O Processo svchost.exe

O svchost.exe é um serviço capaz de hospedar outros serviços. Basicamente ele roda vários processos (um ‘grupo’), porém só um nome aparecerá listado. Ele pode, por outro lado, carregar vários grupos, o que resultará em vários svchost.exe na lista de processos, o que é um caso extremamente comum.
Nos serviços (services.msc) se você encontrar algum serviço que se inicia através do arquivo svchost.exe, você pode verificar o ‘Nome do serviço’ (que é diferente do ‘Nome para exibição’). Para verificar o verdadeiro arquivo carregado pelo svchost, você precisa ir até a seguinte chave no registro
O registro do Windows é onde o Windows guarda seus “segredos”: praticamente tudo que você faz no Windows tem um valor no registro. Por exemplo, suas configurações de pasta, do Internet Explorer e do Outlook Express. O registro é tipo um “banco de dados” onde o Windows guarda várias informações sobre o sistema e aplicativos.
Este documento só cobrirá o que você precisa saber para ler os outros documentos que dependem do regedit, um programa incluído no Windows para manipular o registro.

Rodando o Regedit

Para rodar o regedit, o editor do registro, siga esses passos:

1. Clique em Iniciar -> Executar
2. Digite regedit na caixa de texto
3. Clique em OK

Entendendo o necessário

Agora você vai ver uma tela onde no lado esquerdo você vê uma árvore de pastas como o explorer do Windows. No lado direito você vai ver o conteúdo das “pastas”.
As pastas pai são:

• HKEY_CLASSES_ROOT
• HKEY_CURRENT_USER
• HKEY_LOCAL_MACHINE
• HKEY_USERS
• HKEY_CURRENT_CONFIG
• HKEY_DYN_DATA

Essas pastas pai podem ser abreviadas. Por exemplo, HKLM significará HKEY_LOCAL_MACHINE enquanto HKCU será HKEY_CURRENT_USER.
Entenda também que “pasta” na verdade é uma chave e que o conteúdo das pastas são as propriedades com os seus
valores.

Entendendo os caminhos

Se alguém lhe der o caminho:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
prop
Você deve abrir o HKEY_LOCAL_MACHINE, então a pasta Software, Microsoft, Windows, CurrentVersion e então a pasta Run. O prop se trata de uma das propriedades que vão aparecer no lado direito.
Se um tutorial lhe pedir para deletar a chave dita acima, você deletaria a propriedade de nome “prop” no painel direito enquanto você está na pasta (ou chave) Run. Você pode fazer isso clicando com o botão direito e então Excluir.
Você também pode dar um duplo clique nas propriedades para modificar o seu valor.

Fazendo Backup do Registro

Backup é uma Cópia de Segurança. Se algo der errado, você pode recuperar essa cópia para que tudo volte ao normal.
Para fazer isso, abra o regedit e clique em
Registro -> Exportar Arquivo do Registro. Marque a caixa
Tudo. Escolha um nome para o arquivo (igual como você faria para um arquivo do bloco de notas ou Microsoft Word) e clica em Salvar. Pode levar alguns minutos para terminar tudo.

Recuperando o backup

Para recuperar o backup criado, clique em Registro -> Importar Arquivo do Registro e selecione o arquivo criado anteriormente. Só faça isso se realmente houve um problema com o registro!

A importância do registro

O registro é uma das partes cruciais do Windows. Se você modifcar propriedades colocando nelas valores incorretos você pode fazer com que o seu Windows não inicie corretamente.
Portanto, tome cuidado ao fazer qualquer modificação no Registro do Windows. Na dúvida, faça sempre uma cópia de segurança.

• [HKLM\SYSTEM\CurrentControlSet\Services\{nome_do_serviço}\Parameters]
  “ServiceDll”

Onde {nome_do_serviço} é o nome que você viu no Services.msc.
Nessa screenshot vemos a verificação do arquivo carregado pelo svchost.exe quando o serviço do Windows “Chama de Procedimento Remoto” for iniciado. Note que este serviço é crucial para o Windows e você não deve tentar removê-lo. Trojans podem utilizar o svchost.exe da mesma forma (e alguns dos piores fazem isso), porém é necessário esta verificação manual na chave para sabermos qual o verdadeiro culpado, já que o svchost.exe é um arquivo de sistema e não pode ser apagado. Se você encontrar um serviço ruim, utilize a opção “Delete NT Service” do HijackThis e coloque o “Nome do Serviço” para apagá-lo.

Outras formas para obter o nome do serviço

No Windows XP é possível descobrir todos os serviços que o svchost.exe roda através do comando tasklist /svc.
Nessa outra screenshot podemos ver o tasklist em execução. Ao lado do svchost.exe vemos todos os serviços que ele está rodando. Para saber quais os arquivos que se referem a cada um dos serviços é necessário utilizar o método via registro descrito acima.

Outras cópias do arquivo

Note que existem cópias falsas do svchost.exe. A verdadeira que será usada pelo Windows fica na pasta System32.
Mas você pode ter outras cópias legítimas do svchost.exe no sistema. Quando você instala um Service Pack, por exemplo, o Windows faz backup do svchost.exe. Dessa forma, você teria um svchost.exe nas seguintes pastas:

• C:\WINDOWS\system32\svchost.exe
  Cópia do svchost.exe real utilizada pelo sistema
• C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
  Backup do Service Pack
• C:\WINDOWS\ServicePackFiles\i386\svchost.exe
  Cópia temporária da instalação do Service Pack
• C:\WINNT\system32\dllcache\svchost.exe
  Cópia de segurança do svchost caso algo acontença com o verdadeiro

Todos estes svchost.exe são legítimos. Os falsos são geralmente encontrados na pasta Windows ou na pasta System (e não System32). Na dúvida, utilize seu antivírus para scanear o arquivo e veja as propriedades do arquivo ou procure ajuda, mas não apague o arquivo sem ter certeza de que ele é malicioso.