Como averiguar los servicios que se esconden bajo el proceso Svchost.exe.
|
Svchost.exe es para muchos el proceso más misterioso de Windows. Svchost.exe es un nombre de proceso de host genérico para servicios que se ejecutan desde bibliotecas de vínculos dinámicos (DLL). El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%System32.
Durante el inicio, Svchost.exe examina la parte de servicios del Registro para elaborar una lista de los servicios que hay que cargar. Es posible que el sistema ejecute varias instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe.
Los grupos de Svchost.exe se pueden identificar en la siguiente clave del Registro:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost
Algunos gusanos se aprovechan de este proceso para camuflarse en el sistema y no ser detectados con una simple exploración de procesos. Existe malware que utiliza esta técnica de camuflaje como los gusanos: Jeefo, Welchia, Assarm y más recientemente el Conficker.
Con la herramienta gratuita Svchost Process Analyzer podemos enumerar todos los procesos svchost del sistema y comprobar los servicios que contienen. Aunque existe una forma de comprobarlo, en la consola de comandos mediante las ordenes: “Tasklist /SVC” y “Tasklist /FI «PID eq IdDeProceso» (con las comillas)”. Se obtiene más información y más concisa con Svchost Process Analyzer.
Esta herramienta está disponible para: Windows 8, 7, Vista, XP, 2000, 2003 y 2008 (32/64 Bit). Para un correcto uso de este analizador del proceso svchost, es preciso ejecutarlo con una cuenta de administrador del sistema.
Más información y descarga de Svchost Process Analyzer:
http://www.neuber.com/free/svchost-analyzer/index.html
Descripción de Svchost.exe en Windows:
http://support.microsoft.com/kb/314056/es
Herramientas para la detección y desinfección del virus Conficker:
http://vtroger.blogspot.com/2009/04/herramientas-para-la-deteccion-y.html
Hola
El Svchost.exe siempre ha sido un proceso del no he encontrado mucha información, gracias a tu articulo tengo claro para que sirve y como detectar virus como el Conficker. Muchas gracias y sigue publicando.
Saludos
Yo creo que la forma mas fácil de identificarlo es con Proccess Explorer ver que sea el svchost.exe de System32. No hace falta mas.
El malware que usa ese nombre se encontrará en otra ruta por narices, ¿no?
Otra opción es que se halla inyectado en el svchost.exe real, pero ahí ya hay que aplicar otros programas para detectarlo.
Hola
El virus Conficker no crea otro svchost.exe utiliza el del sistema para cargarse que es de lo que se habla en el post no se habla de un svchost.exe con otra ruta evidentemente sería fácil de detectar. Con Svchost Process Analyzer se puede saber que carga el svchost.exe del sistema.
Un saludo
Excelente la ayuda, pero igual como se puede identificar si hay algun proceso indebido corriendo?
Cuales son los normales?
A mi me salen:
AudioSrv, BITS, Browser, CryptSync, Dhcp, dmserver, EventSystem, hkmsvc, LanmanServer, lanmanworkstation, Netman, Nla, RasAuto, RasMan, Schedule, SENS, SharedAccess, ShellHWDetection, srservice, TapiSrv, Themes, TrkWks, winmgmt, wuauserv
Hola, mi nombre es Giancarlo Granda. Estaba revisando tu blog y me parece muy interesante. Me gustaría saber si estarías interesado en poner un enlace hacia mi página. A cambio podría ofrecerte un enlace en mi página:
http://www.TecnologiaPC.Net
Somos expertos en tecnologia informática: hardware, software, sistemas operativos, soporte técnico, redes, programación y mucho mas!
Si aceptas, me gustaría que te comuniques conmigo al correo: giagranda@TecnologiaPC.Net.
Quedo a la espera de tu respuesta.
Slds,
Giancarlo Granda
Equiman
Los procesos normales que carga Svchost.exe dependen de la configuración del sistema, te recomiendo que busques la información sobre cada proceso usando este post:
Como obtener información de los procesos que corren en Windows.
http://vtroger.blogspot.com/2007/08/como-obtener-informacin-procesos-que.html
Un saludo
Me pregunto como habran programado los crackers el Conficker para aprovechar esta vulnerabilidad, es interesante.
El blog de Leek
.
Enhorabuena por tu blog, si quieres puedes apuntarte al directorio web/blog http://www.cincolinks.com podrás promocionar tu web, con tu ficha y tus votaciones y valoraciones, con un método de intercambio de visitas llamado 5links! con el que tu blog será visitado tanto como visites a los demas y que harán que tu blog se de a conocer por toda la red. Pásate 😉
Creo que no hay muchos blogs de las características y temática del tuyo en este directorio, me gustaría mucho que participaras.
Saludos, espero verte por http://www.cincolinks.com.
Interesante utilidad pero da fallos :S
Saludos.
Hola pdd_20
Puede ser que de fallos, a mí personalmente no me ha dado ninguno pero no lo he utilizados en muchas maquinas diferentes para poder decir que no da fallos.
Un saludo.