4 votos

Sospechoso Svchost

Me parece que muchas instancias conectado a través de tantos como 7 puertos en mi sistema cuando abrí TCPView (Sysinternals). Podría ser a causa de un malware? Cómo encontrar sin herramientas Antivirus.

4voto

Brian Vallee Puntos 61

Que no cunda el Pánico! (sin embargo) Svchost puede tener varias instancias.

En el inicio, Svchost.exe comprueba la parte de servicios del registro para elaborar una lista de los servicios que debe cargar. Varias instancias de Svchost.exe se pueden ejecutar al mismo tiempo. Cada Svchost.exe sesión puede contener una agrupación de servicios. Por lo tanto, se pueden ejecutar distintos servicios, dependiendo de cómo y dónde Svchost.exe se inicia. Esta agrupación de servicios permite un mejor control y más fácil de depurar.

Usted puede leer un poco más en el HowToGeek página,
Svchost Visor Muestra Exactamente Lo que Cada uno svchost.exe la Instancia está Haciendo

3voto

Funkatron Puntos 757

Este hecho podría ser el resultado de malware. Svchost.exe es usado comúnmente para generar procesos de malware. En algunos casos svchost en realidad puede hacer que sea difícil encontrar el programa de ofensas sin bucear en un buen poco de detalle.

TCPView es útil para ver qué procesos están hablando a través del cable, Process Explorer tiene un I/O de la historia de la ficha que también es muy útil para este proceso. También recomiendo el uso de filemon para determinar qué archivos están abiertos. Malware, en muchos casos, el intento de impedir la eliminación/modyfying su tiempo de ejecución mediante el bloqueo de los archivos.

El Pid puede ser útil en la determinación de que los procesos generados por otros procesos.

Generalmente cuando llego a este punto yo ya sospecha que hay malware y me matan los procesos de una en una hasta encontrar el programa de ofensas. Si el programa está hablando a través del cable, entonces una buena indicación de que han finalizado el programa adecuado sería el cese de sospechosos de tráfico de la red. Algunos programas de malware está diseñado para comportarse muy mal, por lo que en estos casos, no es difícil de detectar. Procesos que no consume todos los recursos del sistema y no son "llamar a casa" a través de internet son los más difíciles de encontrar en la naturaleza.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: