El proceso SVCHOST

Trucos - Windows XP

El proceso svchost depende del archivo Svchost.exe que se encuentra en la carpeta C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.

Al iniciarse, Svchost.exe comprueba la parte de servicios del Registro para elaborar la lista de servicios que necesita cargar. Se pueden ejecutar múltiples instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autónomos, en función de cómo y cuándo se inició Svchost.exe. Esto permite un control mejor y una depuración más sencilla.

Los grupos Svchost.exe están identificados en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Cada valor contenido en esta clave representa un grupo Svchost distinto y se muestra como un ejemplo independiente cuando se consultan los procesos activos.

Cada valor es un valor REG_MULTI_SZ que contiene los servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost puede contener uno o varios nombres de servicio que se extraen de la siguiente clave del Registro, cuya clave Parámetros contiene un valor ServiceDLL:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Nombre del Servicio

Por esta razon, suele aparecer varias veces en la lista de procesos en ejecucion.

Servicios que ejecuta

Para poder ver la lista de servicios que se están ejecutando a través de Svchost, nos dirigimos a la consola ( Inicio / Ejecutar / cmd [Enter]) y escribimos:

C:\>tasklist /svc

El comando tasklist lo que hace es mostrar la lista de procesos activos, el parametro /SVC nos muestra la lista de servicios activos en cada proceso.

Este es un ejemplo de los servicios que ejecuta scvhost

Nombre de imagen             PID Servicios
========================= ====== =============================================
System Idle Process            0 N/D
System                         4 N/D
smss.exe                    1072 N/D
csrss.exe                   1168 N/D
winlogon.exe                1196 N/D
services.exe                1240 Eventlog, PlugPlay
lsass.exe                   1252 Netlogon, PolicyAgent, ProtectedStorage,
                                 SamSs
svchost.exe                 1452 DcomLaunch, TermService
svchost.exe                 1544 RpcSs
svchost.exe                 1676 AppMgmt, AudioSrv, BITS, Browser, CryptSvc,
                                 Dhcp, dmserver, ERSvc, EventSystem, helpsvc,
                                 Irmon, lanmanserver, lanmanworkstation,
                                 Netman, Nla, RasMan, Schedule, seclogon,
                                 SENS, SharedAccess, ShellHWDetection,
                                 srservice, TapiSrv, Themes, TrkWks, W32Time,
                                 winmgmt, wscsvc, wuauserv, WZCSVC
svchost.exe                 1712 WudfSvc
svchost.exe                 1780 Dnscache
svchost.exe                 1936 LmHosts, RemoteRegistry, SSDPSRV, upnphost,
                                 WebClient
spoolsv.exe                  220 Spooler
AppleMobileDeviceService.    392 Apple Mobile Device
avp.exe                      404 AVP
mDNSResponder.exe            424 Bonjour Service
mdm.exe                      780 MDM
sqlservr.exe                1132 MSSQL$SQLEXPRESS
Launcher_NB.exe             1256 NB_ST3402
svchost.exe                 1476 Net Driver HPZ12
svchost.exe                 1496 Pml Driver HPZ12
sqlwriter.exe               1620 SQLWriter
svchost.exe                 1788 stisvc
searchindexer.exe           1892 WSearch
alg.exe                     3304 ALG
GoogleUpdate.exe            2832 N/D
iPodService.exe             3740 iPod Service
ServiceLayer.exe            3108 ServiceLayer
explorer.exe                4492 N/D
RTHDCPL.exe                 5272 N/D
CLI.exe                     2540 N/D
GrooveMonitor.exe           5588 N/D
avp.exe                     2368 N/D
HPTLBXFX.exe                6032 N/D
hpwuSchd2.exe               1220 N/D
jusched.exe                 5648 N/D
NclUSBSrv.exe               4260 N/D
NclIrSrv.exe                4452 N/D
OUTLOOK.EXE                 5768 N/D
iTunesHelper.exe            3264 N/D
ctfmon.exe                  2864 N/D
MediaTRACKER.exe            1396 N/D
msmsgs.exe                  5644 N/D
NclRSSrv.exe                5128 N/D
PCSuite.exe                 4120 N/D
NMBgMonitor.exe             4992 N/D
WindowsSearch.exe           4952 N/D
CLI.exe                     6092 N/D
CLI.exe                     6008 N/D
jucheck.exe                 1092 N/D
firefox.exe                 1088 N/D
hpqusgl.exe                 5396 N/D
Photoshop.exe               3960 N/D
iexplore.exe                4692 N/D
filezilla.exe               3420 N/D
notepad.exe                 3320 N/D
wmiprvse.exe                4268 N/D
WinSCP.exe                  6112 N/D
cmd.exe                     6116 N/D
tasklist.exe                2340 N/D

Tasklist muestra una lista de los procesos activos. El modificador /SVC muestra la lista de servicios activos para cada proceso.

Si tienes Windows XP Professional y quieres obtener más informacion sobre los servicios que el proceso SVCHOST está ejecutando en estos momentos haz esto:

Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.
Ahora en la ventana de la consola de comandos, escriba:

tasklist /svc /fi "imagename eq svchost.exe"

... y a continuación, presione Enter.

En este caso se mostrarán sólo los procesos SVCHOST.exe y sus servicios asociados.

Y la respuesta a la típica pregunta de si hay que cerrar o eliminar el proceso SVCHOST, NO! no hay que tocarlo, este programa es importante para estabilidad y seguridad de su sistema y no deberia ser terminado.

Uso de memoria:

SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema.
SVCHOST.EXE puede aparecer listado en la lista de procesos muchas veces por cada servicio que éste tenga activos.

Uso de procesador:

El uso de procesador por parte de SVCHOST.EXE no debe ser mas de 20% en algunos casos, éste uso de CPU no debe ser permanente, o sea no debe ocupar CPU en todo momento a menos que en tu sistema se esté ejecutando alguna aplicacion de red crítica que siginifique el uso de todos estos recursos en todo momento, si no es así, sospecha de que estas siendo atacado externamente por algun malware que aprovecha la vulnerabilidad RPC.

adslmasbarato.com

Nube de Tags

60mb [enter] abrir activos activosuso algun alguna aparecer aplicacion aprovecha asociados atacado barra boton caso casos cerrar clave clic comando comandos consola contener contiene continuación crítica cuadro cuya deberia dirigimos diálogo driver ejecuta ejecutando ejecutar ejemplo eliminar enter escriba estabilidad estas esté externamente extraen grupo haga imagename importante informacion inicio ipod lista listado llegar local malware memoria modificador momento momentos mostrarán muchas muestra nombres ocupar parte permanente poder pregunta presione procesador procesadorel proceso procesos professional programa quieres razon recursos registro respuesta rpc? seguridad servicio servicios siendo siginifique siguiente sistema sospecha suele svcel svchost svchostexe tareas tasklist tecla tenga terminadouso tienes tocarlo típica unos valor varias veces ventana vulnerabilidad windows tasklist éste 1088 1092 1220 1396 1620 1788 1892 2340 2368 2540 2832 2864 3108 3264 3304 3320 3420 3740 3960 4120 4260 4268 4452 4492 4692 4952 4992 5128 5272 5396 5588 5644 5648 5768 6008 6032 6092 6112 6116

Tododrivers S.L. inscrita en el registro mercantil de Madrid, Folio 125, Tomo 25757, Sección 8, Hoja M 464290, Inscripción 1 - CIF. B85443455 - Vicente Carballal 15 Local Posterior - 28021 - Madrid (España/Spain) - Contenidos licenciados bajo Creative Commons