 |
| Administrador de tareas de Windows, pestaña de "Procesos" |
El primer paso para poder ver la lista completa de los procesos que se están ejecutando en la computadora es abrir el administrador de tareas (clic derecho en la Barra de Tareas inferior de windows > clic en Iniciar el Administrador de Tareas), debe tener permisos de administrador.
Ahora, hablaremos de una lista de procesos que han sido identificados, ya sea Procesos normales de Windows o Malware:
svhost.exe:
Svchost.exe es un proceso que al iniciarse, comprueba la parte de servicios del registro para elaborar la lista de los que necesita cargar. Se pueden ejecutar
múltiples instancias de Svchost.exe al mismo tiempo. Cada sesión de
Svchost.exe puede contener un conjunto de servicios, para que se puedan
ejecutar servicios autónomos en función de cómo y cuándo se inició
Svchost.exe.
El Uso de memoria puede llegar a ocupar hasta unos 60MB y puede
aparecer muchas veces en la lista de procesos según cuantos servicios
estén activos. En lo referente al cpu, el uso de procesador por parte de
SVCHOST.EXE no debe ser mas de 20% en algunos casos, pero éste uso de
CPU no debe ser permanente, o sea no debe ocupar CPU en forma constante,
a menos que en tu sistema se esté ejecutando alguna aplicación de red
crítica que signifique el uso de todos estos recursos en todo momento.
Si no es así, sospecha de que estas siendo atacado externamente por
algún código maligno o malware, que aprovecha la vulnerabilidad ofrecida
por el proceso.
Para comprender un poco la vulnerabilidad a que se hace referencia,
pensemos que SVCHOST.exe no solo es el responsable de cargar varios
servicios, sino que también abre numerosos puertos de conexión a nuestro
sistema por medio de los cuales pueden ingresar estas amenazas. Los
puertos abiertos relacionados con SVCHOST.exe no han sido abiertos con
mala intención. Pero es claro que los ataques externos en contra de esos
puertos no se pueden descartar.
Si experimentas problemas de lentitud y notas que el proceso
SVCHOST.exe está consumiendo recursos de CPU de forma excesiva y sin
control, es muy probable que estés siendo objeto de ataques mediante la
vulnerabilidad aludida.
Como consecuencia de esta vulnerabilidad, pueden aparecer infinidad
de malware que la aprovechan para insertarse en tu sistema, entre ellos
el que normalmente se conoce como msblaster o alguna mutación…..
usnsvc.exe:
Messenger Sharing USN Journal Reader Service (usnsvc.exe) es el Messenger Sharing USN Journal Reader Service de Microsoft perteneciente al MSN Messenger.
usnsvc.exe se encarga de la herramienta de compartir carpetas y la sincronización.
spoolsv.exe
spoolsv.exe es un proceso que pertenece a Windows y que se encarga
de compartir los procesos de impresión de las impresoras locales a
través de una red de área local.
ATENCIÓN: spoolsv.exe también es el
nombre con el que se camufla el virus troyano Backdoor.Ciadoor.B. Si el
proceso en cuestión se encuentra dentro del directorio System32 se trata
del proceso inofensivo de Windows, si por el contrario se encuentra en
cualquier otra localización (incluyendo el directorio raíz de Windows)
sería el virus.
Este virus troyano permite el acceso a su equipo a
usuarios malintencionados poniendo en peligro la seguridad de sus datos y
de su sistema en general. Se trata de un proceso categorizado como de
riesgo que debe ser eliminado del sistema inmediatamente. Cierre el
proceso y bloquéelo para evitar futuras ejecuciones. A continuación
actualice las definiciones de su software antivirus y anti-espías y
escanee el sistema pare eliminar la amenaza.
lsass.exe:
Bueno primero que nada el proceso Lsass.exe (Local Security
Authority Service) es un proceso legitimo de Windows, el cual controla
varias tareas criticas de seguridad. Por ende si lo tenes funcionando es normal,
AHORA, si ves que consume muchos recursos o se te esta reseteando la
maquina o si haces una búsqueda en tu Windows se encuentra el archivo
Lsass.exe en otras carpetas aparte de la original (system32) puede de
que estés infectado por alguno de estos virus que explotan esa
vulnerabilidad (Sasser, Cycle, Bobax, Korgo, etc.)
Te recomiendo que instales este parche de Windows el cual corrige el problema del lsass:
smss.exe:
1. smss.exe es un proceso que se encuentra en los sistemas operativos Windows 2000, NT4 y XP. Es el Subsistema Administrador de Sesiones (Session Manager Subsystem) y es un proceso esencial para el sistema. Este proceso es el responsable de iniciar la sesión de usuario en
Windows. Se encarga de cargar los procesos Winlogon y el Win32
(Csrss.exe).
2. Existen programas malignos que emplean el mismo nombre o similar
para pasar desapercibidos. Por ejemplo, el troyano Borobot-K que borra
el archivo AUTORUN.INF e intenta desactivar el firewall de Windows.
Otros programas malignos con el mismo nombre son:
W32.Dalbug.Worm, Adware.DreamAd, W32.Resdoc, Adware.Advision, Backdoor.IRC.Flood.F, Backdoor.IRC.Aladinz.O
csrss.exe:
csrss.exe es el Client Server Runtime SubSystem, proceso de algunas versiones del sistema operativo Windows. Cuando una aplicación hace una llamada al API Win32, este usa
csrss.exe, el cual la comunica con el núcleo del sistema operativo para
ejecutar el API.
En general, se trata de un proceso normal en algunas versiones de
Windows, de todas maneras, muchos programas malignos pueden emplear el
mismo nombre (o un nombre similar) para camuflarse y pasar
desapercibidos. De hecho, existen el troyano CSRSS.EXE (csrss.exe en mayúsculas) y
el gusano W32.Netsky.AB, que utilizan el mismo nombre para intentar
pasar desapercibidos.
STORE.EXE:
Es un proceso relacionado con el sistema de optimización
del uso de memoria de Outlook Exchange. Se trata de un proceso
categorizado como de no riesgo y cuyo funcionamiento no es esencial para
la estabilidad del sistema. No es necesario ni recomendable realizar
ninguna acción de protección, cierre y/o bloqueo a no ser que se sepa
que el proceso está ocasionando problemas o la inestabilidad del
sistema.
Este tipo de ficheros, terminan convirtiéndose normalmente
en spyware o virus cuando se
localizan en otros directorios y presentan una firma digital diferente.
Por eso es necesario para determinar si se trata de la amenaza o no,
realizar un análisis con la herramienta de detección.
MDM.EXE:
1. (Machine Debug Manager). mdm.exe es un archivo y proceso asociado al Sistema de Depuración de Procesos de Microsoft Windows. Es un proceso que no es necesario si no se quiere depurar errores de
las aplicaciones de Windows, y puede ser terminado y deshabilitado del
inicio a través de MSConfig.
2. Hay registros de programas malignos que utilizan el mismo nombre para pasar desapercibidos.
wdfmgr.exe:
Es parte de Microsoft Windows Media Player 10 y arriba.
Este proceso disminuye problemas de la compatibilidad mientras que el
producto está funcionando. Este programa es un proceso no esencial,
pero no debe ser terminado a menos que esté sospechando que causa
problemas.
Tomado de www.taringa.net
Modificado por: Dr. PC 3000 Reparación de computadoras
Búsquedas relacionadas:
No hay comentarios.:
Publicar un comentario