Svchost.exe en Windows XP

El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%\System32.

Al iniciarse, Svchost.exe comprueba la parte de servicios del Registro para elaborar la lista de servicios que necesita cargar. Se pueden ejecutar múltiples instancias de Svchost.exe al mismo tiempo.

Cada sesión de Svchost.exe puede contener conjunto de servicios, para que se puedan ejecutar servicios autónomos, en función de cómo y cuándo se inició Svchost.exe. Esto permite un control mejor y una depuración más sencilla.

Los grupos Svchost.exe están identificados en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Cada valor contenido en esta clave representa un grupo Svchost distinto y se muestra como un ejemplo independiente cuando se consultan los procesos activos.

Cada valor es un valor REG_MULTI_SZ que contiene los servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost puede contener uno o varios nombres de servicio que se extraen de la siguiente clave del Registro, cuya clave Parámetros contiene un valor ServiceDLL:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Servicio

Para ver la lista de servicios que se ejecutan en Svchost:

1. Haga clic en Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
2. En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione ENTRAR.
3. Escriba Tasklist /SVC y, a continuación, presione ENTRAR.

Tasklist muestra una lista de los procesos activos. El modificador /SVC muestra la lista de servicios activos en cada proceso. Para obtener más información acerca de un proceso, escriba el siguiente comando y presione ENTRAR:
Tasklist /FI “PID eq IdDeProceso “ (con las comillas).

El siguiente ejemplo del resultado de Tasklist muestra dos instancias de Svchost.exe que se están ejecutando:

Image Name      PID     Services
========================================================================

System Process      0     N/A

System     8      N/A

Smss.exe      132      N/A

Csrss.exe     160     N/A

Winlogon.exe     180     N/A
Lsass.exe    220    Netlogon,PolicyAgent,SamSs

Svchost.exe     404      RpcSs

Spoolsv.exe     452     Spooler

Cisvc.exe     544     Cisvc

Svchost.exe      556     EventSystem, Netman, NtmsSvc,RasMan, SENS, TapiSrv
Regsvc.exe    580     RemoteRegistry
Mstask.exe    596    Schedule

Snmp.exe     660    SNMP
Winmgmt.exe    728     WinMgmt
Explorer.exe    812    N/A

Cmd.exe     1300     N/A

Tasklist.exe    1144      N/A

Services.exe     208     AppMgmt, Browser, Dhcp, Dmserver, Dnscache, Eventlog, LanmanServer, LanmanWorkstation, LmHosts,Messenger, PlugPlay, ProtectedStorage,

Seclogon,TrkWks, W32Time,Wmi

La configuración del Registro para los dos grupos de este ejemplo es la siguiente:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost:
Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs