Navigaweb.net

Migliori siti, programmi e applicazioni su Navigaweb.net

Programmi Guide PC Tecnologia Sicurezza Windows Rete iPhone Android Facebook Immagini Musica Giochi

Analisi di Svchost.exe: se usa la cpu al 99% disabilitare il servizio responsabile

Pubblicato il: 17 dicembre 2009 Aggiornato il:
Come scoprire i servizi responsabili di un processo SVCHost.exe che usa il 100% della CPU

svchost.exeParliamo di un altro illustre sconosciuto su Windwos, Il processo Svchost.exe, che si nota quando si apre il task manager perchè è presente più volte.
Svchost.exe è un file che si avvia assieme a Windows, si trova nella cartella C\Windows\System32 e carica diversi servizi Windows contemporaneamente.
Per questione di debugging, ossia per fornire all'utente maggiori possiblità di risolvere eventuali errori, il file svchost.exe viene avviato in diverse sessioni simultanee e, ciascuna di esse, carica un gruppo di servizi dalle DLL (dynamic-link libraries).
In questo modo, se c'è un problema su un servizio particolare, c'è la speranza di non mandare in crash tutto il computer.
Dei servizi Windows si è gia parlato in altri articoli.

Il processo svchost, teoricamente, non interessa all'utente perchè fa il suo lavoro in silenzio e senza farsi notare.
Purtroppo però, a volte, quando il pc si inchioda e rallenta fino a bloccarsi, si nota, aprendo il task manager, che uno di questi svchost.exe sta occupando il 99% della CPU e non fa più muovere nulla sul computer.

Molte volte, i virus e i malware sfruttano il file svchost.exe per nascondersi in mezzo al gruppo di processi col nome identico.
Spesso questi virus aprono porte sulla rete internet a cui è connesso il computer, provocando grossi problemi.
Un famoso virus, il Worm Blaster di qualche anno fa, mandava una sessione svchost.exe al 100% e obbligava il computer a spegnersi da solo.

Per fare una analisi di cio che viene avviato dai processi svchost.exe, in Windows 7 si può cliccare sul processo col tasto destro e poi andare al Servizio responsabile.
In linea teorica, i gruppi di servizi avviati dalle varie sessioni di svchost, sono comprese nel registro di sistema nella chiave: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost.
Andando su Start --> Esegui e scrivendo cmd (prompt dei comandi), si possono vedere tutti i processi attivi e quello che fa svchost scrivendo il comando tasklist /svc.

Di sicuro non si capisce nulla dal risultato ottenuto quindi è meglio sorvolare e provare qualche altro tool che sia più comprensibile.

Nell'articolo su come potenziare il task manager c'era segnato un tool chiamato Process Explorer che, in questo caso, torna molto utile.
Tramite Process Explorer si riesce a capire cosa è ciascuna sessione di svchost.exe e vedere quindi, nel caso ce ne fosse uno andato al 99% di cpu, quale è responsabile del blocco del computer.
Una volta riconosciuto quale servizio sta creando problemi lo si può disabilitare andando sul Pannello di controllo --> strumenti di amministrazione --> servizi.
Process Explorer è un programma che fa vedere il dettaglio di tutti i processi attivi ma per una analisi specifica sui processi svchost che sono attivi e quelli che si avviano con il computer, si possono usare due altri tool Windows specifici.

Il primo, Svchost viewer, permette di estrarre, dalla lista di processi, soltanto quelli svchost.exe e ne fornisce tutti i dettagli per riconoscere a quali file, programmi o servizi si riferiscono.
Siccome dietro una sessione svchost ci sono diversi servizi, l'importante è bloccare quello che dà problemi e non l'intero gruppo.

Se si prova ad uccidere e terminare un processo a caso svchost.exe da task manager, si ottiene o un errore che dice "impossibile" oppure il computer va in tilt e si riavvia da solo.

Per verificare specificatamente quali processi svchost si avviano quando si accende il computer si può usare un altro tool chiamato svchost process analyzer.

Ultima notazione: se usate come spero e consiglio sempre un firewall può capitare la richiesta di un processo svchost.exe che vuole uscire su internet.
Negare sempre di far passare su internet un processo svchost a meno che, dopo aver bloccato questa connessione, non si verifichino rallentamenti di rete o blocchi di alcuni programmi.
In linea generale, svchost non ha alcuna necessità di accedere alla rete e, spesso, una richiesta del genere, porta a pensare che ci sia un virus dietro.


Scrivi un commento

Per commentare, si può usare un account Google / Gmail.
Se vi piace e volete ringraziare, condividete! (senza commento)