¿Cuáles son los procesos de SVCHOST.EXE en XP? Tengo dos RED, SISTEMA y uno LOCAL. ¿Cómo limpiar si está infectado? ¡No copiar!

Lógicamente hablando, es normal tener muchos svchost.exe en una máquina, y no debería estar envenenada.

La siguiente es una explicación de svchost.exe. Es bastante larga. Puede ser de alguna utilidad~~~

svchost.exe

Abrir categoría. : Información del proceso informático -Sistema operativo-svchost.exe

Archivo de proceso: svchost o svchost.exe

Nombre del proceso: Proceso de host de servicio de Microsoft

Categoría de proceso : otros procesos

Ubicación: C:/windows/system32/svchost.exe (si su proceso svchost.exe no está en este directorio, tenga cuidado)

Descripción en inglés:

svchost.exe es un proceso del sistema que pertenece al sistema operativo Microsoft Windows que maneja procesos ejecutados desde archivos DLL. Este programa es importante para el funcionamiento estable y seguro de su computadora y no debe finalizarse.

Referencia china:

svchost.exe es un programa de sistema perteneciente al sistema operativo Microsoft Windows, que se utiliza para ejecutar archivos DLL. Este programa es muy importante para el funcionamiento normal de su sistema y no puede finalizarse. (Nota: svchost.exe también puede ser el virus W32.Welchia.Worm, que explota la vulnerabilidad LSASS de Windows para crear un desbordamiento del búfer y hacer que su computadora se apague. Para obtener más detalles, consulte:/technet/security/bulletin /ms04-011.mspx, se recomienda eliminar inmediatamente el nivel de seguridad de este proceso)

Productor: Microsoft Corp.

Pertenece a: Sistema Operativo Microsoft Windows

Proceso del sistema: Sí <. /p>

Programa en segundo plano: Sí

Relacionado con la red: Sí

Errores comunes: N/A

Uso de memoria: N/A

Nivel de seguridad (0-5): 0

Spyware: No

Adware: No

Virus : No

Troyano: No

Descubrido

En la familia de sistemas operativos Windows basada en el kernel NT, las diferentes versiones del sistema Windows tienen diferentes números de " svchost". Los usuarios utilizan el "Administrador de tareas" para ver el número de sus procesos. En términos generales, hay dos procesos svchost en win2000 y hay cuatro o más procesos svchost en winxp (si ve varios procesos de este tipo en el sistema en el futuro, no juzgue inmediatamente que el sistema tiene un virus), y allí Hay más en win2003server. Estos procesos svchost proporcionan muchos servicios del sistema, como: servicio rpcss (llamada a procedimiento remoto), servicio dmserver (logicdiskmanager), servicio dhcp (dhcpclient), etc.

Cuando se trata del sistema Windows Vista, hay hasta 12 procesos svchost. Estos svchost.exe están todos en la misma ruta de archivo C:\Windows\System32\svchost.exe. Son imgsvc, NetworkServiceNetworkRestricted, LocalServiceNoNetwork, NetworkService, LocalService. , netsvcs y LocalSystemNetworkRestricted , LocalServiceNetworkRestricted, servicios, rpcss, WerSvcGroup, grupo de servicios DcomLaunch.

Si desea saber cuántos servicios del sistema proporciona cada proceso svchost, puede ingresar el comando "tlist-s" en la ventana del símbolo del sistema de win2000 para verificar. Este comando lo proporciona win2000supporttools. En winxp, utilice el comando "tasklist/svc".

Svchost puede contener múltiples servicios

En profundidad

Los procesos del sistema Windows se dividen en procesos independientes y procesos compartidos, "svchost.exe" El archivo existe en el directorio "%systemroot%system32" y es un proceso compartido. A medida que la cantidad de servicios del sistema Windows continúa aumentando, para ahorrar recursos del sistema, Microsoft convirtió muchos servicios en modo compartido y los entregó al proceso svchost.exe para que se inicien. Sin embargo, el proceso svchost solo sirve como host de servicios y no puede implementar ninguna función de servicio. Es decir, solo puede proporcionar condiciones para que se inicien otros servicios aquí, pero él mismo no puede proporcionar ningún servicio a los usuarios. Entonces, ¿cómo se implementan estos servicios?

Resulta que estos servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (dll). Apuntan el programa ejecutable a svchost, y svchost llama a la biblioteca de enlaces dinámicos del servicio correspondiente para iniciar el servicio. . Entonces, ¿cómo sabe svchost a qué biblioteca de enlaces dinámicos debe llamar un determinado servicio del sistema? Esto se logra mediante parámetros establecidos en el registro por el servicio del sistema. Tomemos el servicio rpcss (llamada de procedimiento remoto) como ejemplo para explicarlo.

Se puede ver en los parámetros de inicio que el servicio lo inicia svchost.

Ejemplo

Tome Windows XP como ejemplo, haga clic en "Inicio"/"Ejecutar", ingrese el comando "services.msc", aparecerá el cuadro de diálogo del servicio y luego ábralo. En el cuadro de diálogo de propiedad "remoteprocedurecall", puede ver que la ruta del archivo ejecutable del servicio rpcss es "c:\windows\system32\svchost-krpcss", lo que muestra que el servicio rpcss se implementa confiando en svchost para llamar el parámetro "rpcss" y el contenido del parámetro se almacena en el registro del sistema.

Ingrese "regedit.exe" en el cuadro de diálogo de ejecución y presione Entrar, abra el editor de registro, busque el elemento [hkey_local_machine\system\currentcontrolset\services\rpcss] y busque la clave de tipo "reg_expand_sz " "magepath", su valor clave es "%systemroot%system32svchost-krpcss" (este es el comando de inicio del servicio que se ve en la ventana de servicio), y hay una clave llamada "servicedll" en la subclave "parámetros", cuyo valor es "%systemroot%system32rpcss.dll", donde "rpcss.dll" es el archivo de biblioteca de vínculos dinámicos que utilizará el servicio rpcss. De esta manera, el proceso svchost puede iniciar el servicio leyendo la información del registro del servicio "rpcss".

Resolver dudas

Debido a que el proceso svchost inicia diversos servicios, virus y troyanos también hacen todo lo posible por utilizarlo, intentando utilizar sus características para confundir a los usuarios y lograr infección, invasión, propósito de destrucción (como la variante del virus de onda de choque "w32.welchia.worm"). Sin embargo, es normal que existan múltiples procesos svchost en los sistemas Windows. ¿Cuál es el proceso del virus en la máquina infectada? He aquí sólo un ejemplo para ilustrar.

Supongamos que el sistema Windows XP está infectado por "w32.welchia.worm". El archivo svchost normal existe en el directorio "c:\windows\system32". Si encuentra que este archivo aparece en otros directorios, tenga cuidado. El virus "w32.welchia.worm" existe en el directorio "c:\windows\system32wins", por lo que es fácil saber si el sistema está infectado por el virus utilizando el administrador de procesos para ver la ruta del archivo de ejecución del proceso svchost. El administrador de tareas que viene con el sistema Windows no puede ver la ruta del proceso. Puede utilizar software de administración de procesos de terceros, como el administrador de procesos "Windows Optimization Master". A través de estas herramientas, puede ver fácilmente los archivos de ejecución. Todos los procesos svchost Ruta, una vez que se descubre que la ruta de ejecución es una ubicación inusual, debe detectarse y procesarse de inmediato.

++++++++++++++++++++++++++++++++++++++++++ + ++++++++++++

=============================== =============================

++++++++++++++++ + +++++++++++++++++++++++++++++++++++++++++

Svchost . instrucciones exe para resolver la confusión sobre Svchost

---------------

El archivo Svchost.exe es útil para quienes ejecutan desde bibliotecas de vínculos dinámicos Para servicios, es un nombre de proceso de host normal. El archivo Svhost.exe se encuentra en la carpeta %systemroot%\system32 del sistema. Al inicio, Svchost.exe busca ubicaciones en el registro para crear una lista de servicios que deben cargarse. Esto hará que se ejecuten varios Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe contiene un conjunto de servicios, por lo que los servicios individuales deben depender de cómo y dónde se inicia Svchost.exe. Esto hace que sea más fácil controlar y encontrar errores.

El grupo Svchost.exe se identifica mediante el siguiente valor de registro.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

Cada valor bajo esta clave representa un grupo Svchost independiente y, cuando visualiza procesos activos, se muestra como un ejemplo aparte. Cada clave es un valor de tipo REG_MULTI_SZ y contiene servicios que se ejecutan dentro del grupo Svchost. Cada grupo Svchost contiene uno o más nombres de servicios seleccionados del valor del registro. El valor del parámetro de este servicio contiene un valor ServiceDLL.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

Más información

. /p>

Para ver los servicios ejecutándose en la lista Svchost.

Iniciar - ejecutar - escribir cmd

Luego escribir tlist -s (tlist debe ser algo en la caja de herramientas de win2k)

Tlist muestra una lista de procesos activos.

Switch -s muestra una lista de servicios activos en cada proceso. Si desea conocer más información sobre el proceso, puede escribir tlist pid.

Tlist muestra dos ejemplos de ejecución de Svchost.exe.

0 Proceso del sistema

8 Sistema

132 smss.exe

160 csrss.exe Título:

180 winlogon.exe Título: Agente NetDDE

208services.exe

Servicios: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst

ation ,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi

220 servicios lsass.exe: Netlogon,PolicyAgent,SamSs

404 servicios svchost.exe: RpcSs

p>

p>

452 spoolsv.exe Servicios: Spooler

544 cisvc.exe Servicios: cisvc

556 svchost.exe Servicios: EventSystem,Netman,NtmsSvc, RasMan,SENS,TapiSrv

580 Servicios regsvc.exe: Registro remoto

596 Servicios mstask.exe: Programación

660 Servicios snmp.exe: SNMP

728 winmgmt.exe Svcs: WinMgmt

852 cidaemon.exe Título: OleMainThreadWndName

812 explorer.exe Título: Administrador de programas

1032 OSA. Título EXE: Recordatorio

1300 cmd.exe Título: D:\WINNT5\System32\cmd.exe - tlist -s

1080 MAPISP32.EXE Título: WMS inactivo

1264 rundll32 .exe Título:

1000 mmc.exe Título: Administrador de dispositivos

1144 tlist.exe

En este ejemplo, el registro establece dos grupos .

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:

netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa

sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc

rpcss :Reg_Multi_SZ: RpcSs

smss.exe

csrss.exe

Esto es parte del subsistema Win32 en modo de usuario .

csrss representa el subsistema operativo cliente/servidor y es un subsistema básico que debe estar ejecutándose en todo momento. csrss es responsable de controlar Windows, crear o eliminar subprocesos y algunos entornos virtuales de MS-DOS de 16 bits.

Los siguientes son los servicios del programa SVCHOST de llamada al sistema

(La primera línea es "nombre del servicio", la segunda línea es "descripción del servicio", la tercera línea es "llamada program")

Administración de aplicaciones

El componente de administración de aplicaciones es responsable de la instalación del formato de archivo msi, pero no es gran cosa si este servicio está realmente deshabilitado.

svchost.exe

Actualizaciones automáticas

Servicio de actualización automática de Windows.

svchost.exe

Servicio de transferencia inteligente en segundo plano

Implementar firewall de conexión/conexión compartida a Internet

firewall XP/para múltiples computadoras Redes * ** Comparta una red de acceso telefónico para acceder a servicios de Internet.

svchost.exe

Administrador de discos lógicos

Servicio de administración de discos. El sistema le notificará que lo encienda cuando sea necesario.

svchost.exe

Conocimiento de ubicación de red (NLA)

Esto puede ser necesario si hay red compartida o ICS/ICF (lado del servidor).

svchost.exe

Número de serie del medio portátil

Windows Media Player y Microsoft protegen los derechos de autor de los medios digitales.

svchost.exe p>

Administrador de conexión automática de acceso remoto

¡Los usuarios de banda ancha/usuarios de red disfrutan de los servicios que necesitan!

svchost.exe

Llamada a procedimiento remoto (RPC)

¡Servicio principal del sistema! Si este servicio está deshabilitado en Windows 2000, el sistema no se iniciará.

svchost.exe

Servicio de Registro Remoto

Operación/modificación del registro remoto.

svchost.exe

Notas

svchost.exe

Los nombres de procesos que a menudo se hacen pasar por virus incluyen: svch0st.exe, schvost .exe , scvhost.exe. A medida que los servicios del sistema de Windows continúan aumentando, para ahorrar recursos del sistema, Microsoft ha convertido muchos servicios en modo compartido y los ha entregado al proceso svchost.exe para que se inicien. Los servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (DLL). Apuntan el programa ejecutable a scvhost y cvhost llama a la biblioteca de enlaces dinámicos del servicio correspondiente para iniciar el servicio. Podemos abrir "Panel de control" → "Herramientas administrativas" → Servicios, hacer doble clic en el servicio "ClipBook", y en su panel de propiedades podemos encontrar que la ruta del archivo ejecutable correspondiente es "C:\WINDOWS\system32\clipsrv.exe ". Haga doble clic en el servicio "Alerta" nuevamente y podrá encontrar que la ruta del archivo ejecutable es "C:\WINDOWS\system32\svchost.exe -k LocalService", y la ruta del archivo ejecutable del servicio "Servidor" es "C :\WINDOWS\system32\ svchost.exe -k netsvcs". Es a través de este tipo de llamada que se pueden ahorrar muchos recursos del sistema, por lo que la presencia de múltiples svchost.exe en el sistema es en realidad solo un servicio del sistema.

Generalmente hay dos procesos svchost.exe en los sistemas Windows 2000, uno es el proceso de servicio RPCSS (RemoteProcedureCall) y el otro es un svchost.exe compartido por muchos servicios en Windows XP. Generalmente hay más de 4 svchost.exe; proceso de servicio. Si el número de procesos svchost.exe es superior a 6, tenga cuidado. Es probable que se trate de un virus falso. El método de detección también es muy sencillo. Utilice algunas herramientas de gestión de procesos, como la función de gestión de procesos de Windows Optimization Master. y verifique el proceso de svchost.exe. Si la ruta del archivo ejecutable está fuera del directorio "C:\WINDOWS\system32", se puede determinar que es un virus.