¿Qué es exactamente svchost? ¿Por qué siempre se encuentra que ocupa alrededor del 50% de la CPU y la tasa de ocupación inactiva más baja hace que la computadora se congele? ¿Cómo podría ser?

Pueden existir varios svchost.exe al mismo tiempo. Windows 2000 generalmente tiene dos procesos svchost, uno es el proceso de servicio RPCSS (llamada a procedimiento remoto) y el otro es svchost.exe compartido por muchos servicios. En Windows XP, generalmente hay más de 4 procesos de servicio svchost.exe, y hay más en sistemas posteriores a XP (generalmente 6 en WIN7, pero el número en todos los sistemas no es absoluto. A veces, más es normal. Es un virus, por lo que no seas alarmista, debes utilizar métodos razonables para juzgar). Se puede ver que ms comienza a proporcionar más servicios integrados en el sistema a través de svchost para * * * disfrutar del proceso, lo cual es una tendencia. Esto reduce el consumo de recursos del sistema hasta cierto punto, pero también trae algunos factores de inestabilidad, porque cualquier servicio que disfrute del proceso hará que todos los servicios en todo el proceso se cierren debido a errores. El Administrador de tareas no puede finalizar el proceso. Si la herramienta lo termina por la fuerza, lo solicitará inmediatamente y se cerrará automáticamente (si no, significa que hay un problema con el proceso, ¡pero no intente finalizarlo fácilmente!).

Además, hay muchos sistemas WIN7 (64 bits). Hay un svchost.exe en la carpeta SysWOW64 (ubicada en la carpeta de Windows) en el disco del sistema. Incluso si lo hay, no hay necesidad de entrar en pánico. No hay evidencia de que sea un documento sospechoso. La mayoría de las herramientas de seguridad no señalan que es problemático y tienen información completa (número de versión, empresa, etc.). Este debería ser un proceso sistemático, no hay necesidad de apresurarse.

La siguiente información proviene de la red de archivos. ¡No agregue algunas introducciones tontas para descargar sitios web para engañar a otros! [1]

Nota: svchost.exe es un nombre de proceso común. Tiene que ver con los servicios del sistema de Windows que ejecutan bibliotecas de enlaces dinámicos (dll). Cuando se inicia la máquina, svchost.exe busca servicios en el registro, los ejecuta y los carga. Por lo general, hay varios svchost.exe ejecutándose al mismo tiempo, cada uno de los cuales representa un servicio básico ejecutándose en la computadora. No lo confunda con scvhost.exe. "

Análisis detallado: svchost.exe se almacena en el directorio C:\Windows\System32. Los tamaños de archivos conocidos de Windows XP son 14336 bytes (que representan 85 del total de apariciones), 21504 bytes, etc. 22 situación.

Este proceso no tiene una ventana visible. Este proceso abre una interfaz a la LAN o Internet

Si svchost.exe está ubicado en un subdirectorio en C:\Windows. , el riesgo de amenaza es 74. El tamaño del archivo es 106496 bytes (5 del total de apariciones), 16896 bytes y otros 121 casos. Este no es un archivo del kernel de Windows. Esta aplicación no tiene ventanas visibles. en el directorio de Windows, Svchost.exe es capaz de monitorear la aplicación, ocultarse, acceder a Internet y manipular otros programas.

Si svchost.exe se encuentra en el directorio C:\Windows, el riesgo de amenaza es 67. El tamaño del archivo es 36352 bytes (10 del total de apariciones), 49242 bytes en los otros 74 casos. Este no es un archivo del sistema de Windows. El proceso es invisible. El archivo se almacena en el directorio de Windows pero no es un archivo principal. system Svchost.exe es capaz de registrar entradas y monitorear aplicaciones. Ubicado en el directorio C:\Windows\System32\drivers, el riesgo de amenaza es 87.

El tamaño del archivo es 30720 bytes (10 del total de apariciones), 49152 bytes y otros 48 casos.

Si svchost.exe se encuentra en un subdirectorio en "C:\Documentos y configuración", el riesgo de amenaza es 66. El tamaño del archivo es 233472 bytes (lo que representa 12 del total de apariciones), 106496 bytes y otros 87 casos.

Si svchost.exe se encuentra en un subdirectorio bajo "C:\Program Files", el riesgo de amenaza es 63. El tamaño del archivo es 497664 bytes (19 del total de apariciones), 493568 bytes y 66 casos más.

Si svchost.exe se encuentra en un subdirectorio en C:\, el riesgo de amenaza es 66. El tamaño del archivo es 239104 bytes (23 del total de apariciones), 183808 bytes y otros 25 casos.

Si svchost.exe se encuentra en un subdirectorio en C:\Windows\System32, el riesgo de amenaza es 75. El tamaño del archivo es 525312 bytes (12 del total de apariciones), 86016 bytes y 53 casos más.

Si svchost.exe se encuentra en un subdirectorio bajo el directorio "C:\Program Files\Common Files", el riesgo de amenaza es 65. El tamaño del archivo es 1429504 bytes (22 del total de apariciones), 289280 bytes y 13 casos más.

Si svchost.exe se encuentra en el directorio "C:\Program Files\Common Files", el riesgo de amenaza es 61. El tamaño del archivo es 17920 bytes (lo que representa 56 del total de ocurrencias), 20480 bytes y los otros 4 casos.

Si svchost.exe se encuentra en un subdirectorio en C:\Windows\System32\drivers, el riesgo de amenaza es 72. El tamaño del archivo es 244484 bytes (22 del total de apariciones), 167936 bytes y 5 casos más.

Si svchost.exe se encuentra en el directorio temporal de Windows, el riesgo de amenaza es 52. Los tamaños de archivo son 109222 bytes (20 del total de apariciones), 241664 bytes, 27652 bytes, 46154 bytes, 655360 bytes.

Si svchost.exe se encuentra en el directorio C:\, el riesgo de amenaza es 64. El tamaño del archivo es 415232 bytes (60 del total de apariciones), 115712 bytes, 15536 ​​bytes.

Si svchost.exe se encuentra en el directorio "C:\Program Files", el riesgo de amenaza es 56. El tamaño del archivo es 28672 bytes (33 del total de apariciones), 37376 bytes, 25600 bytes.

Si svchost.exe se encuentra en un subdirectorio de "Mis archivos", el riesgo de amenaza es 56. El tamaño del archivo es 7168 bytes.

Recuerde: svchost.exe también puede disfrazarse de malware, ¡especialmente si está presente en los directorios c:\windows o c:\windows\system32!

Tome Windows XP como ejemplo, haga clic en Inicio/Ejecutar, ingrese el comando "services.msc" para abrir el cuadro de diálogo del servicio y luego abra el cuadro de diálogo de propiedades "Llamada a procedimiento remoto". Puede ver que la ruta del archivo ejecutable del servicio rpcss es "C:\Windows\System32\svchost-krpcss", lo que indica que svchost llama al servicio rpcss.

Ingrese "regedit.exe" en el cuadro de diálogo de ejecución, presione Entrar, abra el editor de registro, busque el elemento [HKEY_Local_Machine\System Current Control Set\Service\rpcss] y busque el tipo: La clave "ruta de la imagen" de "reg_expand_sz". Su valor clave es "systemroot\system32\svchost-rpcss" (este es el comando de inicio del servicio que se ve en la ventana de servicio), y hay una clave llamada "servicedll" en la subclave "Parámetros" con el valor "systemroot\system32\ rpcss.dll", donde está "rpcss.dll". De esta manera, el proceso svchost puede iniciar el servicio leyendo la información del registro del servicio "rpcss".

Los procesos del sistema Windows se pueden dividir en procesos independientes y * * * procesos compartidos. El archivo "svchost.exe" existe en el directorio "systemrootsystem32" y pertenece al proceso compartido * * *. A medida que la cantidad de servicios del sistema Windows continúa aumentando, para ahorrar recursos del sistema, Microsoft ha permitido que muchos servicios se inicien mediante el proceso svchost.exe. Sin embargo, como host de servicios, el proceso svchost no puede implementar ninguna función de servicio, es decir, solo puede proporcionar condiciones para que otros servicios comiencen aquí, pero no puede proporcionar ningún servicio a los usuarios. Entonces, ¿cómo se implementan estos servicios?

Resulta que estos servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (dll). Apuntan el programa ejecutable a svchost, y svchost llama al dll del servicio correspondiente para iniciar el servicio. Entonces, ¿cómo sabe svchost a qué biblioteca de vínculos dinámicos debe llamar un servicio del sistema? Esto se logra mediante parámetros establecidos en el registro por el servicio del sistema. Tomemos el servicio rpcss (remoteprocumerecall) como ejemplo para ilustrar.

Como se puede ver en los parámetros de inicio, el servicio se inicia mediante svchost.

Tome Windows XP como ejemplo, haga clic en Inicio/Ejecutar, ingrese el comando "services.msc", aparecerá el cuadro de diálogo del servicio y luego abra el cuadro de diálogo de propiedades "RemoteProcedure". Puede ver que la ruta del archivo ejecutable del servicio rpcss es "C:\Windows\System32\svchost-krpcss", lo que indica que svchost llama al servicio rpcss.

Ingrese "regedit.exe" en el cuadro de diálogo de ejecución, presione Entrar, abra el editor de registro, busque el elemento [HKEY_Local_Machine\System\Current Control Set\Service\rpcss] y busque el tipo El registro clave "Imagepath" para "reg_expand_sz". Su valor clave es "systemroot system32 SVC host-krpcss" (este es el comando de inicio del servicio que ve en la ventana de servicios), y en la subclave "parámetros" hay una clave llamada "servicedll" con el valor "systemrootsystem32rpcss". ", donde "rpcss.dll" es el archivo de biblioteca de vínculos dinámicos que utilizará el servicio rpcss. De esta manera, el proceso svchost puede iniciar el servicio leyendo la información del registro del servicio "rpcss".

Dado que el proceso svchost inicia varios servicios, los virus y troyanos hacen todo lo posible para aprovecharse de él, intentando utilizar sus características para confundir a los usuarios y lograr el propósito de infección, invasión y destrucción (como el shock virus variante de onda "w32.welchia. worm"). Sin embargo, es normal que existan múltiples procesos svchost en los sistemas Windows. ¿Cuál es el proceso del virus en la máquina infectada? He aquí sólo un ejemplo para ilustrar.

Supongamos que el sistema Windows XP está infectado por "w32.welchia.worm". El archivo svchost normal existe en el directorio "c:\windows\system32", así que tenga cuidado si encuentra el archivo en otros directorios. El virus "w32.welchia.worm" existe en el directorio "c:\windows\system32\wins". Utilice el administrador de procesos para ver la ruta del archivo de ejecución del proceso svchost. Es fácil encontrar si el sistema está infectado. el virus. El administrador de tareas que viene con el sistema Windows no puede ver la ruta del proceso. Puede utilizar software de gestión de procesos de terceros, como el administrador de procesos "Windows Optimizer". A través de estas herramientas, puede ver fácilmente las rutas de los archivos de ejecución de todos los procesos svchost. Una vez que se descubre que las rutas de ejecución se encuentran en ubicaciones inusuales, deben detectarse y manejarse de inmediato.

Svchost.exe explicado para resolver confusión respecto a dudas sobre Svchost.

-

El archivo Svchost.exe es el nombre de proceso de host común de un servicio que se ejecuta desde una biblioteca de vínculos dinámicos. El archivo Svchost.exe se encuentra en la carpeta systemroot\system32 del sistema. Al iniciar, Svchost.exe comprueba la ubicación en el registro (HKEY_Local_Machine\Software\Microsoft\Windows NT\Current Version\svchost) para crear una lista de servicios para cargar. Esto permitirá que se ejecuten varios Svchost.exe simultáneamente. Cada respuesta de Svchost.exe contiene un conjunto de servicios, por lo que los servicios individuales deben depender de cómo y dónde se inicia Svchost.exe. Esto facilita el control y la detección de errores.

El grupo Svchost.exe se identifica mediante el siguiente valor de registro.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\current version\Svchost

Cada valor bajo esta clave representa un grupo Svchost independiente cuando ve los procesos activos, se muestra como un ejemplo separado . Cada clave es un valor de tipo REG_MULTI_SZ e incluye servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost contiene uno o más nombres de servicios seleccionados de los valores del registro cuyos valores de parámetros contienen un valor ServiceDLL.

HKEY _ LOCAL _ MACHINE \ System \ current control set \ Services

En pocas palabras, sin este servicio RPC, la máquina difícilmente puede conectarse. Muchos servicios de aplicaciones dependen de esta interfaz RPC. Si se descubre que este proceso consume demasiados recursos de la CPU, deshabilitar directamente el servicio RPC del sistema será un desastre, porque ni siquiera se puede utilizar la interfaz de configuración del servicio del sistema para restaurar esta interfaz. El método de recuperación requiere usar el editor de registro para encontrar HKEY_Local_Machine>; gt system gt gt current control set gt gt service gt gtRpcSs, buscar el atributo Inicio a la derecha, cambiar su valor a 2 y reiniciar.

La razón por la cual svchost representa el 100% de la CPU del sistema no es el servicio svchost en sí: la situación anterior se debe a la falla del servicio Windows Update al descargar/instalar, lo que resulta en reintentos repetidos de la actualización. servicio. La actualización automática de Windows también es una aplicación en segundo plano que depende del servicio svchost, que muestra la gran carga en svchost.exe.

Las máquinas que suelen tener este problema suelen ser máquinas con condiciones de acceso a Internet inestables (especialmente cuando se accede a sitios web extranjeros). Por ejemplo, las máquinas de los padres en casa suelen aparecer de forma irregular después de estar instaladas durante unos meses. Dos semanas son períodos de alta incidencia: porque en. En los últimos años, MS ha lanzado parches periódicamente en la segunda semana de cada mes). La solución anterior no garantiza la no repetición, pero sigue siendo una pérdida de tiempo reinstalar el sistema operativo cada pocos meses para el archivo svchost.

Nota:

svchost.exe

Los nombres de procesos que los virus suelen imitar son: svch0st.exe, schvost.exe y scvhost.exe. A medida que la cantidad de servicios del sistema Windows continúa aumentando, para ahorrar recursos del sistema, Microsoft ha permitido que muchos servicios se inicien mediante el proceso svchost.exe. Los servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (dll). Apuntan el programa ejecutable a svchost, y svchost llama al dll del servicio correspondiente para iniciar el servicio. Podemos abrir Panel de control → Herramientas administrativas → Servicios y hacer doble clic en el Servicio de portapapeles. En su panel de propiedades podemos encontrar que la ruta del archivo ejecutable correspondiente es "C:\Windows\System32\ClipSRV.Exe". Haga doble clic en el servicio "Alerta" y podrá encontrar que la ruta del archivo ejecutable es "C:\Windows\System32\svchost.exe-k servicio local", mientras que la ruta del archivo ejecutable del servicio "Servidor" es "C: \Windows\System32\svchost.exe -k netsvcs". Es a través de esta llamada que se puede ahorrar una gran cantidad de recursos del sistema, por lo que la aparición de múltiples svchost.exe en el sistema es en realidad solo un servicio del sistema. Generalmente hay dos procesos svchost.exe en los sistemas Windows 2000, uno es el proceso de servicio RPCSS (remoteprocurecallrecall) y el otro es svchost.exe que utilizan muchos servicios. En Windows XP, normalmente hay más de cuatro procesos de servicio svchost.exe. Si el número de procesos svchost.exe supera los 6, tenga cuidado. Puede ser un virus falso. El método de detección es muy sencillo. Utilice alguna herramienta de gestión de procesos, como la función de gestión de procesos del Optimizador de Windows, para comprobar la ruta del archivo ejecutable en svchost.exe. Si está fuera del directorio "C:\WINDOWS\system32", se puede determinar que es un virus.

Métodos de eliminación de virus relacionados

1. Utilice el desbloqueador para eliminar carpetas similares a C:SysDayN6:, como C:Syswm1i, C:SysAd5D, etc. Estas carpetas tienen la misma característica, que se denomina Sys*** (** es una letra aleatoria de tres a cinco dígitos), por lo que puede eliminar varias de esas carpetas.

2. Iniciar-Ejecutar-ingrese "regedit"-abra el registro y expándalo a la siguiente ubicación:

HKEY_Current User\Software\Microsoft\Windows\Current Version\ Run

Elimine todas las claves con un número puro a la derecha, como

lt66>; sysdayn 6 svchost .exe gt

lt333 gt ltc: sys; WM 1 ISV chost .exe gt;

lt50 >; sys ad 5 dsvchost .exe gt

3. Reinicie la computadora y el virus será eliminado.

Para ver los servicios que se ejecutan en la lista de Svchost.

svchost.exe

Navegador de computadora

Se utiliza para explorar servicios informáticos de LAN, ¡pero no afecta la navegación!

svchost.exe

Servicio de cifrado

Se utiliza para confirmar la huella digital de los archivos de Windows durante las actualizaciones de Windows y se puede abrir durante las actualizaciones.

svchost.exe

Cliente DHCP

Es necesario para los usuarios que utilizan IP estática, pero inútil para los usuarios que utilizan un módem.

svchost.exe

Cliente de seguimiento de enlaces distribuidos

Se utiliza para actualizar la información de conexión de la LAN (por ejemplo, hay un archivo en la computadora A, b Si el archivo se mueve, este servicio actualizará la información. )

svchost.exe

Cliente DNS

Intérprete DNS, interpreta los nombres de dominio en direcciones IP. .

svchost.exe

Servicio de informes de errores

El programa de informes de errores informa errores en Windows a Microsoft.

svchost.exe

Compatibilidad con cambio rápido de usuario

¿Te gustan los servicios de cambio rápido multiusuario?

svchost.exe

Ayuda y soporte técnico

Ayuda de Windows. Los novatos todavía necesitan confiar en su guía.

svchost.exe

Acceso al dispositivo de interfaz humana

Admite accesorios de computadora "ergonómicos", como botones para aumentar el volumen en el teclado.

svchost.exe

Firewall de conexión a Internet/conexión compartida a Internet

Firewall de XP/proporciona a varias computadoras el servicio de conexión a Internet * * * y disfruta del acceso telefónico redes Conéctese en línea.

svchost.exe

Administrador de discos lógicos

Servicio de administración de discos. El sistema te avisará para abrirlo si es necesario.

svchost.exe

Conocimiento de ubicación de red (NLA)

Puede ser necesario si hay acceso a la red o ICS/ICF. (lado del servidor).

svchost.exe

Número de serie de medios portátiles

Windows Media Player y Microsoft protegen los derechos de autor de los medios digitales.

svchost.exe

Administrador de conexión automática de acceso remoto

Usuarios/redes de banda ancha * * * ¡disfruta de los servicios que necesitan!

svchost.exe

Llamada a procedimiento remoto

¡Servicio central del sistema! Si este servicio está deshabilitado en Windows 2000, el sistema no se iniciará.

svchost.exe

Servicio de registro remoto

Operación/modificación del registro remoto.

svchost.exe

Puede copiar el siguiente código en un bloc de notas vacío, luego guardarlo como un archivo por lotes en formato ".bat" y luego ejecutar este lote. Puede desactivar los servicios inútiles del sistema y encontrará que SVCHOST.EXE es mucho menos potente.

@turn off echo

REM desactiva "Proporciona compatibilidad con complementos de protocolos de terceros para conexiones a Internet y Firewall de Windows".

algoritmo de configuración sc start=disable

REM desactiva la "función de actualización automática de Windows"

configuración sc wuauserv start=disable

REM El visor de portapapeles está cerrado.

sc configure clip srv start=disable

rem off "messenger"

sc configure messenger start=disable

rem off" Acceso esta computadora de forma remota a través de NetMeeting"

configuración sc mnmsrvc start=disable

REM desactiva la cola de impresión.

sc configure spooler startup=disable

REM desactiva la modificación remota del registro.

sc configuración RemoteRegistry start=disable

REM desactiva los ajustes y la configuración de seguridad del sistema de monitoreo.

sc configure wscsvc startup=disable

REM cierra la restauración del sistema.

sc configure service start=disable

REM cierre "Tareas programadas"

sc configure programado inicio=disable

REM cierre "TCP /IP NetBIOS Assistant”

sc configure lmhosts start=disable

REM cierra el servicio Telnet.

sc configuración tlntsvr start=disable

REM cierra el servicio de firewall.

sc configure el acceso compartido enable=disable

Rem cerró el "Navegador de la computadora"

sc configure el acceso compartido enable=disable

REM desactiva las "falsas alarmas"

sc configure alarm start=disable

REM desactiva los "informes de errores"

sc configure ERSvc start=disable

REM desactiva la indexación de contenido y atributos de archivos en computadoras locales y remotas.

sc configure cisvc startup=disable

REM desactiva "Administrar instantáneas de software obtenidas por el Servicio de instantáneas de volumen"

sc configure SwPrv startup=disable

p>

REM desactivado "Admite eventos de validación de inicio de sesión de cuenta de paso para computadoras en la red"

sc configure NetLogon start=disable

REM desactivado "Para usar protocolos de transporte en lugar de canalizaciones con nombre" El programa de llamada a procedimiento remoto (RPC) proporciona seguridad"

sc configure NtLmSsp start=disable

REM off" Recopila datos de rendimiento de sistemas locales o Computadoras remotas basadas en parámetros de programación preconfigurados. Estos datos luego se escriben en un registro o activan una alerta".

scConfigure SysmonLog start=Disable

REM Desactive "Recuperar cualquier número de serie de reproducción de música a través de una computadora en línea"

scConfigure WmdmPmSN start=Disable

REM apaga el sistema de alimentación ininterrumpida administrada (UPS) conectado a la computadora.

sc Configurar inicio del UPS = Desactivar

Método de verificación:

Presione (Ctrl Alt Supr) para ingresar al Administrador de tareas. Compruebe si los recursos de CPU del proceso svchost.exe ocupan entre 50 y 100. (Ocupa 100 recursos de CPU o 50 de memoria).

Solución:

Inicio-Panel de control-Impresoras y Faxes--MicrosoftXXXXX Impresora virtual Microsoft (el sistema tiene una impresora por defecto)-Abrir la impresora-Eliminar y cancelar todos los documentos que se están impreso, o haga clic derecho para eliminar el programa de impresora predeterminado del sistema y el uso de la CPU será 100.