Navigaweb.net logo

Controllare se i processi sono sicuri o dannosi su Windows

Aggiornato il: Scritto Da: - @pomhey
Programmi per controllare i processi di Windows e sapere se sono sicuri o se nascondono malware dannosi in esecuzione sul PC
controllare sicurezza processi

Quando il computer rallenta improvvisamente o le ventole iniziano a girare al massimo senza motivo, il primo istinto è aprire la Gestione Attività. Spesso, però, ci si trova davanti a una lista infinita di nomi criptici come svchost.exe, runtimebroker.exe o csrss.exe. Il dubbio è legittimo: stiamo guardando un componente vitale di Windows o un malware che si sta camuffando?

I virus moderni, in particolare gli spyware e i miner di criptovalute, sono progettati per nascondersi in piena vista, imitando i nomi dei processi legittimi. Basarsi solo sul nome non è più sufficiente. In questa guida, impareremo a leggere tra le righe del sistema operativo, utilizzando metodi manuali e strumenti avanzati (ma gratuiti) per stanare qualsiasi intruso, mantenendo ferma la rotta di Navigaweb verso la sicurezza digitale.


LEGGI ANCHE: Trucchi e funzioni del Task Manager (Gestione Attività) in Windows 11

Primo passo: Indizi visivi nel Task Manager

Prima di scaricare software esterni, Windows offre già degli strumenti validi per una prima indagine, se sappiamo dove guardare. La classica Gestione Attività (o Task Manager) viene spesso usata nella sua configurazione base, ma può essere potenziata.

Per trasformarla in uno strumento di analisi:

  • Premi CTRL + MAIUSC + ESC per aprire Gestione Attività.
  • Spostati sulla scheda Dettagli (molto più precisa della scheda "Processi").
  • Fai clic destro sull'intestazione di una colonna qualsiasi e scegli Seleziona colonne.
  • Aggiungi le voci: Riga di comando e Autore pubblicazione (o "Firmatario").

Questi due dati sono fondamentali. I processi di sistema legittimi (Microsoft) e i driver noti (NVIDIA, Intel, Realtek) hanno quasi sempre una firma digitale verificata nella colonna "Autore". Un processo con un nome che sembra "di sistema" ma senza autore è un forte segnale d'allarme.

Allo stesso modo, la colonna "Riga di comando" rivela da dove parte il file. Un processo svchost.exe deve obbligatoriamente partire da C:\Windows\System32. Se noti che un file con lo stesso nome parte da una cartella temporanea come AppData o Download, è quasi certamente un malware.

Lo standard d'oro: Process Explorer

Se il Task Manager è una lente d'ingrandimento, Process Explorer è un microscopio. Fa parte della suite Sysinternals di Microsoft, non richiede installazione e offre una funzione che pochi conoscono: l'integrazione diretta con gli antivirus online.

Una volta avviato procexp.exe come amministratore:

  • Vai nel menu Options > VirusTotal.com e spunta Check VirusTotal.com.
  • Accetta i termini di servizio.

Accanto a ogni processo apparirà un punteggio (es. 0/76). Questo numero indica quanti motori antivirus mondiali considerano quel file pericoloso. Un punteggio di 0/76 indica un file pulito. Se vedi numeri rossi superiori a 5/76, hai probabilmente trovato il colpevole.

L'alternativa Open Source: System Informer

Per chi cerca un'interfaccia più moderna e capacità di gestione avanzate, la scelta migliore oggi è System Informer. Questo software è l'evoluzione ufficiale e pulita del vecchio Process Hacker (spesso segnalato dai falsi positivi degli antivirus).

La forza di System Informer risiede nella scheda Network. Molti malware, pur nascondendosi bene nel sistema, devono comunicare con l'esterno per inviare dati rubati o ricevere comandi. System Informer mostra in tempo reale quali processi stanno inviando dati e verso quali indirizzi IP, colorando le connessioni attive per renderle immediatamente visibili.

Caccia agli Hijacker: Hijack Hunter e HiJackThis

A volte il problema non è un processo che consuma CPU, ma una modifica profonda alle impostazioni del sistema (browser che si aprono da soli, pagine iniziali cambiate, pubblicità ovunque). In questi casi servono strumenti specifici per la reportistica.

Hijack Hunter

Se hai bisogno di un'analisi comportamentale dettagliata, puoi usare Hijack Hunter di NoVirusThanks. A differenza dei task manager che mostrano cosa "gira" in quel momento, Hijack Hunter scansiona il computer per trovare file sospetti, driver nascosti e modifiche al registro, generando un report testuale molto dettagliato. È uno strumento di diagnosi passiva: non rimuove automaticamente i file, ma ti fornisce le prove necessarie per capire cosa non va.

HiJackThis+ (Fork v3)

Per chi frequenta i forum di assistenza tecnica, lo standard attuale è HiJackThis+ (una versione moderna e mantenuta del vecchio classico). Questo tool genera un log che può essere letto da esperti o analizzato online per individuare le cosiddette "BHO" (Browser Helper Objects) maligne. Attenzione: questi tool sono potenti e permettono di cancellare voci di registro vitali, usali solo per generare report o se sai esattamente cosa stai eliminando.

Verificare l'avvio automatico: Autoruns

Un processo dannoso ha un obiettivo primario: sopravvivere al riavvio del PC. Se chiudi un virus ma questo si riapre al prossimo avvio, non hai risolto il problema alla radice.

Qui entra in gioco Autoruns. A differenza del semplice menu "App di avvio" di Windows, Autoruns mostra tutto ciò che parte col sistema: driver, librerie DLL, attività pianificate e servizi nascosti. Il trucco per leggerlo senza impazzire è guardare le righe evidenziate in rosa (file senza descrizione o firma digitale) o usare l'opzione di scansione con VirusTotal integrata anche qui. Disattivare la casella accanto a una voce sospetta ne impedisce l'avvio senza cancellare il file, permettendoti di testare se il problema si risolve in sicurezza.

Segnali d'allarme da riconoscere

Anche senza tool, l'esperienza insegna a riconoscere certi pattern ricorrenti. Ecco cosa deve insospettirti subito:

  • Typosquatting (Errori intenzionali): I malware usano nomi quasi identici a quelli reali. Esempi classici sono svhost.exe (manca la "c"), csrsss.exe (una "s" di troppo) o winlogon.exe scritto con la "i" maiuscola al posto della "L".
  • Risorse anomale: Un processo di sistema, quando il PC è a riposo, dovrebbe consumare quasi zero CPU. Se un processo sconosciuto usa costantemente il 30% o più della CPU o della GPU, potrebbe essere un miner.
  • La finestra fantasma: Se vedi aprirsi e chiudersi rapidamente una finestra nera (prompt dei comandi) all'avvio, c'è uno script che viene eseguito in background. Controlla subito con Autoruns.

Posso terminare un processo svchost.exe?
Non direttamente. Svchost è un "contenitore" per altri servizi. Terminare quello sbagliato può bloccare internet o l'audio. Usa Process Explorer per vedere cosa c'è dentro quel preciso svchost (passando il mouse sopra) e agisci sul servizio specifico.

Perché ho tanti processi Chrome o Edge aperti con una sola scheda?
È normale. I browser moderni usano il "multiprocesso": ogni estensione e ogni parte del motore ha il suo processo separato per stabilità e sicurezza (sandbox).

Posso cancellare manualmente un file .exe sospetto?
Spesso no, perché risulterà "in uso". Devi prima terminare il processo e poi cancellare il file. Se il file si ricrea da solo, significa che c'è un altro processo "guardiano" che lo protegge; in tal caso serve una scansione in Modalità Provvisoria.





Posta un commento


0%