Procesos de Windows

Aqui te damos la oportunidad de aprender con todo el material publicado.
Responder
Avatar de Usuario
Menfis
Mensajes: 2894
Registrado: Sab May 17, 2008 5:14 pm

Procesos de Windows

Mensaje por Menfis »

Procesos del Sistema Windows

svhost.exe

Svchost.exe es un proceso que al iniciarse, comprueba la parte de servicios del registro para elaborar la lista de los que necesita cargar. Se pueden ejecutar múltiples instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autónomos en función de cómo y cuándo se inició Svchost.exe.
El Uso de memoria puede llegar a ocupar hasta unos 60MB y puede aparecer muchas veces en la lista de procesos según cuantos servicios estén activos. En lo referente al cpu, el uso de procesador por parte de SVCHOST.EXE no debe ser mas de 20% en algunos casos, pero éste uso de CPU no debe ser permanente, o sea no debe ocupar CPU en forma constante, a menos que en tu sistema se esté ejecutando alguna aplicación de red crítica que signifique el uso de todos estos recursos en todo momento. Si no es así, sospecha de que estas siendo atacado externamente por algún código maligno o malware, que aprovecha la vulnerabilidad ofrecida por el proceso.
Para comprender un poco la vulnerabilidad a que se hace referencia, pensemos que SVCHOST.exe no solo es el responsable de cargar varios servicios, sino que también abre numerosos puertos de conexión a nuestro sistema por medio de los cuales pueden ingresar estas amenazas. Los puertos abiertos relacionados con SVCHOST.exe no han sido abiertos con mala intención. Pero es claro que los ataques externos en contra de esos puertos no se pueden descartar.
Si experimentas problemas de lentitud y notas que el proceso SVCHOST.exe está consumiendo recursos de CPU de forma excesiva y sin control, es muy probable que estés siendo objeto de ataques mediante la vulnerabilidad aludida.
Como consecuencia de esta vulnerabilidad, pueden aparecer infinidad de malwares que la aprovechan para insertarse en tu sistema, entre ellos el que normalmente se conoce como msblaster o alguna mutación


spoolsv.exe

spoolsv.exe es un poroceso que pertenece a Windows y que se encarga de compartir los procesos de impresión de las impresoras locales a través de una red de área local. ATENCIÓN: spoolsv.exe también es el nombre con el que se camufla el virus troyano Backdoor.Ciadoor.B. Si el proceso en cuestión se encuentra dentro del directorio System32 se trata del proceso inofensivo de Windows, si por el contrario se encuentra en cualquier otra localización (incluyendo el directori raiz de Windows) sería el virus. Este virus troyano permite el acceso a su equipo a usuarios malintencionados poniendo en peligro la seguridad de sus datos y de su sistema en general. Se trata de un proceso categorizado como de riesgo que debe ser eliminado del sistema inmediatamente. Cierre el proceso y bloquéelo para evitar futuras ejecuciones. A continuación actualice las definiciones de su software antivirus y antiespías y escanee el sistema pare eliminar la amenaza.
spoolsv.exe es un proceso que esta registrado como Servicio de cola de Impresión de Windows. Este tipo de ficheros, que terminan convirtiendose normalmente en spyware o virus cuando aterrizan en nuestro PC en muchas ocasiones se diferencian del fichero original que no es una amenaza, porque se localizan en otros directorios y presentan una firma digital diferente. Por eso es necesario para determinar si se trata de la amenaza o no, realizar un analisis con la herramienta de deteccion


lsass.exe

Bueno primero que nada el proceso Lsass.exe (Local Security Authority Service) es un proceso legitimo de Windows, el cual controla varias tareas criticas de seguridad.

Por ende si lo tenes funcionando es normal,

AHORA si ves que consume muchos recursos o se te esta reseteando la maquina o si haces una búsqueda en tu Windows se encuentra el archivo Lsass.exe en otras carpetas aparte de la original (system32) puede de que estés infectado por alguno de estos virus que explotan esa vulnerabilidad (Sasser, Cycle, Bobax, Korgo etc.)
Te recomiendo que instales este parche de Windows el cual corrige el problema del lsass


Microsoft Security Bulletin MS04-011 http://www.microsoft.com/technet/securi ... 4-011.mspx


smss.exe

1. smss.exe es un proceso que se encuentra en los sistemas operativos Windows 2000, NT4 y XP.

Smss.exe es el Subsistema Administrador de Sesiones (Session Manager Subsystem) y es un proceso esencial para el sistema.

Este proceso es el responsable de iniciar la sesión de usuario en Windows. Se encarga de cargar los procesos Winlogon y el Win32 (Csrss.exe).

2. Existen programas malignos que emplean el mismo nombre o similar para pasar desapercibidos. Por ejemplo, el troyano Borobot-K que borra el archivo AUTORUN.INF e intenta desactivar el firewall de Windows.

Otros programas malignos con el mismo nombre son:
W32.Dalbug.Worm
Adware.DreamAd
W32.Resdoc
Adware.Advision
Backdoor.IRC.Flood.F
Backdoor.IRC.Aladinz.O


csrss.exe

csrss.exe es el Client Server Runtime SubSystem, proceso de algunas versiones del sistema operativo Windows.
Cuando una aplicacion hace una llamada al API Win32, este usa csrss.exe, el cual la comunica con el núcleo del sistema operativo para ejecutar el API.
En general, se trata de un proceso normal en algunas versiones de Windows, de todas maneras, muchos programas malignos pueden emplear el mismo nombre (o un nombre similar) para camuflarse y pasar desapercibidos.
De hecho, existen el troyano CSRSS.EXE (csrss.exe en mayúsculas) y el gusano W32.Netsky.AB, que utilizan el mismo nombre para intentar pasar desapercibidos.


STORE.exe

store.exe es un proceso relacionado con el sistema de optimización del uso de memoria de Outlook Exchange. Se trata de un proceso categorizado como de no riesgo y cuyo funcionamiento no es esencial para la estabilidad del sistema. No es necesario ni recomendable realizar ninguna acción de protección, cierre y/o bloqueo a no ser que se sepa que el proceso está ocasionando problemas o la inestabilidad del sistema.

store.exe es un proceso que esta registrado como Componente de Exchange. Este tipo de ficheros, que terminan convirtiendose normalmente en spyware o virus cuando aterrizan en nuestro PC en muchas ocasiones se diferencian del fichero original que no es una amenaza, porque se localizan en otros directorios y presentan una firma digital diferente. Por eso es necesario para determinar si se trata de la amenaza o no, realizar un analisis con la herramienta de deteccion.



MDM.exe:

1. (Machine Debug Manager). mdm.exe es un archivo y proceso asociado al Sistema de Depuracion de Procesos de Microsoft Windows.
Es un proceso que no es necesario si no se quiere depurar errores de las aplicaciones de Windows, y puede ser terminado y deshabilitado del inicio a través de MSConfig.
2. Hay registros de programas malignos que utilizan el mismo nombre para pasar desapercibidos.



wdfmgr.exe

wdfmgr.exe es parte de Microsoft Windows Media Player 10 y arriba. Este proceso disminuye problemas de la compatibilidad mientras que el producto es funcionando. el Este programa es un proceso no esencial, pero no debe ser terminado a menos que esté sospechado para causar problemas.
Arriba
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Procesos de Windows

Mensaje por paulofutre »

Buen aporte. Bien explicado.
Muchas gracias. Saludos.
Saludos y ♪Forzatleti♫
Arriba
Responder

Volver a “Manuales, Cursos, Guias, Tutoriales, Trucos de Computacion e Informatica”