¿Cuál es el proceso de svchost.exe?
Svchost.exe es un programa de sistema perteneciente al sistema operativo Microsoft Windows. La explicación oficial de Microsoft es que Svchost.exe es el nombre de proceso de host común de un servicio que se ejecuta desde una biblioteca de vínculos dinámicos (DLL). Este programa es muy importante para el funcionamiento normal del sistema y no se puede finalizar.
Atributos del proceso
Archivo de proceso: svchostor svchost.exe
Nombre del proceso: proceso de host del servicio universal del servicio win32.
Categoría de proceso: Proceso del sistema
Ubicación: C:\Windows\System32\svchost. (Tenga cuidado si su proceso svchost.exe no está en este directorio).
svchost.exe es un proceso del sistema que se cree que forma parte del sistema operativo Microsoft Windows y maneja procesos ejecutados desde DLLS. Este programa es muy importante para el funcionamiento estable y seguro de su computadora y no debe finalizarse. Nota: svchost.
(Nota: svchost.exe también puede ser el virus W32.Welchia.Worm, que aprovecha la vulnerabilidad de Windows LSASS para crear un desbordamiento del búfer, lo que provoca que su computadora se apague. Para obtener más información, consulte :/TechNet/security/bulletin /ms04-011. mspx, el nivel de seguridad de este proceso recomienda su eliminación inmediata)
Productor: Microsoft Corporation
Pertenece a: Sistema operativo Microsoft Windows.
Proceso del sistema: Sí
Programa en segundo plano: Sí
Relacionado con la red: Sí
Errores comunes: Ninguno
Uso de memoria: Ninguno
Nivel de seguridad (0-5): 0
Spyware: Ninguno.
Adware: Ninguno.
Virus: Ninguno.
Troy Hawes: No
[Editar este párrafo]
Características relacionadas
En la familia de sistemas operativos Windows basados en el kernel NT , hay diferentes números de procesos "svchost" en diferentes versiones de sistemas Windows. Los usuarios pueden verificar el recuento de sus procesos utilizando el Administrador de tareas. En términos generales, win2000 tiene dos procesos svchost, winxp tiene más de cuatro procesos svchost (no juzgue inmediatamente que el sistema tiene un virus cuando vea varios procesos de este tipo en el sistema) y win2003server tiene más. Estos procesos svchost proporcionan muchos servicios del sistema, como: servicio rpcss (llamada a procedimiento remoto), servicio dmserver (logicdiskmanager), servicio dhcp (dhcpclient), etc. Hay hasta 12 procesos svchost en el sistema Windows Vista. Estos svchost.exe están todos en la misma ruta de archivo C:\Windows\System32\svchost.exe. Son imgsvc, NetworkServicenetworkrestricted, LocalServiceNoNetwork, networkservice, LocalService, netsvcs. LocalSystemNetworkRestricted, LocalServiceNetworkRestricted, servicios, rpcss, WerSvcGroup, grupo de servicios DcomLaunch. Si desea saber cuántos servicios del sistema proporciona cada proceso svchost, puede ingresar el comando "tlist-s" en la ventana del símbolo del sistema de win2000, proporcionado por win2000supporttools. En winxp, utilice el comando "tasklist/svc".
Svchost puede contener múltiples servicios.
En profundidad: los procesos del sistema Windows se dividen en procesos independientes y * * * procesos compartidos.
El archivo "svchost.exe" existe en el directorio "%systemroot%system32" y pertenece a un * * * proceso compartido. A medida que la cantidad de servicios del sistema Windows continúa aumentando, para ahorrar recursos del sistema, Microsoft ha permitido que muchos servicios se inicien mediante el proceso svchost.exe. Sin embargo, como host de servicios, el proceso svchost no puede implementar ninguna función de servicio, es decir, solo puede proporcionar condiciones para que otros servicios comiencen aquí, pero no puede proporcionar ningún servicio a los usuarios. Entonces, ¿cómo se implementan estos servicios?
Resulta que estos servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (dll). Apuntan el programa ejecutable a svchost, y svchost llama al dll del servicio correspondiente para iniciar el servicio. Entonces, ¿cómo sabe svchost a qué biblioteca de vínculos dinámicos debe llamar un servicio del sistema? Esto se logra mediante parámetros establecidos en el registro por el servicio del sistema. Tomemos el servicio rpcss (remoteprocumerecall) como ejemplo para ilustrar.
Como se puede ver en los parámetros de inicio, el servicio se inicia mediante svchost.
Ejemplo
Tome Windows XP como ejemplo, haga clic en Inicio/Ejecutar, ingrese el comando "services.msc", aparecerá el cuadro de diálogo de servicio y luego abra el "Procedimiento remoto". cuadro de diálogo de propiedades. Puede ver que la ruta del archivo ejecutable del servicio rpcss es "C:\Windows\System32\svchost-krpcss", lo que indica que svchost llama al servicio rpcss.
Ingrese "regedit.exe" en el cuadro de diálogo de ejecución, presione Entrar, abra el editor de registro, busque el elemento [HKEY_Local_Machine\System\Current Control Set\Service\rpcss] y busque el tipo El registro clave "Imagepath" para "reg_expand_sz". Su valor clave es "% systemroot % system32 SVC host-krpcss" (este es el comando de inicio del servicio que ve en la ventana de servicio), y en la subclave "parámetros" hay una clave llamada "servicedll" con el valor "%systemroot %system32rpcss.dll", donde "rpcss.dll" es el archivo de biblioteca de vínculos dinámicos que utilizará el servicio rpcss. De esta manera, el proceso svchost puede iniciar el servicio leyendo la información del registro del servicio "rpcss".
[Editar este párrafo]
Acertijos relacionados con virus
Dado que el proceso svchost inicia varios servicios, los virus y troyanos hacen todo lo posible para aprovecharlo. intentar utilizar sus características confunde a los usuarios y logra el propósito de infección, invasión y destrucción (como la variante del virus de onda de choque "w32.welchia.worm"). Sin embargo, es normal que existan múltiples procesos svchost en los sistemas Windows. ¿Cuál es el proceso del virus en la máquina infectada? He aquí sólo un ejemplo para ilustrar.
Supongamos que el sistema Windows XP está infectado por "w32.welchia.worm". El archivo svchost normal existe en el directorio "c:\windows\system32", así que tenga cuidado si encuentra el archivo en otros directorios. El virus "w32.welchia.worm" existe en el directorio "c:\windows\system32wins". Utilice el administrador de procesos para ver la ruta del archivo ejecutable del proceso svchost. Es fácil encontrar si el sistema está infectado con el virus. . El administrador de tareas que viene con el sistema Windows no puede ver la ruta del proceso. Puede utilizar software de gestión de procesos de terceros, como el administrador de procesos "Windows Optimizer". A través de estas herramientas, puede ver fácilmente las rutas de los archivos de ejecución de todos los procesos svchost. Una vez que se descubre que las rutas de ejecución se encuentran en ubicaciones inusuales, deben detectarse y manejarse de inmediato.
Svchost.exe explicado para resolver confusión respecto a dudas sobre Svchost.
-
El archivo Svchost.exe es el nombre de proceso de host común de un servicio que se ejecuta desde una biblioteca de vínculos dinámicos.
El archivo Svchost.exe se encuentra en la carpeta %systemroot%\system32 del sistema. Al iniciar, Svchost.exe comprueba la ubicación en el registro (HKEY_Local_Machine\Software\Microsoft\Windows NT\Current Version\svchost) para crear una lista de servicios para cargar. Esto permitirá que se ejecuten varios Svchost.exe simultáneamente. Cada respuesta de Svchost.exe contiene un conjunto de servicios, por lo que los servicios individuales deben depender de cómo y dónde se inicia Svchost.exe. Esto facilita el control y la detección de errores.
El grupo Svchost.exe se identifica mediante el siguiente valor de registro.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\current version\Svchost
Cada valor bajo esta clave representa un grupo Svchost independiente cuando ve los procesos activos, se muestra como un ejemplo separado . Cada clave es un valor de tipo REG_MULTI_SZ e incluye servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost contiene uno o más nombres de servicios seleccionados de los valores del registro cuyos valores de parámetros contienen un valor ServiceDLL.
HKEY _ LOCAL _ MACHINE \ System \ current control set \ Services
En pocas palabras, sin este servicio RPC, la máquina difícilmente puede conectarse. Muchos servicios de aplicaciones dependen de esta interfaz RPC. Si se descubre que este proceso consume demasiados recursos de la CPU, deshabilitar directamente el servicio RPC del sistema será un desastre, porque ni siquiera se puede utilizar la interfaz de configuración del servicio del sistema para restaurar esta interfaz. El método de recuperación requiere usar el editor de registro para encontrar HKEY_Local_Machine>;>System>>Current Control Set>>Services>>RpcSs, buscar el atributo Inicio a la derecha, cambiar su valor a 2 y reiniciar.
La razón por la cual svchost representa el 100% de la CPU del sistema no es el servicio svchost en sí: la situación anterior se debe a la falla del servicio Windows Update al descargar/instalar, lo que resulta en reintentos repetidos del servicio de actualización. La actualización automática de Windows también es una aplicación en segundo plano que depende del servicio svchost, que muestra la gran carga en svchost.exe. Las máquinas que suelen tener este problema suelen ser máquinas con condiciones de acceso a Internet inestables (especialmente cuando se accede a sitios web extranjeros). Por ejemplo, las máquinas de los padres en casa suelen aparecer de forma irregular después de estar instaladas durante unos meses. Dos semanas son períodos de alta incidencia: porque. En los últimos años, MS ha lanzado parches periódicamente en la segunda semana de cada mes). La solución anterior no garantiza la no repetición, pero sigue siendo una pérdida de tiempo reinstalar el sistema operativo cada pocos meses para el archivo svchost.
Nota:
svchost.exe
Los nombres de procesos que los virus suelen imitar son: svch0st.exe, schvost.exe y scvhost.exe. A medida que la cantidad de servicios del sistema Windows continúa aumentando, para ahorrar recursos del sistema, Microsoft ha permitido que muchos servicios se inicien mediante el proceso svchost.exe. Los servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (dll). Apuntan el programa ejecutable a svchost, y svchost llama al dll del servicio correspondiente para iniciar el servicio. Podemos abrir Panel de control → Herramientas administrativas → Servicios y hacer doble clic en el Servicio de portapapeles. En su panel de propiedades podemos encontrar que la ruta del archivo ejecutable correspondiente es "C:\Windows\System32\ClipSRV.Exe".
Haga doble clic en el servicio "Alerta" y podrá encontrar que la ruta del archivo ejecutable es "C:\Windows\System32\svchost.exe-k servicio local", mientras que la ruta del archivo ejecutable del servicio "Servidor" es "C: \Windows\System32\svchost.exe -k netsvcs". Es a través de esta llamada que se puede ahorrar una gran cantidad de recursos del sistema, por lo que la aparición de múltiples svchost.exe en el sistema es en realidad solo un servicio del sistema. Generalmente hay dos procesos svchost.exe en los sistemas Windows 2000, uno es el proceso de servicio RPCSS (remoteprocurecallrecall) y el otro es svchost.exe que utilizan muchos servicios. En Windows XP, normalmente hay más de cuatro procesos de servicio svchost.exe. Si el número de procesos svchost.exe supera los 6, tenga cuidado. Puede ser un virus falso. El método de detección es muy sencillo. Utilice alguna herramienta de gestión de procesos, como la función de gestión de procesos del Optimizador de Windows, para comprobar la ruta del archivo ejecutable en svchost.exe. Si está fuera del directorio "C:\WINDOWS\system32", se puede determinar que es un virus.
Método de eliminación del virus Svchost.exe
1. Utilice el desbloqueo para eliminar carpetas similares a C:SysDayN6:, como C:Syswm1i, C:SysAd5D, etc. Estas carpetas tienen la misma característica, es decir, todos sus nombres son Sys*** (*** (* * es una letra aleatoria de tres a cinco dígitos), así que elimine varias de esas carpetas.
2 Inicio-Ejecutar-ingrese "regedit"-abra el registro y expándalo a la siguiente ubicación:
HKEY_Current User\Software\Microsoft\Windows\Current\Version\Policy\ Explorer\Run
.Elimine todas las claves que tengan un número puro a la derecha, como
<66><c:sysdayn 6 svchost .exe>
& lt333 & gt& ltc:sys WM 1 ISV chost .exe & gt;
& lt50 >; gt& ltc:sys wsj 7 svchost .
3. /p>
[Editar este párrafo]
Guía de funcionamiento
Para ver los servicios que se ejecutan en la lista Svchost
Comando Start-Run-Type
Luego ingrese tlist -s (tlist debe estar en la caja de herramientas de win2k. algo
Tlist muestra una lista de procesos activos. El modificador -s muestra una lista de servicios activos en. cada proceso. Si desea saber más sobre el proceso, puede hacer clic en la lista pid. /p>
La lista muestra dos ejemplos de operaciones de Svchost.exe.
0 proceso del sistema
8 sistema
132 smss.exe
160 csrss.exe título:
título de winlogon.exe: agente NetDDE
208services.exe
Servicios: administración de aplicaciones, navegador, Dhcp, dmserver, Dnscache, registro de eventos, lanmanserver, LanmanWorkst
ation, LmHosts, Messenger, PlugPlay, ProtectedStorage, seclogon, TrkWks, W32Time, Wmi
220 lsass.exe Svcs:Netlogon, PolicyAgent, SamSs
404 svchost.exe Svcs: rpcs
452 spoolsv.exe Servicios:spooler
544 cisvc.exe Servicios:cisvc
556 svchost.exe Servicios:sistema de eventos, Netman, NtmsSvc, RasMan, SENS , TapiSrv
580 Servicios regsvc.exe: Registro remoto
596 Servicios mstask.exe: Programación
660 Servicios snmp.exe: SNMP
728 winmgmt.exe Svcs:WinMgmt
852 cidaemon.exe Título: OleMainThreadWndName
812 explorer.exe Puesto: Gerente de proyecto
1032 Título OSA.EXE : Recordatorio
1300 título cmd.exe: D:\win nt 5\System32\cmd exe-tlist-s
1080 Título MAPISP32.EXE: WMS inactivo
.1264 título rundll32.exe:
1000 título mmc.exe: Administrador de dispositivos
1144 tlist.exe
En En este ejemplo, el registro tiene dos grupos.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\versión actual\Svchost:
net SVCs:Reg_Multi_SZ:sistema de eventos Ias Iprip Irmon Netman Nwsapagent RasautoRa
acceso remoto sman SENS acceso compartido Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
Esto es parte del subsistema Win32 en modo de usuario. Csrss representa el subsistema operativo cliente/servidor y es un subsistema básico que debe estar ejecutándose en todo momento. Csrss es responsable de controlar ventanas, crear o eliminar subprocesos y algunos entornos virtuales de MS-DOS de 16 bits.
[Editar este párrafo]
Llamar al servicio del programa
(El primer comportamiento es "nombre del servicio", el segundo comportamiento es "descripción del servicio", el tercero El comportamiento es "Invocar el programa")
Administración de aplicaciones
El componente de administración de aplicaciones es responsable de instalar el formato de archivo msi, pero esto no importa si el servicio está realmente deshabilitado.
svchost.exe
Actualización automática
Servicio de actualización automática de Windows.
svchost.exe
Servicio de transferencia inteligente en segundo plano
Implementar firewall de conexión/conexión compartida a Internet.
El cortafuegos de XP proporciona servicios para que varias computadoras se conecten a Internet y disfruten del acceso telefónico a Internet.
svchost.exe
Administrador de discos lógicos
Servicio de administración de discos. El sistema te avisará para abrirlo si es necesario.
svchost.exe
Conocimiento de ubicación de red (NLA)
Puede ser necesario si hay acceso a la red o ICS/ICF. (lado del servidor).
svchost.exe
Número de serie de medios portátiles
Windows Media Player y Microsoft protegen los derechos de autor de los medios digitales.
svchost.exe
Administrador de conexión automática de acceso remoto
Usuarios/redes de banda ancha * * * ¡disfruta de los servicios que necesitan!
svchost.exe
Llamada a procedimiento remoto
¡Servicio central del sistema! Si este servicio está deshabilitado en Windows 2000, el sistema no se iniciará.
svchost.exe
Servicio de registro remoto
Operación/modificación del registro remoto.
svchost.exe
[Editar este párrafo]
Métodos para reducir el número de procesos
Puedes copiar el siguiente código a un Bloc de notas vacío, luego guárdelo como un archivo por lotes en formato ".bat" y luego ejecute este lote. Puede desactivar los servicios inútiles del sistema y encontrará que SVCHOST.EXE es mucho menos potente.
@turn off echo
REM desactiva "Proporciona compatibilidad con complementos de protocolos de terceros para conexiones a Internet y Firewall de Windows".
algoritmo de configuración sc start=disable
REM desactiva la "función de actualización automática de Windows"
configuración sc wuauserv start=disable
REM El visor de portapapeles está cerrado.
sc configure clip srv start=disable
rem off "messenger"
sc configure messenger start=disable
rem off" Acceso esta computadora de forma remota a través de NetMeeting"
configuración sc mnmsrvc start=disable
REM desactiva la cola de impresión.
sc configure spooler startup=disable
REM desactiva la modificación remota del registro.
sc configuración RemoteRegistry start=disable
REM desactiva los ajustes y la configuración de seguridad del sistema de monitoreo.
sc configure wscsvc startup=disable
REM cierra la restauración del sistema.
sc configure service start=disable
REM cierre "Tareas programadas"
sc configure programado inicio=disable
REM cierre "TCP /IP NetBIOS Assistant”
sc configure lmhosts start=disable
REM cierra el servicio Telnet.
sc configuración tlntsvr start=disable
REM cierra el servicio de firewall.
sc configure el acceso compartido enable=disable
Rem cerró el "Navegador de la computadora"
sc configure el acceso compartido enable=disable
REM desactiva las "falsas alarmas"
sc configure alarm start=disable
REM desactiva los "informes de errores"
sc configure ERSvc start=disable
REM desactiva la indexación de contenido y atributos de archivos en computadoras locales y remotas.
sc configure cisvc startup=disable
REM desactiva "Administrar instantáneas de software obtenidas por el Servicio de instantáneas de volumen"
sc configure SwPrv startup=disable
p>
REM desactivado "Admite eventos de validación de inicio de sesión de cuenta de paso para computadoras en la red"
sc configure NetLogon start=disable
REM desactivado "Para usar protocolos de transporte en lugar de canalizaciones con nombre" El programa de llamada a procedimiento remoto (RPC) proporciona seguridad"
sc configure NtLmSsp start=disable
REM off" Recopila datos de rendimiento de sistemas locales o Computadoras remotas basadas en parámetros de programación preconfigurados. Estos datos luego se escriben en un registro o activan una alerta".
scConfigure SysmonLog start=Disable
REM Desactive "Recuperar cualquier número de serie de reproducción de música a través de una computadora en línea"
scConfigure WmdmPmSN start=Disable
REM apaga el sistema de alimentación ininterrumpida administrada (UPS) conectado a la computadora.
scConfigurar inicio del UPS=desactivar