Svchost.exe es el proceso que siempre vemos en el administrador de tareas pero pocos sabemos lo que se esconde detrás de él. Svchost.exe es un nombre de proceso de host genérico para servicios que se ejecutan desde bibliotecas de vínculos dinámicos (DLL). Este proceso se encuentra en la carpeta %SystemRoot%\System32.

Durante el inicio, Svchost.exe examina la parte de servicios del Registro para elaborar una lista de los servicios que hay que cargar. Es posible ejecutar varias instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe. Esta agrupación de servicios permite un mejor control y una depuración más sencilla.

Los grupos de Svchost.exe se pueden identificar en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT
\CurrentVersion\Svchost

Algunos spyware aprovechan este proceso para camuflarse y no ser detectados durante la exploración de procesos. Para explorar detrás del proceso svchost.exe existe una herramienta gratuita Svchost Process Analyzer que nos permite enumerar todos los procesos de svchost.exe del sistema y comprobar los servicios que contienen. Aunque también se puede con las órdenes “Tasklist /SVC” y “Tasklist /FI “PID eq IdDelProceso”” en la consola de comandos. Pero con Svchost Process Analyzer obtenemos más información y más precisión.

Este programa está disponible para: Windows Vista, XP, 2000 y 2003. Es gratuito y sólo está disponible en inglés.

Descarga y información: http://www.neuber.com/free/svchost-analyzer/