Pc infetto? Scoprilo dai processi Svchost.exe

Per scoprire se il PC è infetto da Virus o Malware, esistono svariati metodi, anche se spesso ci si avvale di antivirus o programmi di rimozione gratuiti. Tuttavia, queste soluzioni sono automatiche e ci obbligano a fidarci dei migliori antivirus e della loro capacità di debellare minacce reali. I professionisti e gli appassionati di computer sanno che esistono soluzioni più professionali ed empiriche per stanare i virus dal computer. In questa guida vedremo come scoprire se il PC è infetto, sfruttando il processo di Windows Svchost.exe e il Task Manager, o la Gestione delle Attività di Windows.

Cosa sono i processi Svchost di Windows

Svchost è un processo utilizzato dai sistemi operativi su base NT, impiegato da Windows per la gestione di un singolo servizio, oppure di gruppi di essi. Molti di voi, avranno notato che, accedendo alla Gestione delle Attività di Windows 10 o il vecchio Task Manager delle vecchie versioni, nella lista dei processi in esecuzioni sono presenti una o più istanze del processo Svchost. Si tratta di una prassi del tutto normale, che di per sé non implica problemi e non dimostra la presenza di virus nel computer. Come già detto, ciascuna istanza di questo processo è utilizzata dal sistema operativo per gestire i servizi di sistema, indispensabili al funzionamento del PC.

processi Svchost.exe

Trattandosi di un programma di sistema, svchost.exe si trova nella cartella di sistema “\Windows\System32”. Questa è una cartella protetta alla quale gli utenti sprovvisti di permessi da amministratore non hanno accesso. Il programma viene richiamato dopo l’avvio del sistema dal Service Control Manager (SCM). Questo gestisce, nel registro di sistema di Windows (Registry) un elenco dei servizi da avviare. Dopo l’avvio del sistema, il SCM esegue, per ciascun servizio contenuto nell’elenco, un’istanza di svchost.exe come processo.

A questo riguardo esiste anche la possibilità di accorpare più servizi in un unico processo. Nei computer più potenti, tuttavia, Windows tende ad avviare un processo separato per ciascun servizio. Questo permette di delimitare meglio i singoli processi e risulta vantaggioso nel caso in cui un processo vada in “crash”, ossia entri in uno stato di esecuzione indefinito. In questi casi è quindi possibile chiudere il task problematico senza andare a toccare gli altri programmi.

Quando Svchost può essere rischioso

Purtroppo, molti virus e malware sono in grado di sfruttare il processo Svchost per infettare il computer. Anche se il processo in questione dovrebbe essere riservato alla gestione degli elementi di Windows, non si dovrebbero mai escludere manipolazioni di esso e che alcuni malware possano azionare elementi pericolosi, estranei a Microsoft. Fortunatamente, esistono alcuni accorgimenti per scoprire se il PC è infetto da virus, intervenendo prontamente in caso affermativo.

servizio host

Tutti i processi Svchost di Windows sono firmati e richiamano dalla riga di comando la directory “C:\Windows\System32”. Se un processo di questo tipo non risulta firmato e non appartiene alla cartella di sistema indicata, probabilmente sarà un Malware o qualcosa di pericoloso. Il metodo più semplice per scoprire se il computer è infetto da virus, esaminando i processi attivi, è quello di utilizzare il software gratuito Process Explorer, che ci permetterà di individuare l’eventuale presenza di malware sul computer.

Come Riconoscere processi pericolosi di Windows

Seguire questa guida per riconoscere eventuali processi Svchost di Windows pericolosi, utilizzando l’applicazione gratuita Process Explorer.

  • Scaricare l’applicazione gratuita Process Explorer;
  • Scompattare l’archivio sul PC;
  • Dalla cartella decompressa eseguire il file procexp.exe;
  • Cliccare su SI e successivamente Agree;
  • Nella barra dei menu dell’applicazione cliccare su View e Select Columns;
svchost.exe process explorer
  • Selezionare le voci Verified Signer e Comand Line, mantenendo attive tutte le altre;
  • Cliccare su OK;
  • Nella barra dei menu premere Options e scegliere Verify Image Signatures;
  • A questo punto controllare che ciascuno dei processi svchost.exe abbia la firma di Microsoft Corporation sotto la colonna Company Name e riporti il percorso C:\Windows\System32\svchost.exe … nella colonna Command Line.
process explorer svchost infetto

Se firma e percorso sono differenti da quelli indicati al punto 9, il computer sarà quasi certamente infetto da Malware. In questo caso sarà utile ricorre ad un buon antivirus, oppure a qualche strumento efficace di rimozione dei malware come MalwareBytes.

contattaci