Red de conocimiento informático - Problemas con los teléfonos móviles - virus svhost.exe

virus svhost.exe

Archivo de proceso: svchost o svchost.exe

Nombre del proceso: Proceso de host de servicio genérico para servicios Win32

Categoría de proceso: Proceso del sistema

Ubicación: C:/windows/system32/svchost.exe (si su proceso svchost.exe no está en este directorio, tenga cuidado)

Descripción en inglés: svchost.exe es un proceso del sistema que pertenece a Microsoft Sistema operativo Windows que maneja procesos ejecutados desde archivos DLL. Este programa es importante para el funcionamiento estable y seguro de su computadora y no debe finalizarse. Nota:

Referencia china: svchost exe. que pertenece al sistema operativo Microsoft Windows. La explicación oficial de Microsoft es: Svchost.exe es el nombre del proceso de host universal de un servicio que se ejecuta desde una biblioteca de vínculos dinámicos (DLL). Este programa es muy importante para el funcionamiento normal de su sistema y no puede finalizarse.

(Nota: svchost.exe también puede ser el virus W32.Welchia.Worm, que explota la vulnerabilidad LSASS de Windows para crear un desbordamiento del búfer y hacer que su computadora se apague. Para obtener más detalles, consulte :/technet/security/bulletin/ms04-011.mspx, se recomienda eliminar inmediatamente el nivel de seguridad de este proceso)

Producido por: Microsoft Corp.

Pertenece a: Sistema operativo Microsoft Windows

Proceso del sistema: Sí

Programa en segundo plano: Sí

Relacionado con la red: Sí

Errores comunes: N/A

Uso de memoria: N/A

Nivel de seguridad (0-5): 0

Spyware: No

Adware: No

Virus: No

Troyano: No

Encontrado:

En la familia de sistemas operativos Windows basados ​​en el kernel NT, diferentes versiones de El sistema Windows tiene diferentes números de procesos "svchost", los usuarios pueden usar el "Administrador de tareas" para ver el número de sus procesos. En términos generales, hay dos procesos svchost en win2000 y hay cuatro o más procesos svchost en winxp (si ve varios procesos de este tipo en el sistema en el futuro, no juzgue inmediatamente que el sistema tiene un virus), y allí Hay más en win2003server. Estos procesos svchost proporcionan muchos servicios del sistema, como: servicio rpcss (llamada a procedimiento remoto), servicio dmserver (logicdiskmanager), servicio dhcp (dhcpclient), etc.

Cuando se trata del sistema Windows Vista, hay hasta 12 procesos svchost. Estos svchost.exe están todos en la misma ruta de archivo C:\Windows\System32\svchost.exe. Son imgsvc, NetworkServiceNetworkRestricted, LocalServiceNoNetwork, NetworkService, LocalService. , netsvcs y LocalSystemNetworkRestricted , LocalServiceNetworkRestricted, servicios, rpcss, WerSvcGroup, grupo de servicios DcomLaunch. Si desea saber cuántos servicios del sistema proporciona cada proceso svchost, puede ingresar el comando "tlist-s" en la ventana del símbolo del sistema de win2000 para ver este comando. Este comando lo proporciona win2000supporttools. En winxp, utilice el comando "tasklist/svc".

svchost puede contener múltiples servicios

En profundidad: los procesos del sistema Windows se dividen en procesos independientes y procesos compartidos. El archivo "svchost.exe" existe en "%systemroot" %system32. "directorio, pertenece al proceso *compartido. A medida que la cantidad de servicios del sistema Windows continúa aumentando, para ahorrar recursos del sistema, Microsoft convirtió muchos servicios en modo compartido y los entregó al proceso svchost.exe para que se inicien. Sin embargo, el proceso svchost solo sirve como host de servicios y no puede implementar ninguna función de servicio. Es decir, solo puede proporcionar condiciones para que se inicien otros servicios aquí, pero él mismo no puede proporcionar ningún servicio a los usuarios. Entonces, ¿cómo se implementan estos servicios?

Resulta que estos servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (dll). Apuntan el programa ejecutable a svchost, y svchost llama a la biblioteca de enlaces dinámicos del servicio correspondiente para iniciar el servicio. . Entonces, ¿cómo sabe svchost a qué biblioteca de enlaces dinámicos debe llamar un determinado servicio del sistema? Esto se logra mediante parámetros establecidos en el registro por el servicio del sistema. Tomemos el servicio rpcss (llamada de procedimiento remoto) como ejemplo para explicarlo.

Se puede ver en los parámetros de inicio que el servicio lo inicia svchost.

Ejemplo

Tomando Windows XP como ejemplo, haga clic en "Inicio"/"Ejecutar", ingrese el comando "services.msc", aparecerá el cuadro de diálogo del servicio y luego se abrirá En el cuadro de diálogo de propiedad "remoteprocedurecall", puede ver que la ruta del archivo ejecutable del servicio rpcss es "c:\windows\system32\svchost-krpcss", lo que muestra que el servicio rpcss se implementa confiando en svchost para llamar el parámetro "rpcss" y el contenido del parámetro se almacena en el registro del sistema.

Ingrese "regedit.exe" en el cuadro de diálogo de ejecución y presione Entrar, abra el editor de registro, busque el elemento [hkey_local_machine\system\currentcontrolset\services\rpcss] y busque la clave de tipo "reg_expand_sz " "magepath", su valor clave es "%systemroot%system32svchost-krpcss" (este es el comando de inicio del servicio que se ve en la ventana de servicio), y hay una clave llamada "servicedll" en la subclave "parámetros", cuyo valor es "%systemroot%system32rpcss.dll", donde "rpcss.dll" es el archivo de biblioteca de vínculos dinámicos que utilizará el servicio rpcss. De esta manera, el proceso svchost puede iniciar el servicio leyendo la información del registro del servicio "rpcss".

Resuelve las dudas

Debido a que el proceso svchost inicia diversos servicios, virus y troyanos también hacen todo lo posible por utilizarlo, intentando utilizar sus características para confundir a los usuarios y lograr infección, invasión, El propósito de la destrucción (como la variante del virus de la onda de choque "w32.welchia.worm"). Sin embargo, es normal que existan múltiples procesos svchost en los sistemas Windows. ¿Cuál es el proceso del virus en la máquina infectada? He aquí sólo un ejemplo para ilustrar.

Supongamos que el sistema Windows XP está infectado por "w32.welchia.worm". El archivo svchost normal existe en el directorio "c:\windows\system32". Si encuentra que este archivo aparece en otros directorios, tenga cuidado. El virus "w32.welchia.worm" existe en el directorio "c:\windows\system32wins", por lo que es fácil saber si el sistema está infectado por el virus utilizando el administrador de procesos para ver la ruta del archivo de ejecución del proceso svchost. El administrador de tareas que viene con el sistema Windows no puede ver la ruta del proceso. Puede utilizar software de administración de procesos de terceros, como el administrador de procesos "Windows Optimization Master". A través de estas herramientas, puede ver fácilmente los archivos de ejecución. Todos los procesos svchost Ruta, una vez que se descubre que la ruta de ejecución es una ubicación inusual, debe detectarse y procesarse de inmediato.

Explicación de Svchost.exe para resolver la confusión sobre Svchost

---------------

Archivo Svchost.exe para servicios que se ejecutan desde bibliotecas de vínculos dinámicos, este es un nombre de proceso de host normal. El archivo Svhost.exe se encuentra en la carpeta %systemroot%\system32 del sistema. Al inicio, Svchost.exe comprueba la ubicación en el registro (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost) para crear una lista de servicios que deben cargarse. Esto hará que se ejecuten varios Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe contiene un conjunto de servicios, por lo que los servicios individuales deben depender de cómo y dónde se inicia Svchost.exe. Esto hace que sea más fácil controlar y encontrar errores.

El grupo Svchost.exe se identifica mediante el siguiente valor de registro.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

Cada valor bajo esta clave representa un grupo Svchost separado y, cuando visualiza procesos activos, se muestra como un ejemplo aparte. Cada clave es un valor de tipo REG_MULTI_SZ y contiene servicios que se ejecutan dentro del grupo Svchost. Cada grupo Svchost contiene uno o más nombres de servicios seleccionados del valor del registro. El valor del parámetro de este servicio contiene un valor ServiceDLL.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

En pocas palabras, sin este servicio RPC, la máquina difícilmente podría acceder a Internet. Muchos servicios de aplicaciones dependen de esta interfaz RPC. Si se descubre que este proceso consume demasiados recursos de la CPU, será un desastre deshabilitar directamente el servicio RPC del sistema: porque ni siquiera la interfaz de configuración del servicio del sistema de esta interfaz se puede restaurar. usado.

El método de recuperación requiere usar el editor de registro, buscar HKEY_LOCAL_MACHINE >> SISTEMA >> CurrentControlSet >> Servicios >> RpcSs, encontrar el atributo Inicio a la derecha, cambiar su valor a 2 y reiniciar

Causa El motivo svchost representa el 100% de la CPU del sistema, no es el servicio svchost en sí: la situación anterior se debe a que el servicio Windows Update no se descarga/instala y el servicio de actualización lo reintenta repetidamente. La actualización automática de Windows también es una aplicación en segundo plano que depende del servicio svchost, lo que resulta en una carga extremadamente alta en svchost.exe. Las máquinas en las que suele ocurrir este tipo de problemas son generalmente máquinas con condiciones de acceso a Internet inestables (especialmente al acceder a sitios web extranjeros). Por ejemplo, la máquina de mis padres en casa a menudo ocurre de manera irregular unos meses después de instalarla, en la segunda semana. de cada mes Es un período de alta incidencia: porque en los últimos años MS ha lanzado parches regularmente en la segunda semana de cada mes). La solución anterior no garantiza que no vuelva a ocurrir, pero aún así es una pérdida de tiempo reinstalar el sistema operativo para el archivo svchost cada pocos meses.

Más información

Para poder ver los servicios ejecutándose en la lista de Svchost.

Inicie - ejecute - escriba cmd

Luego escriba tlist -s (tlist debe ser algo en la caja de herramientas de win2k)

Tlist muestra una lista de procesos activos. Switch -s muestra una lista de servicios activos en cada proceso. Si desea conocer más información sobre el proceso, puede escribir tlist pid.

Tlist muestra dos ejemplos de ejecución de Svchost.exe.

0 Proceso del sistema

8 Sistema

132 smss.exe

160 csrss.exe Título:

180 winlogon.exe Título: Agente NetDDE

208services.exe

Servicios: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst

ation ,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi

220 lsass.exe Servicios: Netlogon,PolicyAgent,SamSs

404 svchost.exe Servicios: RpcSs p>

452 spoolsv.exe Servicios: Spooler

544 cisvc.exe Servicios: cisvc

556 svchost.exe Servicios: EventSystem,Netman,NtmsSvc,RasMan,SENS ,TapiSrv

580 Servicios regsvc.exe: Registro remoto

596 Servicios mstask.exe: Programación

660 Servicios snmp.exe: SNMP

728 winmgmt.exe Svcs: WinMgmt

852 cidaemon.exe Título: OleMainThreadWndName

812 explorer.exe Título: Administrador de programas

1032 OSA.EXE Título: Recordatorio

1300 cmd.exe Título: D:\WINNT5\System32\cmd.exe - tlist -s

1080 MAPISP32.EXE Título: WMS inactivo

1264 rundll32 .exe Título:

1000 mmc.exe Título: Administrador de dispositivos

1144 tlist.exe

En este ejemplo, el registro establece dos grupos.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:

netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa

sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc

rpcss :Reg_Multi_SZ: RpcSs

smss.exe

csrss.exe

Esto es parte del subsistema Win32 en modo de usuario . csrss representa el subsistema operativo cliente/servidor y es un subsistema básico que debe estar ejecutándose en todo momento.

csrss es responsable de controlar Windows, crear o eliminar subprocesos y algunos entornos virtuales de MS-DOS de 16 bits.

[Editar este párrafo] Los siguientes son los servicios del programa SVCHOST de llamada al sistema

(La primera línea es "nombre del servicio", la segunda línea es "descripción del servicio", la la tercera línea es "llamar" Programa")

Administración de aplicaciones

El componente de administración de aplicaciones es responsable de la instalación del formato de archivo msi, pero no es gran cosa si este servicio está realmente discapacitado.

svchost.exe

Actualizaciones automáticas

Servicio de actualizaciones automáticas de Windows.

svchost.exe

Servicio de transferencia inteligente en segundo plano

Implementar firewall de conexión/conexión compartida a Internet

firewall XP/para múltiples computadoras Redes * ** Comparta una red de acceso telefónico para acceder a servicios de Internet.

svchost.exe

Administrador de discos lógicos

Servicio de administración de discos. El sistema le notificará que lo encienda cuando sea necesario.

svchost.exe

Reconocimiento de ubicación de red (NLA)

Esto puede ser necesario si hay red compartida o ICS/ICF (lado del servidor).

svchost.exe

Número de serie del medio portátil

Windows Media Player y Microsoft protegen los derechos de autor de los medios digitales.

svchost.exe p>

Administrador de conexión automática de acceso remoto

¡Los usuarios de banda ancha/usuarios de red disfrutan de los servicios que necesitan!

svchost.exe

Llamada a procedimiento remoto (RPC)

¡Servicio principal del sistema! Si este servicio está deshabilitado en Windows 2000, el sistema no se iniciará.

svchost.exe

Servicio de Registro Remoto

Operación/modificación del registro remoto.

svchost.exe

[Editar este párrafo] Notas

svchost.exe

Los nombres de procesos que a menudo se hacen pasar por virus incluyen: svch0st. exe, schvost.exe, scvhost.exe. A medida que los servicios del sistema de Windows continúan aumentando, para ahorrar recursos del sistema, Microsoft ha convertido muchos servicios en modo compartido y los ha entregado al proceso svchost.exe para que se inicien. Los servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (DLL). Apuntan el programa ejecutable a scvhost y cvhost llama a la biblioteca de enlaces dinámicos del servicio correspondiente para iniciar el servicio. Podemos abrir "Panel de control" → "Herramientas administrativas" → Servicios, hacer doble clic en el servicio "ClipBook", y en su panel de propiedades podemos encontrar que la ruta del archivo ejecutable correspondiente es "C:\WINDOWS\system32\clipsrv.exe ". Haga doble clic en el servicio "Alerta" nuevamente y podrá encontrar que la ruta del archivo ejecutable es "C:\WINDOWS\system32\svchost.exe -k LocalService", y la ruta del archivo ejecutable del servicio "Servidor" es "C :\WINDOWS\system32\ svchost.exe -k netsvcs".

Es a través de este tipo de llamada que se pueden ahorrar muchos recursos del sistema, por lo que la presencia de múltiples svchost.exe en el sistema es en realidad solo un servicio del sistema. Generalmente hay dos procesos svchost.exe en los sistemas Windows 2000, uno es el proceso de servicio RPCSS (RemoteProcedureCall) y el otro es un svchost.exe compartido por muchos servicios en Windows XP. Generalmente hay más de 4 svchost.exe; proceso de servicio. Si el número de procesos svchost.exe es superior a 6, tenga cuidado. Es probable que se trate de un virus falso. El método de detección también es muy sencillo. Utilice algunas herramientas de gestión de procesos, como la función de gestión de procesos de Windows Optimization Master. y verifique el proceso de svchost.exe. Si la ruta del archivo ejecutable está fuera del directorio "C:\WINDOWS\system32", se puede determinar que es un virus.