Windows XP - Svchost.exe Informacion
Pág. Principal


Introducción
Supongo que mas de uno se preguntó de donde salió el archivo svchost.exe y porque se está ejecutando tantas veces y consumiendo tantos recursos.

Bueno, para que tengan una idea clara, vamos a decir que básicamente es el encargado en Windows XP de ejecutar los servicios que corren desde una DLL (dynamic-link libraries).

Mas Información
El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%\System32.
Cuando se inicia Windows, Svchost.exe chequea el registro para poder armar la lista de servicios que necesita cargar.

Cada instancia de Svchost.exe puede ejecutar uno o mas servicios, todo depende de la manera en que se inicie.

Los grupos de servicios se encuentran en la siguiente rama del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost


Cada valor dentro de esta rama, representa un grupo y será visualizado como una instancia de Svchost, cuando veamos la lista de procesos.

Mas de cerca
Para poder ver la lista de servicios que se están ejecutando a través de Svchost, nos dirigimos a la consola ( Inicio / Ejecutar / cmd [Enter]) y escribimos:

C:\>tasklist /svc

El comando tasklist lo que hace es mostrar la lista de procesos activos, el parametro /SVC nos muestra la lista de servicios activos en cada proceso.

Este es un ejemplo, sacado de mi máquina.


 Image Name                   PID Services                                     
 ========================= ====== =============================================
 System Idle Process            0 N/A                                          
 System                         4 N/A                                          
 smss.exe                     456 N/A                                          
 csrss.exe                    512 N/A                                          
 winlogon.exe                 536 N/A                                          
 services.exe                 580 Eventlog, PlugPlay                           
 lsass.exe                    592 ProtectedStorage, SamSs                      
 svchost.exe                  760 RpcSs                                        
 svchost.exe                  852 AudioSrv, CryptSvc, Dhcp, dmserver,          
                                  EventSystem, lanmanworkstation, Netman, Nla, 
                                  RasMan, SENS, ShellHWDetection, TapiSrv,     
                                  winmgmt                                      
 svchost.exe                  924 Dnscache                                     
 spoolsv.exe                  964 Spooler                                      
 EXPLORER.EXE                1192 N/A                                          
 tca.exe                     1464 N/A                                          
 avgcc32.exe                 1472 N/A                                          
 MsgPlus.exe                 1480 N/A                                          
 TCLOCK.EXE                  1524 N/A                                          
 zapro.exe                   1544 N/A                                          
 avgserv.exe                 1756 AvgServ                                      
 vsmon.exe                   1788 vsmon                                        
 wmiapsrv.exe                1900 WmiApSrv                                     
 Far.exe                      504 N/A                                          
 regedit.exe                  596 N/A                                          
 cmd.exe                     1496 N/A                                          
 tasklist.exe                1324 N/A                                          
 

Para tener en cuenta
Al margen de que varios virus y/o troyanos infectan este archivo haciéndonos creer que es uno de ellos, debemos tener presente que otros, si llegar a infectarlo intentan engañarnos utilizando un nombre parecido.

scvhost.exe Lo instala el virus W32/Agobot-S. Se trata de un gusano y troyano backdoor de IRC que se copia asi mismo aprovechando los recursos compartidos con passwords débiles. E intenta propagarse utilizando las vulnerabilidades del RPC Locator y DCOM RPC.

svchosts.exe Lo instala el virus Sdbot-N. Es un troyano backdoor que permite a un usuario remoto controlar nuestra máquina a través del IRC. Se ejecuta en background, y trata de conectarse a un canal específico de un servidor de IRC y luego queda a la escucha de ciertos comandos para llevar a cabo sus correspondientes acciones.

svshost.exe Lo instala el virus Worm.P2P.Spybot.gen





Un abrazo, y hasta la próxima.




Leandro Montedoro
Mail: Lean10110[Arroba]BonBon[Punto]Net



Subir
2002 - Leandro Montedoro