El archivo Svchost.exe se encuentra en la carpeta C:WINDOWSsystem32svchost.exe en Windows XP y C:WINNTsystem32svchost.exe en Windows 2000.
Al iniciarse, Svchost.exe comprueba la parte de servicios del Registro para elaborar la lista de servicios que necesita cargar. Se pueden ejecutar múltiples instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autónomos, en función de cómo y cuándo se inició Svchost.exe. Esto permite un control mejor y una depuración más sencilla.
Los grupos Svchost.exe están identificados en la siguiente clave del Registro:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost
Cada valor contenido en esta clave representa un grupo Svchost distinto y se muestra como un ejemplo independiente cuando se consultan los procesos activos.
Cada valor es un valor REG_MULTI_SZ que contiene los servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost puede contener uno o varios nombres de servicio que se extraen de la siguiente clave del Registro, cuya clave Parámetros contiene un valor ServiceDLL:
HKEY_LOCAL_MACHINESystemCurrentControlSetServices Nombre del Servicio
Por esta razon, suele aparecer varias veces en la lista de procesos en ejecucion.
Para ver la lista de servicios que se ejecutan en Svchost y los otros procesos:
Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.
Ahora en la ventana de la consola de comandos, escriba:
Tasklist /SVC
... y a continuación, presione Enter.
Te aparecerá un listado de los procesos activos y los servicios del sistema asociados con dichos procesos "si los hay" (en caso contrario muestra N/D, no disponible).
Tasklist muestra una lista de los procesos activos. El modificador /SVC muestra la lista de servicios activos para cada proceso.
Si tienes Windows XP Professional y quieres obtener más informacion sobre los servicios que el proceso SVCHOST está ejecutando en estos momentos haz esto:
Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.
Ahora en la ventana de la consola de comandos, escriba:
tasklist /svc /fi "imagename eq svchost.exe"
... y a continuación, presione Enter.
En este caso se mostrarán sólo los procesos SVCHOST.exe y sus servicios asociados.
Y la respuesta a la típica pregunta de si hay que cerrar o eliminar el proceso SVCHOST, NO! no hay que tocarlo, este programa es importante para estabilidad y seguridad de su sistema y no deberia ser terminado.
Uso de recursos del sistema
Uso de memoria:
SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema.
SVCHOST.EXE puede aparecer listado en la lista de procesos muchas veces por cada servicio que éste tenga activos.
Uso de procesador:
El uso de procesador por parte de SVCHOST.EXE no debe ser mas de 20% en algunos casos, (en mi caso personal en este momento solo un 0%) éste uso de CPU no debe ser permanente, o sea no debe ocupar CPU en todo momento a menos que en tu sistema se esté ejecutando alguna aplicacion de red crítica que siginifique el uso de todos estos recursos en todo momento, si no es así, sospecha de que estas siendo atacado externamente por algun bicho que aprovecha la vulnerabilidad RPC. (más abajo)
SVCHOST, los puertos que abre y su configuracion con Firewalls
Como vimos anteriormente, SVCHOST.exe puede aparecer varias veces cargado en el sistema, de hecho, mientras escribo éste artículo, SVCHOST.exe aparece en la lista de procesos 6 veces, ocupando algo así como 45MB de memoria, este aparece cargando los servicios DcomLaunch, TermService, RpcSs,AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, rasAuto, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, Tapisrvc, Themes, trkWks, winmgmt, wscsvc, wuauserv, WZCSVC, LmHosts, SSDPSRV, upnphost, WebClient, stisvc y HTTPFilter, pero, como si fuera poco, si tienes un Firewall, y alguna vez has visto listados los puertos que el proceso SVCHOST.exe tiene para sí, encontraras que SVCHOST.exe es el responsable de tener abiertos varios puertos del sistema.
Al iniciarse, Svchost.exe comprueba la parte de servicios del Registro para elaborar la lista de servicios que necesita cargar. Se pueden ejecutar múltiples instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autónomos, en función de cómo y cuándo se inició Svchost.exe. Esto permite un control mejor y una depuración más sencilla.
Los grupos Svchost.exe están identificados en la siguiente clave del Registro:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost
Cada valor contenido en esta clave representa un grupo Svchost distinto y se muestra como un ejemplo independiente cuando se consultan los procesos activos.
Cada valor es un valor REG_MULTI_SZ que contiene los servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost puede contener uno o varios nombres de servicio que se extraen de la siguiente clave del Registro, cuya clave Parámetros contiene un valor ServiceDLL:
HKEY_LOCAL_MACHINESystemCurrentControlSetServices Nombre del Servicio
Por esta razon, suele aparecer varias veces en la lista de procesos en ejecucion.
Para ver la lista de servicios que se ejecutan en Svchost y los otros procesos:
Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.
Ahora en la ventana de la consola de comandos, escriba:
Tasklist /SVC
... y a continuación, presione Enter.
Te aparecerá un listado de los procesos activos y los servicios del sistema asociados con dichos procesos "si los hay" (en caso contrario muestra N/D, no disponible).
Tasklist muestra una lista de los procesos activos. El modificador /SVC muestra la lista de servicios activos para cada proceso.
Si tienes Windows XP Professional y quieres obtener más informacion sobre los servicios que el proceso SVCHOST está ejecutando en estos momentos haz esto:
Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.
Ahora en la ventana de la consola de comandos, escriba:
tasklist /svc /fi "imagename eq svchost.exe"
... y a continuación, presione Enter.
En este caso se mostrarán sólo los procesos SVCHOST.exe y sus servicios asociados.
Y la respuesta a la típica pregunta de si hay que cerrar o eliminar el proceso SVCHOST, NO! no hay que tocarlo, este programa es importante para estabilidad y seguridad de su sistema y no deberia ser terminado.
Uso de recursos del sistema
Uso de memoria:
SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema.
SVCHOST.EXE puede aparecer listado en la lista de procesos muchas veces por cada servicio que éste tenga activos.
Uso de procesador:
El uso de procesador por parte de SVCHOST.EXE no debe ser mas de 20% en algunos casos, (en mi caso personal en este momento solo un 0%) éste uso de CPU no debe ser permanente, o sea no debe ocupar CPU en todo momento a menos que en tu sistema se esté ejecutando alguna aplicacion de red crítica que siginifique el uso de todos estos recursos en todo momento, si no es así, sospecha de que estas siendo atacado externamente por algun bicho que aprovecha la vulnerabilidad RPC. (más abajo)
SVCHOST, los puertos que abre y su configuracion con Firewalls
Como vimos anteriormente, SVCHOST.exe puede aparecer varias veces cargado en el sistema, de hecho, mientras escribo éste artículo, SVCHOST.exe aparece en la lista de procesos 6 veces, ocupando algo así como 45MB de memoria, este aparece cargando los servicios DcomLaunch, TermService, RpcSs,AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, rasAuto, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, Tapisrvc, Themes, trkWks, winmgmt, wscsvc, wuauserv, WZCSVC, LmHosts, SSDPSRV, upnphost, WebClient, stisvc y HTTPFilter, pero, como si fuera poco, si tienes un Firewall, y alguna vez has visto listados los puertos que el proceso SVCHOST.exe tiene para sí, encontraras que SVCHOST.exe es el responsable de tener abiertos varios puertos del sistema.