Encontré el proceso "Host de servicio: inicio de sesión secundario" ejecutándose en procesos de Windows en el administrador de tareas, con un archivo de línea de comando en system32 svchost.exe, que también encontré ejecutándose con mi nombre de usuario al menos diez veces (no solo SISTEMA y SERVICIO LOCAL). También tengo Host de servicio: llamada a procedimiento remoto y alrededor de 80 hosts de servicio más en ejecución, pero con poca CPU.
Mi pregunta es: ¿es esto un signo claro de malware y cómo lo desactivo? La seguridad de Windows no ha encontrado amenazas y he mantenido mi computadora desconectada desde que me di cuenta de esto en caso de que ayude.
Respuesta1
No hay nada de qué entrar en pánico.
Host de servicio: inicio de sesión secundarioes un servicio que se ejecuta para permitirEjecutar como usuario diferentetrabajar.
Inicio de sesión secundario El servicio de inicio de sesión secundario (seclogon) permite que los procesos se inicien con credenciales alternativas. Esto permite a un usuario crear procesos en el contexto de diferentes principios de seguridad. Un uso común de este servicio es por parte de administradores que pueden iniciar sesión como usuarios restringidos pero deben tener privilegios administrativos para ejecutar una aplicación específica. Pueden utilizar un inicio de sesión secundario para ejecutar temporalmente dichas aplicaciones. Si el servicio está deshabilitado, este tipo de acceso de inicio de sesión no está disponible y las llamadas a la API CreateProcessWithLogonW fallan.
Este servicio se inicia cuando se inicia un programa o aplicación utilizando la opción Ejecutar como usuario diferente en el menú contextual extendido (que se puede abrir manteniendo presionada la tecla Mayús al hacer clic con el botón derecho en un elemento).
DeEnciclopedia de seguridad de Windows
múltiples sesiones desvchostsiempre están presentes en Windows moderno. Tengo 14 ejecutándose en mi sistema.
Service Host (svchost.exe) es un proceso de servicio compartido que sirve como shell para cargar servicios desde archivos DLL.
Por lo tanto, verá varios svchost.exe ejecutándose al mismo tiempo. Esta agrupación de servicios también ayuda a mejorar el control y la depuración en caso de que surja la necesidad. Los servicios ejecutados en svchost se implementan como bibliotecas o archivos dll vinculados dinámicamente.
De todos modos, deberías tener un escáner de virus y/o un detector de malware decente ejecutándose en tu sistema.