32.
Categoría de proceso: Proceso del sistema
Ubicación: C:/Windows/System32/svchost. (Tenga cuidado si su proceso svchost.exe no está en este directorio).
svchost.exe es un proceso del sistema que se cree que forma parte del sistema operativo Microsoft Windows y maneja procesos ejecutados desde DLLS. Este programa es muy importante para el funcionamiento estable y seguro de su computadora y no debe finalizarse. Nota: svchost.
svchost.exe es un programa de sistema perteneciente al sistema operativo Microsoft Windows. La explicación oficial de Microsoft es que Svchost.exe es el nombre de proceso de host común de un servicio que se ejecuta desde una biblioteca de vínculos dinámicos (DLL). Este programa es muy importante para el funcionamiento normal de su sistema y no se puede finalizar.
(Nota: svchost.exe también puede ser el virus W32.Welchia.Worm, que explota la vulnerabilidad LSASS de Windows para crear un desbordamiento del búfer y hacer que su computadora se apague. Para obtener más información, consulte: /TechNet/security /bulletin/ms04-011. mspx, el nivel de seguridad de este proceso recomienda su eliminación inmediata)
Productor: Microsoft Corporation
Pertenece a: Sistema operativo Microsoft Windows.
Proceso del sistema: Sí
Programa en segundo plano: Sí
Relacionado con la red: Sí
Errores comunes: No aplicable
Uso de memoria: No aplicable
Nivel de seguridad (0-5): 0
Spyware: No
Adware: No
Virus: Ninguno
Troy Hoss: No
Encontrado:
En la familia de sistemas operativos Windows basados en el kernel NT, diferentes versiones de Windows Hay números variables de procesos "svchost" en el sistema. Los usuarios pueden verificar el recuento de procesos utilizando el Administrador de tareas. En términos generales, win2000 tiene dos procesos svchost, winxp tiene más de cuatro procesos svchost (no juzgue inmediatamente que el sistema tiene un virus cuando vea varios procesos de este tipo en el sistema) y win2003server tiene más. Estos procesos svchost proporcionan muchos servicios del sistema, como: servicio rpcss (llamada a procedimiento remoto), servicio dmserver (logicdiskmanager), servicio dhcp (dhcpclient), etc. Hay hasta 12 procesos svchost en el sistema Windows Vista. Estos svchost.exe están todos en la misma ruta de archivo C:\Windows\System32\svchost.exe. Son imgsvc, NetworkServicenetworkrestricted, LocalServiceNoNetwork, networkservice, LocalService, netsvcs. LocalSystemNetworkRestricted, LocalServiceNetworkRestricted, servicios, rpcss, WerSvcGroup, grupo de servicios DcomLaunch. Si desea saber cuántos servicios del sistema proporciona cada proceso svchost, puede ingresar el comando "tlist-s" en la ventana del símbolo del sistema de win2000, proporcionado por win2000supporttools. En winxp, utilice el comando "tasklist/svc".
Svchost puede contener múltiples servicios.
En profundidad: los procesos del sistema Windows se dividen en procesos independientes y * * * procesos compartidos. El archivo "svchost.exe" existe en el directorio "%systemroot%system32" y pertenece a un * * * proceso compartido.
A medida que la cantidad de servicios del sistema Windows continúa aumentando, para ahorrar recursos del sistema, Microsoft ha permitido que muchos servicios se inicien mediante el proceso svchost.exe. Sin embargo, como host de servicios, el proceso svchost no puede implementar ninguna función de servicio, es decir, solo puede proporcionar condiciones para que otros servicios comiencen aquí, pero no puede proporcionar ningún servicio a los usuarios. Entonces, ¿cómo se implementan estos servicios?
Resulta que estos servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (dll). Apuntan el programa ejecutable a svchost, y svchost llama al dll del servicio correspondiente para iniciar el servicio. Entonces, ¿cómo sabe svchost a qué biblioteca de vínculos dinámicos debe llamar un servicio del sistema? Esto se logra mediante parámetros establecidos en el registro por el servicio del sistema. Tomemos el servicio rpcss (remoteprocumerecall) como ejemplo para ilustrar.
Como se puede ver en los parámetros de inicio, el servicio se inicia mediante svchost.
Ejemplo
Tome Windows XP como ejemplo, haga clic en Inicio/Ejecutar, ingrese el comando "services.msc", aparecerá el cuadro de diálogo de servicio y luego abra el "Procedimiento remoto". cuadro de diálogo de propiedades. Puede ver que la ruta del archivo ejecutable del servicio rpcss es "C:\Windows\System32\svchost-krpcss", lo que indica que svchost llama al servicio rpcss.
Ingrese "regedit.exe" en el cuadro de diálogo de ejecución, presione Entrar, abra el editor de registro, busque el elemento [HKEY_Local_Machine\System\Current Control Set\Service\rpcss] y busque el tipo El registro clave "magepath" para "reg_expand_sz". Su valor clave es "% systemroot % system32 SVC host-krpcss" (este es el comando de inicio del servicio que ve en la ventana de servicio), y en la subclave "parámetros" hay una clave llamada "servicedll" con el valor "%systemroot %system32rpcss.dll", donde "rpcss.dll" es el archivo de biblioteca de vínculos dinámicos que utilizará el servicio rpcss. De esta manera, el proceso svchost puede iniciar el servicio leyendo la información del registro del servicio "rpcss".
Salir de dudas
Dado que el proceso svchost inicia varios servicios, los virus y troyanos hacen todo lo posible para aprovecharse de él, intentando utilizar sus características para confundir a los usuarios y lograr el propósito de infección. , invasión y destrucción (como la variante del virus de la onda de choque "w32.welchia.worm"). Sin embargo, es normal que existan múltiples procesos svchost en los sistemas Windows. ¿Cuál es el proceso del virus en la máquina infectada? He aquí sólo un ejemplo para ilustrar.
Supongamos que el sistema Windows XP está infectado por "w32.welchia.worm". El archivo svchost normal existe en el directorio "c:\windows\system32", así que tenga cuidado si encuentra el archivo en otros directorios. El virus "w32.welchia.worm" existe en el directorio "c:\windows\system32wins". Utilice el administrador de procesos para ver la ruta del archivo ejecutable del proceso svchost. Es fácil encontrar si el sistema está infectado con el virus. . El administrador de tareas que viene con el sistema Windows no puede ver la ruta del proceso. Puede utilizar software de gestión de procesos de terceros, como el administrador de procesos "Windows Optimizer". A través de estas herramientas, puede ver fácilmente las rutas de los archivos de ejecución de todos los procesos svchost. Una vez que se descubre que las rutas de ejecución se encuentran en ubicaciones inusuales, deben detectarse y manejarse de inmediato.
Svchost.exe explicado para resolver confusión respecto a dudas sobre Svchost.
-
El archivo Svchost.exe es el nombre de proceso de host común de un servicio que se ejecuta desde una biblioteca de vínculos dinámicos. El archivo Svhost.exe se encuentra en la carpeta %systemroot%\system32 del sistema.
Al iniciar, Svchost.exe comprueba la ubicación en el registro (HKEY_Local_Machine\Software\Microsoft\Windows NT\Current Version\svchost) para crear una lista de servicios para cargar. Esto permitirá que se ejecuten varios Svchost.exe simultáneamente. Cada respuesta de Svchost.exe contiene un conjunto de servicios, por lo que los servicios individuales deben depender de cómo y dónde se inicia Svchost.exe. Esto facilita el control y la detección de errores.
El grupo Svchost.exe se identifica mediante el siguiente valor de registro.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\current version\Svchost
Cada valor bajo esta clave representa un grupo Svchost independiente cuando ve los procesos activos, se muestra como un ejemplo separado . Cada clave es un valor de tipo REG_MULTI_SZ e incluye servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost contiene uno o más nombres de servicios seleccionados de los valores del registro cuyos valores de parámetros contienen un valor ServiceDLL.
HKEY _ LOCAL _ MACHINE \ System \ current control set \ Services
En pocas palabras, sin este servicio RPC, la máquina difícilmente puede conectarse. Muchos servicios de aplicaciones dependen de esta interfaz RPC. Si se descubre que este proceso consume demasiados recursos de la CPU, deshabilitar directamente el servicio RPC del sistema será un desastre, porque ni siquiera se puede utilizar la interfaz de configuración del servicio del sistema para restaurar esta interfaz. El método de recuperación requiere usar el editor de registro para encontrar HKEY_Local_Machine>;>System>>Current Control Set>>Services>>RpcSs, buscar el atributo Inicio a la derecha, cambiar su valor a 2 y reiniciar.
La razón por la cual svchost representa el 100% de la CPU del sistema no es el servicio svchost en sí: la situación anterior se debe a la falla del servicio Windows Update al descargar/instalar, lo que resulta en reintentos repetidos del servicio de actualización. La actualización automática de Windows también es una aplicación en segundo plano que depende del servicio svchost, que muestra la gran carga en svchost.exe. Las máquinas que suelen tener este problema suelen ser máquinas con condiciones de acceso a Internet inestables (especialmente al acceder a sitios web extranjeros). Por ejemplo, las máquinas de los padres en casa suelen aparecer de forma irregular después de estar instaladas durante varios meses el primer día de cada mes. periodos de alta incidencia: porque en los últimos años MS ha lanzado parches periódicamente en la segunda semana de cada mes). La solución anterior no garantiza la no repetición, pero sigue siendo una pérdida de tiempo reinstalar el sistema operativo cada pocos meses para el archivo svchost.
Más información
Para ver los servicios que se ejecutan en la lista de Svchost.
Comando Iniciar-Ejecutar-Escribir
Luego ingrese tlist -s (tlist debe ser algo en la caja de herramientas de win2k)
Tlist muestra la lista de procesos activos. El modificador -s muestra una lista de servicios activos en cada proceso. Si quieres saber más sobre este proceso, puedes hacer clic en la lista pid.
La lista muestra dos ejemplos de operaciones de Svchost.exe.
0 proceso del sistema
8 sistema
132 smss.exe
160 csrss.exe título:
Título de winlogon.exe: agente NetDDE
208services.exe
Servicios: administración de aplicaciones, navegador, Dhcp, dmserver, Dnscache, registro de eventos, lanmanserver, LanmanWorkst
ation, LmHosts, Messenger, PlugPlay, ProtectedStorage, seclogon, TrkWks, W32Time, Wmi
220 lsass.exe Svcs:Netlogon, PolicyAgent, SamSs
404 svchost.exe Svcs: rpcs
452 spoolsv.exe Servicios:spooler
544 cisvc.exe Servicios:cisvc
556 svchost.exe Servicios:sistema de eventos, Netman, NtmsSvc, RasMan, SENS , TapiSrv
580 Servicios regsvc.exe: Registro remoto
596 Servicios mstask.exe: Programación
660 Servicios snmp.exe: SNMP
728 winmgmt.exe Servicios:WinMgmt
852 cidaemon.exe Título: OleMainThreadWndName
812 explorer.exe Puesto: Gerente de proyecto
1032 Título OSA.EXE : Recordatorio
1300 título cmd.exe: D:\win nt 5\System32\cmd exe-tlist-s
1080 Título MAPISP32.EXE: WMS inactivo
.1264 título rundll32.exe:
1000 título mmc.exe: Administrador de dispositivos
1144 tlist.exe
En En este ejemplo, el registro tiene dos grupos.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\versión actual\Svchost:
net SVCs:Reg_Multi_SZ:sistema de eventos Ias Iprip Irmon Netman Nwsapagent RasautoRa
acceso remoto sman SENS acceso compartido Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
Esto es parte del subsistema Win32 en modo de usuario. Csrss representa el subsistema operativo cliente/servidor y es un subsistema básico que debe estar ejecutándose en todo momento. Csrss es responsable de controlar ventanas, crear o eliminar subprocesos y algunos entornos virtuales de MS-DOS de 16 bits.
[Editar este párrafo] Los siguientes son los servicios del programa de llamada al sistema SVCHOST.
(El primer comportamiento es "nombre del servicio", el segundo comportamiento es "descripción del servicio" y el tercer comportamiento es "programa de llamada")
Gestión de aplicaciones
El componente de administración de aplicaciones es responsable de instalar el formato de archivo msi, pero esto no importa si el servicio está realmente deshabilitado.
svchost.exe
Actualización automática
Servicio de actualización automática de Windows.
svchost.exe
Servicio de transferencia inteligente en segundo plano
Implementar firewall de conexión/conexión compartida a Internet.
El cortafuegos de XP proporciona servicios para que varias computadoras se conecten a Internet y disfruten del acceso telefónico a Internet.
svchost.exe
Administrador de discos lógicos
Servicio de administración de discos. El sistema te avisará para abrirlo si es necesario.
svchost.exe
Conocimiento de ubicación de red (NLA)
Puede ser necesario si hay acceso a la red o ICS/ICF. (lado del servidor).
svchost.exe
Número de serie de medios portátiles
Windows Media Player y Microsoft protegen los derechos de autor de los medios digitales.
svchost.exe
Administrador de conexión automática de acceso remoto
Usuarios/redes de banda ancha * * * ¡disfruta de los servicios que necesitan!
svchost.exe
Llamada a procedimiento remoto
¡Servicio central del sistema! Si este servicio está deshabilitado en Windows 2000, el sistema no se iniciará.
svchost.exe
Servicio de registro remoto
Operación/modificación del registro remoto.
svchost.exe
[Editar este párrafo] Nota
svchost.exe
Los nombres de procesos que los virus suelen imitar son: svch0st exe, schvost.exe y scvhost.exe. A medida que la cantidad de servicios del sistema Windows continúa aumentando, para ahorrar recursos del sistema, Microsoft ha permitido que muchos servicios se inicien mediante el proceso svchost.exe. Los servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (dll). Apuntan el programa ejecutable a scvhost y cvhost llama a la DLL del servicio correspondiente para iniciar el servicio. Podemos abrir Panel de control → Herramientas administrativas → Servicios y hacer doble clic en el Servicio de portapapeles. En su panel de propiedades podemos encontrar que la ruta del archivo ejecutable correspondiente es "C:\Windows\System32\ClipSRV.Exe". Haga doble clic en el servicio "Alerta" y podrá encontrar que la ruta del archivo ejecutable es "C:\Windows\System32\svchost.exe-k servicio local", mientras que la ruta del archivo ejecutable del servicio "Servidor" es "C: \Windows\System32\svchost.exe -k netsvcs". Es a través de esta llamada que se puede ahorrar una gran cantidad de recursos del sistema, por lo que la aparición de múltiples svchost.exe en el sistema es en realidad solo un servicio del sistema. Generalmente hay dos procesos svchost.exe en los sistemas Windows 2000, uno es el proceso de servicio RPCSS (remoteprocurecallrecall) y el otro es svchost.exe que utilizan muchos servicios. En Windows XP, normalmente hay más de cuatro procesos de servicio svchost.exe. Si el número de procesos svchost.exe supera los 6, tenga cuidado. Puede ser un virus falso. El método de detección es muy sencillo. Utilice alguna herramienta de gestión de procesos, como la función de gestión de procesos del Optimizador de Windows, para comprobar la ruta del archivo ejecutable en svchost.exe. Si está fuera del directorio "C:\WINDOWS\system32", se puede determinar que es un virus.