¿Es svchost.exe un virus?
Debido a que el proceso svchost inicia varios servicios, los virus y troyanos también hacen todo lo posible por usarlo, tratando de utilizar sus características para confundir a los usuarios y lograr el propósito de infección, invasión y destrucción (como la onda de choque variante del virus " w32.welchia.worm"). Sin embargo, es normal que existan múltiples procesos svchost en los sistemas Windows. ¿Cuál es el proceso del virus en la máquina infectada? He aquí sólo un ejemplo para ilustrar. Supongamos que el sistema Windows XP está infectado por "w32.welchia.worm". El archivo svchost normal existe en el directorio "c:\windows\system32". Si encuentra que este archivo aparece en otros directorios, tenga cuidado. El virus "w32.welchia.worm" existe en el directorio "c:\windows\system32\wins", por lo que es fácil saber si el sistema está infectado por el virus utilizando el administrador de procesos para ver la ruta del archivo de ejecución. del proceso svchost. El administrador de tareas que viene con el sistema Windows no puede ver la ruta del proceso. Puede utilizar software de administración de procesos de terceros, como el administrador de procesos "Windows Optimization Master". A través de estas herramientas, puede ver fácilmente los archivos de ejecución. Todos los procesos svchost Ruta, una vez que se descubre que la ruta de ejecución es una ubicación inusual, debe detectarse y procesarse de inmediato. La explicación de Svchost.exe resuelve la confusión sobre Svchost --------------- El archivo Svchost.exe es un nombre de proceso de host común para servicios que se ejecutan desde bibliotecas de vínculos dinámicos. El archivo Svchost.exe se encuentra en la carpeta %systemroot%\system32 del sistema. Al inicio, Svchost.exe comprueba la ubicación en el registro (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost) para crear una lista de servicios que deben cargarse. Esto hará que se ejecuten varios Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe contiene un conjunto de servicios, por lo que los servicios individuales deben depender de cómo y dónde se inicia Svchost.exe. Esto hace que sea más fácil controlar y encontrar errores. El grupo Svchost.exe se identifica mediante el siguiente valor de registro. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost Cada valor bajo esta clave representa un grupo Svchost separado y, cuando visualiza procesos activos, se muestra como una instancia separada. Cada clave es un valor de tipo REG_MULTI_SZ y contiene servicios que se ejecutan dentro del grupo Svchost. Cada grupo Svchost contiene uno o más nombres de servicios seleccionados del valor del registro. El valor del parámetro de este servicio contiene un valor ServiceDLL. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services En pocas palabras, sin este servicio RPC, la máquina difícilmente podría acceder a Internet. Muchos servicios de aplicaciones dependen de esta interfaz RPC. Si se descubre que este proceso consume demasiados recursos de la CPU, será un desastre deshabilitar directamente el servicio RPC del sistema: porque ni siquiera la interfaz de configuración del servicio del sistema de esta interfaz se puede restaurar. usado. El método de recuperación requiere usar el editor de registro, buscar HKEY_LOCAL_MACHINE >> SISTEMA >> CurrentControlSet >> Servicios >> RpcSs, encontrar el atributo Inicio a la derecha, cambiar su valor a 2 y reiniciar para hacer que svchost ocupe el 100% de la CPU del sistema. La causa no es el servicio svchost en sí: la situación anterior se debe a que el servicio Windows Update no se descarga/instala y el servicio de actualización lo reintenta repetidamente.
La actualización automática de Windows también es una aplicación en segundo plano que depende del servicio svchost, lo que resulta en una carga extremadamente alta en svchost.exe. Las máquinas en las que suele ocurrir este tipo de problemas son generalmente máquinas con condiciones de acceso a Internet inestables (especialmente al acceder a sitios web extranjeros). Por ejemplo, la máquina de mis padres en casa a menudo ocurre de manera irregular unos meses después de instalarla, en la segunda semana. de cada mes Es un período de alta incidencia: porque en los últimos años MS ha lanzado parches regularmente en la segunda semana de cada mes). La solución anterior no garantiza que no vuelva a ocurrir, pero aún así es una pérdida de tiempo reinstalar el sistema operativo para el archivo svchost cada pocos meses. Nota: svchost.exe Los nombres de procesos que a menudo se hacen pasar por virus incluyen: svch0st.exe, schvost.exe y scvhost.exe. A medida que los servicios del sistema de Windows continúan aumentando, para ahorrar recursos del sistema, Microsoft ha convertido muchos servicios en modo compartido y los ha entregado al proceso svchost.exe para que se inicien. Los servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (DLL). Apuntan el programa ejecutable a svchost, y svchost llama a la biblioteca de enlaces dinámicos del servicio correspondiente para iniciar el servicio. Podemos abrir "Panel de control" → "Herramientas administrativas" → Servicios, hacer doble clic en el servicio "ClipBook", y en su panel de propiedades podemos encontrar que la ruta del archivo ejecutable correspondiente es "C:\WINDOWS\system32\clipsrv.exe ". Haga doble clic en el servicio "Alerta" nuevamente y podrá encontrar que la ruta del archivo ejecutable es "C:\WINDOWS\system32\svchost.exe -k LocalService", y la ruta del archivo ejecutable del servicio "Servidor" es "C :\WINDOWS\system32\ svchost.exe -k netsvcs". Es a través de este tipo de llamada que se pueden ahorrar muchos recursos del sistema, por lo que la presencia de múltiples svchost.exe en el sistema es en realidad solo un servicio del sistema. Generalmente hay dos procesos svchost.exe en los sistemas Windows 2000, uno es el proceso de servicio RPCSS (RemoteProcedureCall) y el otro es un svchost.exe compartido por muchos servicios en Windows XP. Generalmente hay más de 4 svchost.exe; proceso de servicio. Si el número de procesos svchost.exe es superior a 6, tenga cuidado. Es probable que se trate de un virus falso. El método de detección también es muy sencillo. Utilice algunas herramientas de gestión de procesos, como la función de gestión de procesos de Windows Optimization Master. y verifique el proceso de svchost.exe. Si la ruta del archivo ejecutable está fuera del directorio "C:\WINDOWS\system32", se puede determinar que es un virus.
Métodos de eliminación de virus relevantes
1. Utilice el desbloqueador para eliminar carpetas similares a C:SysDayN6: como C:Syswm1i, C:SysAd5D, etc. Estas carpetas tienen la misma característica, es decir, el nombre es Sys*** (*** son de tres a cinco letras aleatorias ), elimine tantas carpetas como haya. 2. Inicio - Ejecutar - ingrese "regedit" - abra el registro, expanda el registro a la siguiente ubicación: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Elimine todas las claves con nombres numéricos puros a la derecha, como <66>< C :SysDayN6svchost.exe><333>
Inicio - Ejecutar - escriba cmd, luego escriba tlist -s (tlist debe ser algo en la caja de herramientas de win2k) Tlist muestra una lista de procesos activos. Switch -s muestra una lista de servicios activos en cada proceso. Si desea conocer más información sobre el proceso, puede escribir tlist pid. Tlist muestra dos ejemplos de ejecución de Svchost.exe. 0 Proceso del sistema 8. Sistema 132. smss.exe 160. csrss.exe Título: 180. winlogon.exe Título: NetDDE Agent 208services.exe Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi 220. lsass.exe Servicios: Netlogon,PolicyAgent,SamSs 404. svchost.exe Servicios: RpcSs 452. spoolsv.exeSvcs: Spooler 544. cisvc.exeSvcs: cisvc 556. svchost.exe Servicios: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv 580. regsvc.exeSvcs: RegistroRemoto 596. mstask.exeSvcs: Horario 660. snmp.exeSvcs: SNMP 728. winmgmt.exeSvcs: WinMgmt 852. cidaemon.exe Título: OleMainThreadWndName 812. explorer.exe Título: Administrador de programas 1032 OSA.EXE Título: Recordatorio 1300 cmd.exe Título: D:\WINNT5\System32\cmd.exe - tlist -s 1080 MAPISP32.EXE Título: WMS inactivo 1264 rundll32.exe Título: 1000. mmc.exeTítulo: Administrador de dispositivos 1144 tlist.exe En este ejemplo, el registro establece dos grupos. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost: netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc rpcss:Reg_Multi_SZ: RpcSs smss.exe csrss. exe: esto es parte del modo de usuario Subsistema Win32. csrss representa el subsistema operativo cliente/servidor y es un subsistema básico que debe estar ejecutándose en todo momento. csrss es responsable de controlar Windows, crear o eliminar subprocesos y algunos entornos virtuales de MS-DOS de 16 bits. Edite este párrafo para llamar al servicio del programa (la primera línea es "nombre del servicio", la segunda línea es "descripción del servicio", la tercera línea es "programa de llamada") Componente de administración de aplicaciones de administración de aplicaciones, responsable de la instalación del formato de archivo msi , pero en realidad está prohibido. No es gran cosa si utilizas este servicio.
svchost.exe Actualizaciones automáticas Servicio de actualización automática de Windows. svchost.exe El servicio de transferencia inteligente en segundo plano implementa el firewall de conexión/conexión compartida a Internet El firewall de XP/proporciona servicios para que varias computadoras se conecten en red y compartan una red de acceso telefónico para acceder a Internet. svchost.exe Logical Disk Manager Servicio de administración de discos. El sistema le notificará que lo encienda cuando sea necesario. Es posible que se requiera el reconocimiento de ubicación de red (NLA) de svchost.exe si hay red compartida o ICS/ICF (lado del servidor). svchost.exe Número de serie de medios portátiles Windows Media Player y Microsoft protegen los derechos de autor de los medios digitales svchost.exe Acceso remoto Administrador de conexión automática ¡Los usuarios de banda ancha/usuarios de red disfrutan de los servicios que necesitan! svchost.exe ¡Servicio principal del sistema de llamada a procedimiento remoto (RPC)! Si este servicio está deshabilitado en Windows 2000, el sistema no se iniciará. svchost.exe Servicio de registro remoto Operación/modificación del registro remoto. Cómo editar esta sección de svchost.exe para reducir la cantidad de procesos. Puede copiar el siguiente código en un bloc de notas vacío, luego guardarlo como un archivo por lotes en formato ".bat" y luego ejecutar el proceso por lotes. Puede desactivar los servicios inútiles del sistema y encontrará que hay mucho menos SVCHOST.EXE.
@echo off REM Desactivar "Proporcionar compatibilidad con complementos de protocolos de terceros para compartir conexiones a Internet y Firewall de Windows" sc config alg start= deshabilitado REM Desactivar "Actualizaciones automáticas de Windows" sc config wuauserv start= deshabilitado REM Desactivar "Visualización de álbumes de recortes" " sc config clipsrv start= deshabilitado REM Desactivar "Messenger" sc config Messenger start= deshabilitado REM Desactivar "Acceder remotamente a esta computadora a través de NetMeeting" sc config mnmsrvc start= deshabilitado REM Desactivar "Print Spooler" sc config Spooler start= deshabilitado REM Desactivar "Modificar el registro de forma remota" sc config RemoteRegistry start= deshabilitado REM Desactivar "Monitorear la configuración y configuración de seguridad del sistema" sc config wscsvc start= deshabilitado REM Desactivar "Restaurar sistema" sc config srservice start= deshabilitado REM Desactivar "Tareas programadas" " sc config Schedule start= deshabilitado REM Desactivar "TCP/IP NetBIOS Helper" sc config lmhosts start= deshabilitado REM Desactivar "Servicio Telnet" sc config tlntsvr start= deshabilitado REM Desactivar "Servicio de firewall" sc config shareaccess start= deshabilitado REM Desactivar "Navegador de computadora" sc config Browser start= deshabilitado REM Desactivar "alerta de error" sc config Alerter start= deshabilitado REM Desactivar "informes de errores" sc config ERSvc start= deshabilitado REM Desactivar "indexar contenido y atributos de archivos en local y computadoras remotas" sc config cisvc start= deshabilitado REM Desactive "Administrar instantáneas de software tomadas por el Servicio de instantáneas de volumen" sc config SwPrv start= deshabilitado REM Desactive "Admitir eventos de autenticación de inicio de sesión de cuenta de paso a través para computadoras en la red" sc config NetLogon start= deshabilitado REM Desactivar "Compatibilidad con el uso de protocolos de transporte Los programas de llamada a procedimiento remoto (RPC) que no son canalizaciones con nombre proporcionan un mecanismo de seguridad" sc config NtLmSsp start= deshabilitado REM off "Recopilar datos de rendimiento de computadoras locales o remotas basadas en los parámetros de programación preconfigurados y luego escriba estos datos en registros o active alertas" sc config SysmonLog start= deshabilitado REM Desactivar "Recuperar cualquier número de serie de reproducción de música a través de la computadora en línea" sc config WmdmPmSN start= deshabilitado REM Apagar "Administrar energía ininterrumpida suministro (UPS) conectado a la computadora" sc config UPS start= deshabilitado Edite este párrafo para corregir Métodos de reparación general
Los errores de Svchost.exe a menudo son causados por software malicioso en el sistema. Si no lo hace Si conoce el sistema y no sabe dónde está almacenado svchost.exe en la computadora, se recomienda utilizar herramientas de reparación para realizar el último trabajo en el escaneo y reparación completos. En primer lugar, se recomienda utilizar Kingsoft Antivirus.
Luego, haga clic en Análisis rápido en la interfaz principal para realizar un análisis completo del sistema. Finalmente, siga las instrucciones para reiniciar la computadora y se completará la descarga y reparación de svchost.exe.
Descargar y reparar
1. Si su sistema muestra "svchost.exe no encontrado" o "Falta svchost.exe" o mensajes de error similares, descargue svchost.exe a este Máquina
2. Copie el archivo directamente al directorio del sistema:
1. Para el sistema Windows 95/98/Me, cópielo al directorio C:WindowsSystem.
2. Para el sistema Windows NT/2000, cópielo en el directorio C:WINNTSystem32.
3. Para el sistema Windows XP, cópielo en el directorio C:WindowsSystem32.
3. Luego abra "Iniciar-Ejecutar-Ingresar regsvr32 svchost.exe" y presione Entrar para resolver el mensaje de error.
Tratamiento de los fenómenos comunes de intoxicación
1. Es causado por virus y troyanos. Debido a que el proceso svchost inicia varios servicios, los virus y troyanos también hacen todo lo posible para usarlo, tratando de usar sus características para confundir a los usuarios, convirtiendo a svchost en un proceso títere del virus y realizando operaciones de descarga de virus. , descargando así una gran cantidad de troyanos que roban información del usuario. Se recomienda utilizar Kingsoft Guard para detectar y eliminar virus troyanos.
2. La información de registro del componente IE en el registro está dañada. El problema se puede resolver volviendo a registrar la información del componente IE.
3. Si el ordenador tiene impresora, también puede deberse a una instalación incorrecta del controlador de la impresora. Este error se puede solucionar reinstalando el controlador de la impresora 4. Algunos programas entran en conflicto con Svchost.exe. La solución es desinstalar el software o actualizarlo a la última versión. 5. Hoy en día, a la mayoría de los internautas les gusta utilizar sistemas fantasma y versiones descifradas de sistemas. Sin embargo, puede haber incompatibilidades al utilizar estos sistemas, lo que fácilmente puede provocar errores. La mejor solución es instalar y utilizar sistemas operativos originales.
Solución para que este proceso ocupe el 100% de la CPU
1. ¡No hay programas abiertos! Es común que el proceso svchost.exe ocupe hasta el 100% de los recursos de la CPU. Método de verificación: presione (Ctrl+Alt+Supr) para ingresar al Administrador de tareas. Compruebe si los recursos de CPU del proceso svchost.exe ocupan entre el 50% y el 100%. (Ocupa el 100% de los recursos de la CPU o el 50% de la memoria). Solución: Inicio-Panel de control-Impresoras y faxes-MicrosoftXXXXX Impresora virtual de Microsoft (el sistema tiene una impresora de forma predeterminada) -Abra la impresora-Eliminar y cancelar todos los documentos que se están imprimiendo, o haga clic derecho para eliminar el programa de impresora predeterminado del sistema para resolver El problema del uso del 100% de la CPU.