Analisando os processos svchost.exe
- Categoria: Janelas
Mais de uma vez me perguntei por que tinha tantos processos svchost.exe em execução ao abrir o gerenciador de tarefas que não exibia nenhuma informação adicional além do nome e informações básicas.
Eu precisava de outro software que me ajudasse a analisar os processos svchost.exe e determinar se eles eram realmente necessários ou mesmo maliciosos.
O primeiro passo foi baixar o excelente Process Explorer de Sysinternals. Este programa fornece informações detalhadas sobre todos os processos atualmente em execução no sistema, incluindo serviços e arquivos que dependem deles, bem como o caminho para o arquivo no sistema operacional.
Todos os processos em execução no sistema são exibidos no Process Explorer após iniciar o aplicativo. Pressione CTRL + L para exibir um painel na parte inferior que exibe informações abrangentes sobre o processo selecionado. Mover o mouse sobre o processo também exibe informações, mas não em profundidade como o painel inferior.
Vamos dar uma olhada rápida no que Wikipedia tem a dizer sobre svchost.exe
No software, Svchost.exe é um nome de processo de host genérico para serviços executados a partir de bibliotecas de vínculo dinâmico (DLLs) em versões modernas do sistema operacional Microsoft Windows.
Na inicialização, o Svchost.exe verifica a parte de serviços do registro para construir uma lista de serviços que deve carregar. Várias instâncias do Svchost.exe podem ser executadas ao mesmo tempo. Cada sessão Svchost.exe pode conter um agrupamento de serviços. Portanto, serviços separados podem ser executados, dependendo de como e onde o Svchost.exe é iniciado. Esse agrupamento de serviços permite melhor controle e depuração mais fácil, mas também causa alguma dificuldade para usuários finais que desejam ver o uso de memória ou a legitimidade do fornecedor de serviços e processos individuais.
A última frase explica basicamente o dilema em que nós - os usuários - estamos. Como podemos descobrir se um processo svchost.exe é legítimo e necessário ou um desperdício de memória, poder de processamento ou mesmo malicioso?
Vou explicar como você pode descobrir com uma boa certeza se o processo é necessário ou não. De volta ao Process Explorer.
Passe o mouse sobre o primeiro processo svchost e dê uma olhada no que ele está dizendo. Ele deve exibir o caminho mais os serviços que iniciaram este processo svchost.
Meu primeiro serviço foi o serviço HTTP SSL que estava sendo executado em meu sistema. Um serviço que não é necessário em meu sistema. A princípio pensei que tinha algo a ver com a capacidade de abrir sites https, mas não é o caso. Completamente inútil para usuários finais. Abri services.msc, interrompi o serviço e também o configurei como desativado.
O processo svchost desapareceu no Process Explorer. Para testar se tudo ainda estava funcionando, abri uma url https no Firefox que estava funcionando perfeitamente.
O próximo processo svchost.exe estava em execução por causa do serviço Windows Image Acquisition. Tenho uma câmera que usa esse serviço, mas raramente transfiro fotos dela para o meu sistema. Decidi desativar e interromper este serviço também e ativá-lo sempre que quiser transferir imagens. E puff lá desapareceu o segundo processo svchost.
Passei por todo o processo svchost usando a mesma metodologia: passe o mouse sobre ele, digite o serviço em questão em um mecanismo de busca, leia sobre ele e tome uma decisão se realmente preciso dele. Os usuários que desejam estar no lado seguro interrompem o serviço e testam se tudo ainda está funcionando normalmente. Eles podem, alternativamente, definir o serviço como manual se os primeiros testes forem bem-sucedidos e, posteriormente, como desativado.
Um bom recurso para informações de serviço é Black Viper .