Imagen del nombre de dominio20
La siguiente es una explicación de svchost.exe. Es relativamente larga y se puede usar un poco ~ ~ ~
svchost.exe
Abrir categoría: Información de procesamiento de computadora - Sistema operativo -svchost.exe.
Archivo de proceso: svchostor svchost.exe
Nombre del proceso: proceso host del servicio de Microsoft
Categoría de proceso: Otros procesos
Ubicación: C :/Windows/System32/svchost. (Tenga cuidado si su proceso svchost.exe no está en este directorio).
Descripción en inglés:
svchost.exe es un proceso del sistema que pertenece al sistema operativo Microsoft Windows. Maneja procesos ejecutados desde bibliotecas de enlaces dinámicos. Este programa es muy importante para el funcionamiento estable y seguro de su computadora y no debe finalizarse. Nota: svchost.
Referencia china:
Svchost.exe es un programa de sistema que pertenece al sistema operativo Microsoft Windows y se utiliza para ejecutar archivos DLL. Este programa es muy importante para el funcionamiento normal de su sistema y no se puede finalizar. (Nota: svchost.exe también puede ser el virus W32.Welchia.Worm, que aprovecha una vulnerabilidad en Windows LSASS para crear un desbordamiento del búfer, lo que provoca que su computadora se apague. Para obtener más detalles, consulte: /TechNet/security/bulletin /ms04-011.mspx, El nivel de seguridad de este proceso recomienda su eliminación inmediata)
Productor: Microsoft Corporation
Pertenece a: Sistema operativo Microsoft Windows.
Proceso del sistema: Sí
Programa en segundo plano: Sí
Relacionado con la red: Sí
Errores comunes: No aplicable
Uso de memoria: No aplicable
Nivel de seguridad (0-5): 0
Spyware: No
Adware: No
Virus: Ninguno
Troy Hoss: No
Encontrado
En la familia de sistemas operativos Windows basada en el kernel NT, existen diferentes versiones del sistema Windows. números de procesos "svchost" en . Los usuarios pueden verificar el recuento de procesos utilizando el Administrador de tareas. En términos generales, win2000 tiene dos procesos svchost, winxp tiene más de cuatro procesos svchost (no juzgue inmediatamente que el sistema tiene un virus cuando vea varios procesos de este tipo en el sistema) y win2003server tiene más. Estos procesos svchost proporcionan muchos servicios del sistema, como: servicio rpcss (llamada a procedimiento remoto), servicio dmserver (logicdiskmanager), servicio dhcp (dhcpclient), etc. Hay hasta 12 procesos svchost en el sistema Windows Vista. Estos svchost.exe están todos en la misma ruta de archivo C:\Windows\System32\svchost.exe. Son imgsvc, NetworkServicenetworkrestricted, LocalServiceNoNetwork, networkservice, LocalService, netsvcs. LocalSystemNetworkRestricted, LocalServiceNetworkRestricted, servicios, rpcss, WerSvcGroup, grupo de servicios DcomLaunch.
Si desea saber cuántos servicios del sistema proporciona cada proceso svchost, puede ingresar el comando "tlist-s" en la ventana del símbolo del sistema de win2000, proporcionado por win2000supporttools. En winxp, utilice el comando "tasklist/svc".
Svchost puede contener múltiples servicios.
Profundizar
Los procesos del sistema Windows se pueden dividir en procesos independientes y * * * procesos compartidos. El archivo "svchost.exe" existe en el directorio "%systemroot%system32" y pertenece a un * * * proceso compartido. A medida que la cantidad de servicios del sistema Windows continúa aumentando, para ahorrar recursos del sistema, Microsoft ha permitido que muchos servicios se inicien mediante el proceso svchost.exe. Sin embargo, como host de servicios, el proceso svchost no puede implementar ninguna función de servicio, es decir, solo puede proporcionar condiciones para que otros servicios comiencen aquí, pero no puede proporcionar ningún servicio a los usuarios. Entonces, ¿cómo se implementan estos servicios?
Resulta que estos servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (dll). Apuntan el programa ejecutable a svchost, y svchost llama al dll del servicio correspondiente para iniciar el servicio. Entonces, ¿cómo sabe svchost a qué biblioteca de vínculos dinámicos debe llamar un servicio del sistema? Esto se logra mediante parámetros establecidos en el registro por el servicio del sistema. Tomemos el servicio rpcss (remoteprocumerecall) como ejemplo para ilustrar.
Como se puede ver en los parámetros de inicio, el servicio se inicia mediante svchost.
Ejemplo
Tome Windows XP como ejemplo, haga clic en Inicio/Ejecutar, ingrese el comando "services.msc", aparecerá el cuadro de diálogo de servicio y luego abra el "Procedimiento remoto". cuadro de diálogo de propiedades. Puede ver que la ruta del archivo ejecutable del servicio rpcss es "C:\Windows\System32\svchost-krpcss", lo que indica que svchost llama al servicio rpcss.
Ingrese "regedit.exe" en el cuadro de diálogo de ejecución, presione Entrar, abra el editor de registro, busque el elemento [HKEY_Local_Machine\System\Current Control Set\Service\rpcss] y busque el tipo El registro clave "magepath" para "reg_expand_sz". Su valor clave es "% systemroot % system32 SVC host-krpcss" (este es el comando de inicio del servicio que ve en la ventana de servicio), y en la subclave "parámetros" hay una clave llamada "servicedll" con el valor "%systemroot %system32rpcss.dll", donde "rpcss.dll" es el archivo de biblioteca de vínculos dinámicos que utilizará el servicio rpcss. De esta manera, el proceso svchost puede iniciar el servicio leyendo la información del registro del servicio "rpcss".
Salir de dudas
Dado que el proceso svchost inicia varios servicios, los virus y troyanos hacen todo lo posible para aprovecharse de él, intentando utilizar sus características para confundir a los usuarios y lograr el propósito de infección. , invasión y destrucción (como la variante del virus de la onda de choque "w32.welchia.worm"). Sin embargo, es normal que existan múltiples procesos svchost en los sistemas Windows. ¿Cuál es el proceso del virus en la máquina infectada? He aquí sólo un ejemplo para ilustrar.
Supongamos que el sistema Windows XP está infectado por "w32.welchia.worm". El archivo svchost normal existe en el directorio "c:\windows\system32", así que tenga cuidado si encuentra el archivo en otros directorios. El virus "w32.welchia.worm" existe en el directorio "c:\windows\system32wins". Utilice el administrador de procesos para ver la ruta del archivo ejecutable del proceso svchost. Es fácil encontrar si el sistema está infectado con el virus. . El administrador de tareas que viene con el sistema Windows no puede ver la ruta del proceso. Puede utilizar software de gestión de procesos de terceros, como el administrador de procesos "Windows Optimizer". A través de estas herramientas, puede ver fácilmente las rutas de los archivos de ejecución de todos los procesos svchost. Una vez que se descubre que las rutas de ejecución se encuentran en ubicaciones inusuales, deben detectarse y manejarse de inmediato.
++++++++++++++++++++++++++++++++++++++++++ + ++++++++++++
=============================== =============================
++++++++++++++++ + +++++++++++++++++++++++++++++++++++++++++
Svchost . exe explicado para resolver la confusión con respecto a Svchost.
-
El archivo Svchost.exe es el nombre de proceso de host común de un servicio que se ejecuta desde una biblioteca de vínculos dinámicos. El archivo Svhost.exe se encuentra en la carpeta %systemroot%\system32 del sistema. Al iniciarse, Svchost.exe comprueba las ubicaciones en el registro para crear una lista de servicios que deben cargarse. Esto permitirá que se ejecuten varios Svchost.exe simultáneamente. Cada respuesta de Svchost.exe contiene un conjunto de servicios, por lo que los servicios individuales deben depender de cómo y dónde se inicia Svchost.exe. Esto facilita el control y la detección de errores.
.
El grupo Svchost.exe se identifica mediante el siguiente valor de registro.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\current version\Svchost
Cada valor bajo esta clave representa un grupo Svchost independiente cuando ve los procesos activos, se muestra como un ejemplo separado . Cada clave es un valor de tipo REG_MULTI_SZ e incluye servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost contiene uno o más nombres de servicios seleccionados de los valores del registro cuyos valores de parámetros contienen un valor ServiceDLL.
HKEY_LOCAL_MACHINE\Sistema\conjunto de control actual\Servicios\Servicio
.
.
Más información
.
Para ver los servicios que se ejecutan en la lista de Svchost.
Comando Iniciar-Ejecutar-Escribir
Luego ingrese tlist -s (tlist debe ser algo en la caja de herramientas de win2k)
Tlist muestra la lista de procesos activos. El modificador -s muestra una lista de servicios activos en cada proceso. Si quieres saber más sobre este proceso, puedes hacer clic en la lista pid.
La lista muestra dos ejemplos de operaciones de Svchost.exe.
0 proceso del sistema
8 sistema
132 smss.exe
160 csrss.exe título:
Título de winlogon.exe: agente NetDDE
208services.exe
Servicios: administración de aplicaciones, navegador, Dhcp, dmserver, Dnscache, registro de eventos, lanmanserver, LanmanWorkst
ation, LmHosts, Messenger, PlugPlay, ProtectedStorage, seclogon, TrkWks, W32Time, Wmi
220 lsass.exe Svcs:Netlogon, PolicyAgent, SamSs
404 svchost.exe Svcs: rpcs
452 spoolsv.exe Servicios:spooler
544 cisvc.exe Servicios:cisvc
556 svchost.exe Servicios:sistema de eventos, Netman, NtmsSvc, RasMan, SENS , TapiSrv
580 Servicios regsvc.exe: Registro remoto
596 Servicios mstask.exe: Programación
660 Servicios snmp.exe: SNMP
728 winmgmt.exe Servicios:WinMgmt
852 cidaemon.exe Título: OleMainThreadWndName
812 explorer.exe Puesto: Gerente de proyecto
1032 Título OSA.EXE : Recordatorio
1300 título cmd.exe: D:\win nt 5\System32\cmd exe-tlist-s
1080 Título MAPISP32.EXE: WMS inactivo
.1264 título rundll32.exe:
1000 título mmc.exe: Administrador de dispositivos
1144 tlist.exe
En En este ejemplo, el registro tiene dos grupos.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\versión actual\Svchost:
net SVCs:Reg_Multi_SZ:sistema de eventos Ias Iprip Irmon Netman Nwsapagent RasautoRa
acceso remoto sman SENS acceso compartido Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
Esto es parte del subsistema Win32 en modo de usuario. Csrss representa el subsistema operativo cliente/servidor y es un subsistema básico que debe estar ejecutándose en todo momento. Csrss es responsable de controlar ventanas, crear o eliminar subprocesos y algunos entornos virtuales de MS-DOS de 16 bits.
Los siguientes son los servicios del programa de llamadas al sistema SVCHOST.
(El primer comportamiento es "nombre del servicio", el segundo comportamiento es "descripción del servicio" y el tercer comportamiento es "programa de llamada")
Gestión de aplicaciones
El componente de administración de aplicaciones es responsable de instalar el formato de archivo msi, pero esto no importa si el servicio está realmente deshabilitado.
svchost.exe
Actualización automática
Servicio de actualización automática de Windows.
svchost.exe
Servicio de transferencia inteligente en segundo plano
Implementar firewall de conexión/conexión compartida a Internet.
El cortafuegos de XP proporciona servicios para que varias computadoras se conecten a Internet y disfruten del acceso telefónico a Internet.
svchost.exe
Administrador de discos lógicos
Servicio de administración de discos. El sistema te avisará para abrirlo si es necesario.
svchost.exe
Conocimiento de ubicación de red (NLA)
Puede ser necesario si hay acceso a la red o ICS/ICF. (lado del servidor).
svchost.exe
Número de serie de medios portátiles
Windows Media Player y Microsoft protegen los derechos de autor de los medios digitales.
svchost.exe
Administrador de conexión automática de acceso remoto
Usuarios/redes de banda ancha * * * ¡disfruta de los servicios que necesitan!
svchost.exe
Llamada a procedimiento remoto
¡Servicio central del sistema! Si este servicio está deshabilitado en Windows 2000, el sistema no se iniciará.
svchost.exe
Servicio de registro remoto
Operación/modificación del registro remoto.
svchost.exe
Atención.
svchost.exe
Los nombres de procesos que los virus suelen imitar son: svch0st.exe, schvost.exe y scvhost.exe. A medida que la cantidad de servicios del sistema Windows continúa aumentando, para ahorrar recursos del sistema, Microsoft ha permitido que muchos servicios se inicien mediante el proceso svchost.exe. Los servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (dll). Apuntan el programa ejecutable a scvhost y cvhost llama a la DLL del servicio correspondiente para iniciar el servicio. Podemos abrir Panel de control → Herramientas administrativas → Servicios y hacer doble clic en el Servicio de portapapeles. En su panel de propiedades podemos encontrar que la ruta del archivo ejecutable correspondiente es "C:\Windows\System32\ClipSRV.Exe". Haga doble clic en el servicio "Alerta" y podrá encontrar que la ruta del archivo ejecutable es "C:\Windows\System32\svchost.exe-k servicio local", mientras que la ruta del archivo ejecutable del servicio "Servidor" es "C: \Windows\System32\svchost.exe -k netsvcs". Es a través de esta llamada que se puede ahorrar una gran cantidad de recursos del sistema, por lo que la aparición de múltiples svchost.exe en el sistema es en realidad solo un servicio del sistema. Generalmente hay dos procesos svchost.exe en los sistemas Windows 2000, uno es el proceso de servicio RPCSS (remoteprocurecallrecall) y el otro es svchost.exe que utilizan muchos servicios. En Windows XP, normalmente hay más de cuatro procesos de servicio svchost.exe. Si el número de procesos svchost.exe supera los 6, tenga cuidado. Puede ser un virus falso. El método de detección es muy sencillo. Utilice alguna herramienta de gestión de procesos, como la función de gestión de procesos del Optimizador de Windows, para comprobar la ruta del archivo ejecutable de svchost.exe. Si está fuera del directorio "C:\WINDOWS\system32", se puede determinar que es un virus.