Analizando los procesos svchost.exe

Más de una vez me pregunté por qué tenía tantos procesos svchost.exe ejecutándose al abrir el administrador de tareas que no mostraba información adicional además del nombre y la información básica.

Necesitaba otro software que me ayudara a analizar los procesos svchost.exe y determinar si eran realmente necesarios o incluso si eran maliciosos.



El primer paso fue descargar el excelente Explorador de procesos de Sysinternals. Este programa brinda información detallada sobre todos los procesos que se ejecutan actualmente en el sistema, incluidos los servicios y archivos que dependen de ellos, así como la ruta al archivo en el sistema operativo.

Todos los procesos que se ejecutan en el sistema se muestran en el Explorador de procesos después de iniciar la aplicación. Presione CTRL + L para mostrar un panel en la parte inferior que muestra información extensa sobre el proceso seleccionado. Al mover el mouse sobre el proceso, también se muestra información, pero no en profundidad como lo hace el panel inferior.

svchost process

Echemos un vistazo rápido a lo que Wikipedia tiene que decir sobre svchost.exe



En el software, Svchost.exe es un nombre de proceso de host genérico para servicios que se ejecutan desde bibliotecas de vínculos dinámicos (DLL) dentro de las versiones modernas del sistema operativo Microsoft Windows.

Al inicio, Svchost.exe comprueba la parte de servicios del registro para construir una lista de servicios que debe cargar. Se pueden ejecutar varias instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por lo tanto, se pueden ejecutar servicios separados, según cómo y dónde se inicie Svchost.exe. Esta agrupación de servicios permite un mejor control y una depuración más sencilla, pero también genera algunas dificultades para los usuarios finales que desean ver el uso de memoria o la legitimidad del proveedor de servicios y procesos individuales.

La última frase explica prácticamente el dilema en el que nosotros, los usuarios, estamos. ¿Cómo podemos averiguar si un proceso svchost.exe es legítimo y necesario o una pérdida de memoria, capacidad de procesamiento o incluso malicioso?

Te voy a explicar cómo puedes saber con certeza si el proceso es necesario o no. Volver a Process Explorer.

Pase el mouse sobre el primer proceso svchost y observe lo que dice. Debería mostrar la ruta más los servicios que iniciaron este proceso svchost.

Mi primer servicio fue el servicio HTTP SSL que se estaba ejecutando en mi sistema. Un servicio que no es necesario en absoluto en mi sistema. Primero pensé que tenía algo que ver con la capacidad de abrir sitios web https, pero este no es el caso. Totalmente inútil para los usuarios finales. Abrí services.msc y detuve el servicio y también lo configuré como deshabilitado.

El proceso svchost desapareció en Process Explorer. Para probar que todo seguía funcionando, abrí una URL https en Firefox que funcionaba perfectamente.

El siguiente proceso svchost.exe se estaba ejecutando debido al servicio Adquisición de imágenes de Windows. Tengo una cámara que utiliza este servicio, pero rara vez transfiero imágenes de la cámara a mi sistema. Decidí desactivar y detener este servicio también y activarlo cada vez que quiera transferir imágenes. Y puff desapareció el segundo proceso svchost.

Pasé por todo el proceso de svchost usando la misma metodología: coloque el mouse sobre él, escriba el servicio en cuestión en un motor de búsqueda, lea sobre él y tome una decisión si realmente lo necesitaba. Los usuarios que quieren estar seguros detienen el servicio y prueban si todo sigue funcionando como de costumbre. Alternativamente, podrían configurar el servicio en manual si las primeras pruebas son exitosas y luego se deshabilitan.

Un buen recurso para obtener información de servicio es Víbora negra.