Navigaweb.net
Programmi Sicurezza Windows Guide PC iPhone Android Tecnologia Rete Facebook Immagini Musica Giochi

Data:

svchost.exeParliamo di un altro illustre sconosciuto su Windwos, Il processo Svchost.exe, che si nota quando si apre il task manager perchè è presente più volte.
Svchost.exe è un file che si avvia assieme a Windows, si trova nella cartella C\Windows\System32 e carica diversi servizi Windows contemporaneamente.
Per questione di debugging, ossia per fornire all'utente maggiori possiblità di risolvere eventuali errori, il file svchost.exe viene avviato in diverse sessioni simultanee e, ciascuna di esse, carica un gruppo di servizi dalle DLL (dynamic-link libraries).
In questo modo, se c'è un problema su un servizio particolare, c'è la speranza di non mandare in crash tutto il computer.
Dei servizi Windows si è gia parlato in altri articoli.

Il processo svchost, teoricamente, non interessa all'utente perchè fa il suo lavoro in silenzio e senza farsi notare.
Purtroppo però, a volte, quando il pc si inchioda e rallenta fino a bloccarsi, si nota, aprendo il task manager, che uno di questi svchost.exe sta occupando il 99% della CPU e non fa più muovere nulla sul computer.

Molte volte, i virus e i malware sfruttano il file svchost.exe per nascondersi in mezzo al gruppo di processi col nome identico.
Spesso questi virus aprono porte sulla rete internet a cui è connesso il computer, provocando grossi problemi.
Un famoso virus, il Worm Blaster di qualche anno fa, mandava una sessione svchost.exe al 100% e obbligava il computer a spegnersi da solo.

Per fare una analisi di cio che viene avviato dai processi svchost.exe, in Windows 7 si può cliccare sul processo col tasto destro e poi andare al Servizio responsabile.
In linea teorica, i gruppi di servizi avviati dalle varie sessioni di svchost, sono comprese nel registro di sistema nella chiave: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost.
Andando su Start --> Esegui e scrivendo cmd (prompt dei comandi), si possono vedere tutti i processi attivi e quello che fa svchost scrivendo il comando tasklist /svc.

Di sicuro non si capisce nulla dal risultato ottenuto quindi è meglio sorvolare e provare qualche altro tool che sia più comprensibile.

Nell'articolo su come potenziare il task manager c'era segnato un tool chiamato Process Explorer che, in questo caso, torna molto utile.
Tramite Process Explorer si riesce a capire cosa è ciascuna sessione di svchost.exe e vedere quindi, nel caso ce ne fosse uno andato al 99% di cpu, quale è responsabile del blocco del computer.
Una volta riconosciuto quale servizio sta creando problemi lo si può disabilitare andando sul Pannello di controllo --> strumenti di amministrazione --> servizi.
Process Explorer è un programma che fa vedere il dettaglio di tutti i processi attivi ma per una analisi specifica sui processi svchost che sono attivi e quelli che si avviano con il computer, si possono usare due altri tool Windows specifici.

Il primo, Svchost viewer, permette di estrarre, dalla lista di processi, soltanto quelli svchost.exe e ne fornisce tutti i dettagli per riconoscere a quali file, programmi o servizi si riferiscono.
Siccome dietro una sessione svchost ci sono diversi servizi, l'importante è bloccare quello che dà problemi e non l'intero gruppo.

Se si prova ad uccidere e terminare un processo a caso svchost.exe da task manager, si ottiene o un errore che dice "impossibile" oppure il computer va in tilt e si riavvia da solo.

Per verificare specificatamente quali processi svchost si avviano quando si accende il computer si può usare un altro tool chiamato svchost process analyzer.

Ultima notazione: se usate come spero e consiglio sempre un firewall può capitare la richiesta di un processo svchost.exe che vuole uscire su internet.
Negare sempre di far passare su internet un processo svchost a meno che, dopo aver bloccato questa connessione, non si verifichino rallentamenti di rete o blocchi di alcuni programmi.
In linea generale, svchost non ha alcuna necessità di accedere alla rete e, spesso, una richiesta del genere, porta a pensare che ci sia un virus dietro.


Scrivi un commento

Per commentare, si può usare un account Google / Gmail.
13 Commenti
  • marco
    21 dic 2009, 19:58:00

    Ciao Claudio,
    leggo con interesse questo articolo su svchost.exe, perché l’altro giorno ho fatto una ricerca rootkit sul PC e ho trovato un problema che riguarda proprio svchost.

    Questa la mia ricerca:
    1) Svchost Process Analyzer , ha trovato cinque svchost running di cui uno atipico: l’analisi mi dice il display name (zckiypalb), il Service name (paynff) , il file che però non riesce a trovare (C:\WINDOWS\system32\gawsi.dll) e infine lo Status (deactive)
    2) A quel punto faccio girare GMER che mi “mette in rosso” proprio quel servizio. Questa la risposta rossa di GMER: Type =service, name = C:\WINDOWS\system32\svchost.exe(***ridde***), ed infine Value= (AUTO)paynff
    Come vedi ricorre ancora quel “paynff”.
    Ora dovrei dire a GMER di eliminare quel service (C:\WINDOWS\system32\svchost.exe(***ridde***), ma non vorrei che così facendo mi blocca completamente svchost, che invece serve per altre cose, come ben sai.
    Cosa mi consigli di fare?

  • Claudio Pomhey
    21 dic 2009, 20:00:00

    levalo con hijackthis

  • marco
    21 dic 2009, 20:01:00

    scusa Claudio il nome tra parentesi nella analisi di GMER non è (***ridde***), ma (***hidden***), perciò l'intera striscia è (C:\WINDOWS\system32\svchost.exe(***hidden***).

  • marco
    21 dic 2009, 21:57:00

    ma hijackthis non me lo vede!
    posso provare ad eliminarlo con GMER ma vorrei essere sicuro di non eliminare completamente svchost, ma solo quel service "hidden"

  • Claudio Pomhey
    21 dic 2009, 22:15:00

    a certo scusa... se è nascosto non lo vede..

    fai un punto di ripristino e procedi con Gmer ; non ti può eliminare svchost, è un file non eliminabile però gmer è un software piuttosto delicato quindi fai attenzione e fammi sapere

  • Anonimo
    24 feb 2010, 16:36:00

    ciao claudio...
    mi puoi consigliare un buon programma per togliere i svchost diciamo infetti??? e come utilizzarlo??? grazie mille

  • Anonimo
    09 mar 2010, 14:23:00

    Ciao Claudio, anch'io facendo task manager trovo un processo svchost che usa il 99% della cpu.
    Credi si tratti di ciò che hai scritto sopra?

    Con Malware Bytes Antimalware dovrei farcela ad eliminarli?

  • Claudio Pomhey
    09 mar 2010, 16:09:00

    fai l'analisi con l'analizzatore e prova la scansione

  • Anonimo
    09 mar 2010, 23:58:00

    ho fatto l'analisi. Trova un rootkit, uno spyware e 2 malware. Li elimino e la cpu di svchost si azzera.

    Ma quando riavvio il pc torna tutto come prima.

    Cosa posso fare?

  • Claudio Pomhey
    10 mar 2010, 04:02:00

    riconoscili ad occhio e levali con hijackthis http://www.navigaweb.net/2008/04/la-miglior-protezione-contro-rootkit.html e prova anche superantimalware

  • Winkle
    22 giu 2010, 12:05:00

    Giusto ieri il protagonista di questo articolo, SVCHOST, mi ha chiesto di connettersi ad un indirizzo IP esterno (peccato che la fretta di scongiurare l'eventuale pericolo non mi ha dato il sangue freddo per copiarmelo); cosa di cui me ne sono potuto accorgere solo grazie al FIREWALL della COMODO che me lo ha notificato per tempo e mi ha permeso di bloccare il collegamento.

    Se, quindi quallcuno dei miei processi SVCHOST è corrotto e nè SUPERANTISPYWARE, nè MALWAREBYTES, nè RSIT sembrano trovare niente... che faccio ?

  • Claudio Pomhey
    22 giu 2010, 13:32:00

    no beh, se tu provi a bloccare tutti i processi svchost sul firewall vedrai che internet ti funziona lo stesso.
    Il discorso è diverso per i servizi di rete quando si parla di lan interne.

    Lascialo pure libero di comunicare, non ci saranno più incidenti come il Worm Blaster a rovinarci i pc
    http://it.wikipedia.org/wiki/Blaster .

  • Carlos
    26 dic 2010, 03:59:00

    Ciao, volevo segnalarti questi 2 ottimi programmi:
    STasks Process Manager è una applicazione (disponibile anche in versione portatile) che permette di controllare il nome e il percorsso dei processi in esecuzione, la data, la dimensione e offre la possibilità di bloccarli (con opzioni personalizzabili) e di collegarsi ad un database per avere maggiori informazioni sul processo.
    http://soft.saschart.com/download.php

    Sistem explorer è un "super task manager" che, oltre a fornire informazioni dettagliate
    su attività, processi, moduli, startup, Windows, servizi, driver, ecc permette di fare un controllo dei file sospetti attraverso VirusTotal e Jotti
    http://www.systemexplorer.net/download.php
    Anche questo programma è disponibile nella versione portatile

    Buon Natale e complimenti per il blog