Check the new version here

Popular channels

svchost.exe

Introducción
Supongo que mas de uno se preguntó de donde salió el archivo svchost.exe y porque se está ejecutando tantas veces y consumiendo tantos recursos.

Bueno, para que tengan una idea clara, vamos a decir que básicamente es el encargado en Windows XP de ejecutar los servicios que corren desde una DLL (dynamic-link libraries).



Mas Información
El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%\System32.
Cuando se inicia Windows, Svchost.exe chequea el registro para poder armar la lista de servicios que necesita cargar.

Cada instancia de Svchost.exe puede ejecutar uno o mas servicios, todo depende de la manera en que se inicie.

Los grupos de servicios se encuentran en la siguiente rama del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost






Cada valor dentro de esta rama, representa un grupo y será visualizado como una instancia de Svchost, cuando veamos la lista de procesos.



Mas de cerca
Para poder ver la lista de servicios que se están ejecutando a través de Svchost, nos dirigimos a la consola ( Inicio / Ejecutar / cmd ) y escribimos:

C:\>tasklist /svc

El comando tasklist lo que hace es mostrar la lista de procesos activos, el parametro /SVC nos muestra la lista de servicios activos en cada proceso.

Este es un ejemplo, sacado de mi máquina.

Image Name PID Services
========================= ====== =============================================
System Idle Process 0 N/A
System 4 N/A
smss.exe 456 N/A
csrss.exe 512 N/A
winlogon.exe 536 N/A
services.exe 580 Eventlog, PlugPlay
lsass.exe 592 ProtectedStorage, SamSs
svchost.exe 760 RpcSs
svchost.exe 852 AudioSrv, CryptSvc, Dhcp, dmserver,
EventSystem, lanmanworkstation, Netman, Nla,
RasMan, SENS, ShellHWDetection, TapiSrv,
winmgmt
svchost.exe 924 Dnscache
spoolsv.exe 964 Spooler
EXPLORER.EXE 1192 N/A
tca.exe 1464 N/A
avgcc32.exe 1472 N/A
MsgPlus.exe 1480 N/A
TCLOCK.EXE 1524 N/A
zapro.exe 1544 N/A
avgserv.exe 1756 AvgServ
vsmon.exe 1788 vsmon
wmiapsrv.exe 1900 WmiApSrv
Far.exe 504 N/A
regedit.exe 596 N/A
cmd.exe 1496 N/A
tasklist.exe 1324 N/A



Para tener en cuenta
Al margen de que varios virus y/o troyanos infectan este archivo haciéndonos creer que es uno de ellos, debemos tener presente que otros, si llegar a infectarlo intentan engañarnos utilizando un nombre parecido.

scvhost.exe Lo instala el virus W32/Agobot-S. Se trata de un gusano y troyano backdoor de IRC que se copia asi mismo aprovechando los recursos compartidos con passwords débiles. E intenta propagarse utilizando las vulnerabilidades del RPC Locator y DCOM RPC.

svchosts.exe Lo instala el virus Sdbot-N. Es un troyano backdoor que permite a un usuario remoto controlar nuestra máquina a través del IRC. Se ejecuta en background, y trata de conectarse a un canal específico de un servidor de IRC y luego queda a la escucha de ciertos comandos para llevar a cabo sus correspondientes acciones.

svshost.exe Lo instala el virus Worm.P2P.Spybot.gen



fuente
http://www.wininfo.com.ar/svchost.html
0
0
0
2
0No comments yet