http://www.elhacker.net/archivo-SVCHOST.html http://repair-svchost.org/ El misterioso archivo SVCHOST.exe El archivo Svchost.exe se encuentra en la carpeta C:\WINDOWS\system32\svchost.ex e en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.

Al iniciarse, Svchost.exe comprueba la parte de servicios del Registro para elab orar la lista de servicios que necesita cargar. Se pueden ejecutar mltiples insta ncias de Svchost.exe al mismo tiempo. Cada sesin de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autnomos, en funcin de cmo y cundo se inici Svchost.exe. Esto permite un control mejor y una depuracin ms sencilla. Los grupos Svchost.exe estn identificados en la siguiente clave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost Cada valor contenido en esta clave representa un grupo Svchost distinto y se mue stra como un ejemplo independiente cuando se consultan los procesos activos. Cada valor es un valor REG_MULTI_SZ que contiene los servicios que se ejecutan e n el grupo Svchost. Cada grupo Svchost puede contener uno o varios nombres de se rvicio que se extraen de la siguiente clave del Registro, cuya clave Parmetros co ntiene un valor ServiceDLL: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Nombre del Servicio Por esta razon, suele aparecer varias veces en la lista de procesos en ejecucion . Para ver la lista de servicios que se ejecutan en Svchost y los otros procesos: 1. Haga clic en el boton Inicio en la barra de tareas de Windows y, a continu acin, en Ejecutar. 2. En el cuadro de dilogo Abrir, escriba CMD y, a continuacin, presione la tecl a Enter. 3. Ahora en la ventana de la consola de comandos, escriba: Tasklist /SVC ... y a continuacin, presione Enter. Te aparecer un listado de los procesos activos y los servicios del sistema asocia dos con dichos procesos "si los hay" (en caso contrario muestra N/D, no disponib le). Tasklist muestra una lista de los procesos activos. El modificador /SVC muestra la lista de servicios activos para cada proceso. Si tienes Windows XP Professional y quieres obtener ms informacion sobre los serv icios que el proceso SVCHOST est ejecutando en estos momentos haz esto: 1. Haga clic en el boton Inicio en la barra de tareas de Windows y, a continu acin, en Ejecutar. 2. En el cuadro de dilogo Abrir, escriba CMD y, a continuacin, presione la tecl a Enter. 3. Ahora en la ventana de la consola de comandos, escriba:

tasklist /svc /fi "imagename eq svchost.exe" ... y a continuacin, presione Enter. En este caso se mostrarn slo los procesos SVCHOST.exe y sus servicios asociados. Y la respuesta a la tpica pregunta de si hay que cerrar o eliminar el proceso SVC HOST, NO! no hay que tocarlo, este programa es importante para estabilidad y seg uridad de su sistema y no deberia ser terminado. Uso de recursos del sistema Uso de memoria: SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema. SVCHOST.EXE puede aparecer listado en la lista de procesos muchas veces por cada servicio que ste tenga activos. Uso de procesador: El uso de procesador por parte de SVCHOST.EXE no debe ser mas de 20% en algunos casos, (en mi caso personal en este momento solo un 0%) ste uso de CPU no debe se r permanente, o sea no debe ocupar CPU en todo momento a menos que en tu sistema se est ejecutando alguna aplicacion de red crtica que siginifique el uso de todos estos recursos en todo momento, si no es as, sospecha de que estas siendo atacad o externamente por algun bicho que aprovecha la vulnerabilidad RPC. (ms abajo) SVCHOST, los puertos que abre y su configuracion con Firewalls Como vimos anteriormente, SVCHOST.exe puede aparecer varias veces cargado en el sistema, de hecho, mientras escribo ste artculo, SVCHOST.exe aparece en la lista d e procesos 6 veces, ocupando algo as como 45MB de memoria, este aparece cargando los servicios DcomLaunch, TermService, RpcSs,AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, rasAuto, RasMan, Schedule, seclogo n, SENS, SharedAccess, ShellHWDetection, Tapisrvc, Themes, trkWks, winmgmt, wscs vc, wuauserv, WZCSVC, LmHosts, SSDPSRV, upnphost, WebClient, stisvc y HTTPFilter , pero, como si fuera poco, si tienes un Firewall, y alguna vez has visto listad os los puertos que el proceso SVCHOST.exe tiene para s, encontraras que SVCHOST.e xe es el responsable de tener abiertos varios puertos del sistema. "SVCHOST.exe no solo es el responsable de cargar varios servicios, tambien abre numerosos puertos de conexion a nuestro sistema." En mi caso, SVCHOST.exe tiene abiertos los siguientes puertos: Con protocolo TCP: 135 y 2869 Con protocolo UDP: 53, 1035, 1036, 1900, 2030 y 3031 Cuando estes en busca de procesos maliciosos como Adware, software espa, etc, pue des confiar en que los puertos abiertos relacionados con SVCHOST.exe no han sido abiertos con mala intencion. Claro que ataques externos en contra de esos puert os (por ejemplo: Ataques a Llamadas a Procedimiento Remoto RPC "call RPC attacks" en contra del puerto 135) no se pueden descartar. En el mundo de los Firewalls, al proceso del archivo SVCHOST.exe, se le conoce c omo [GENERIC HOST PROCESS FOR WIN32 SERVICES].

La mayora de los Firewalls traen reglas predefinididas cuando las conexiones son de salida, pero cuando hay peticiones entrantes, toca definir dos reglas: Si el protocolo es TCP Si la conexion es de tipo ENTRADA BLOQUEAR Si el protocolo es UDP Si la conexion es de tipo ENTRADA BLOQUEAR Hay casos raros, muy raros... en que las reglas predefinidas de conexiones de sa lida no son suficientes, si este es su caso, (si experimenta momentos en que el Firewall le pregunta sobre que una aplicacion solicita conexion de salida usando protocolo TCP), convendra definir esta regla: Si el protocolo es TCP Si la conexion es de tipo SALIDA BLOQUEAR Ataques a tu sistema mediante RPC El Proceso Archivo SVCHOST consume 100% CPU Si experimentas problemas de lentitud, y notas que el proceso SVCHOST.exe est con sumiendo recursos de CPU de forma excesiva y sin control, es muy probable que es tes siendo objeto de ataques mediante la vulnerabilidad conocida del RPC. Mediante dicha vulnerabilidad, existen y continuan apareciendo infinidad de bich os que aprovechan este agujero para insertarse en tu sistema y empezar a hacer t odo tipo de travesuras, bicho que normalmente se conoce como msblaster o alguna mutacion. Si crees estar siendo vctima del MS Blaster o alguna de sus miles de mutaciones: Inmediatamente ve descargando e instalando los dos parches para el Agujero del L SASS y el RPC/DCOM Cuando los instales, reinicias, te conectas a Internet y compruebas si el uso de CPU del archivo SVCHOST.EXE es ahora normal. Si no lo es, y notas que continua igual que antes, entonces publica el registro detallado de las aplicaciones de t u sistema usando la aplicacion, HIJACKTHIS. IMPORTANTE: Si lo que tienes es el gusano, con el antivirus NO BASTA, tienes que parchear el error (con el parche RPC, que corrige el agujero de una vez por todas) porque e xisten infinidad de bichos que aprovechan ese agujero pero que utilizan otro nom bre, por lo que si el Antivirus no es tan potente, desconocer las nuevas mutacion es. Para tener claro... * El archivo se llama SVCHOST.exe, no confundir con virus que se hacen llama r SVHOST.exe o SVCSHOST.exe, etc. * Este archivo SVCHOST.exe slo debe aparecer en Windows 2000 y XP. * Su ubicacion debe ser C:\WINDOWS\system32\svchost.exe en Windows XP y C:\W INNT\system32\svchost.exe en Windows 2000. * No importa si SVCHOST.EXE aparece repetido varias veces en la lista de pro

cesos, esto es normal. * SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema . Solo preocpate si el uso de procesador por parte de SVCHOST.EXE es excesivo, no debe ser mas de 20% en algunos casos. (en mi caso personal solo un 1%) El uso d el CPU es aleatorio y circunstancial, no debe ocupar CPU en todo el momento, si es as, sospecha de que estas siendo atacado externamente por algun bicho que apro vecha la vulnerabilidad RPC.

* * * * * *

Atajos Atajos Trucos Trucos Manual Manual

de Teclado en Windows de Teclado en Word Visual Basic I Visual Basic II C# VB.NET

Todo sobre Windows Procesos del Administrador de Tareas del XP El proceso SVCHOST.EXE La consola de Recuperacin del XP Para que sirve el archivo Pagefile.sys Reparar el Registro del XP Explicacin de un archivo DLL Diferencias entre Windows XP Home y Professional Faq Errores Windows Conectividad limitada o nula Tabla Errores Windows Lmite de 10 conexiones en Windows XP + SP2 Recuperar Sistema XP Mens Ocultos del Windows XP Reparar "Restaurar Sistema" XP Servicios del Windows XP Desactivar "Restaurar Sistema" XP Cmo leer pantallazos azules Caractersticas Windows XP-Vista Starter Archivo-Fichero HOSTS (restaurar-editar) Atajos de Teclado Windows Compartir Conexin a Internet en Windows