Cos'è svchost e perché Windows ne ha bisogno?
Un breve resoconto prima di tuffarci nelle modifiche.
Svchost (abbreviazione di "service host") è un processo di servizio condiviso che carica librerie di collegamento dinamico (file DLL) anziché eseguibili autonomi. Ogni DLL contiene un piccolo servizio Windows (qualsiasi cosa, dagli spooler di stampa ai servizi di rete). Raggrupparli sotto un unico genitore consente di risparmiare risorse di sistema e semplifica l'applicazione delle patch.
Microsoft ha introdotto il modello in Windows 2000, poi lo ha raddoppiato in Windows 10 e Windows Server per aumentare i tempi di avvio. Senza di essa, la sequenza di avvio si destreggerebbe tra dozzine di mini-app anziché una manciata di contenitori.
Perché vedi più voci svchost nel task manager
La domanda successiva è ovvia: se svchost.exe è un programma, perché dodici di essi ti fissano in Task Manager?
Raggruppamento di servizi per la stabilità
Servizi correlati ai cluster Windows, ad esempio cache DNS, client DHCP e helper TCP/IP in un unico svchost. Crash uno e il resto del desktop sopravvive. La suddivisione dei componenti critici e opzionali protegge inoltre dall'instabilità totale del sistema.
Isolamento di sicurezza per servizio
A partire da Windows 10 1703, i componenti a basso attendibilità come l'individuazione della rete vengono eseguiti nel proprio contenitore. Se un aggiornamento errato interrompe il Wi-Fi, almeno la shell del tuo desktop rimane online.
Istanze guidate dall'hardware
Sui laptop, la gestione dell'alimentazione genera un svchost dedicato per conservare memoria e potenza di elaborazione. Collega una macchina virtuale e attiverai ancora un'altra istanza per Hyper-V.
Questo design è fantastico quando tutto funziona, ma significa anche che individuare copie dannose richiede un lavoro investigativo.
Esaminando svchost in modo sicuro all'interno del task manager
Un breve paragrafo per unire i punti. Prima di raggiungere "Termina operazione", è necessaria la prova che il processo sia colpevole. Questi passaggi ti aiutano a confermare che questo ".exe" è il vero affare.
Controllare la posizione e il percorso del file
- Apri "Gestione attività"
- Fare clic con il pulsante destro del mouse sul sospetto "svchost"
- Scegli "Apri percorso file"
Una copia autentica si trova in C:\Windows\System32\svchost.exe.
Tutto ciò che è parcheggiato in Temp, AppData o in un percorso di file strano dovrebbe generare allarmi. MITRE chiama questo “mascheramento di attività o servizi”, che è una tattica degli aggressoricontrassegnatonella tecnica T1036.004.
Utilizzare il prompt dei comandi per i dettagli del servizio
- Premi la combinazione "Win + R".
- Digita "cmd"
- Premi "Invio"
- Esegui tasklist /svc /fi “nomeimmagine eq svchost.exe”
per mappare ciascun PID al suo servizio specifico.
Confronta l'elenco con il database ufficiale di Microsoft. Le etichette sconosciute sono i principali candidati al malware.
Scansiona con fiduciaSoftware antivirus
Anche le copie dall'aspetto legittimo possono essere riparate in memoria. Una scansione rapida con Sicurezza di Windows o un antivirus di terze parti scava più a fondo dei controlli hash. Se usi Netguard di VeePN (spiegato più avanti), blocca i server di comando e controllo prima che il carico utile arrivi.
Segnali di allarme svchost nasconde malware
Aiuta a individuare veri segnali d'allarme nel comportamento quotidiano. Tieni d'occhio questi indizi rivelatori, ciascuno supportato da un argomento facile da verificare:
Posizione del file sconosciuta
Come abbiamo già detto prima, se il percorso è diverso da C:\Windows\System32 (o SysWOW64 su PC a 64 bit), probabilmente hai a che fare con un impostore.
Mancata corrispondenza della firma digitale
Il legittimo svchost.exe è firmato da Microsoft. Nella scheda Dettagli, seleziona "Firme digitali". Tutto ciò che non è firmato o firmato da un venditore sconosciuto è un omaggio.
Picchi improvvisi della CPU o della memoria mentre è inattivo
Un processo host di servizio integro raramente consuma risorse per più di pochi secondi. Un carico costante del 40-100%, soprattutto legato a wuauserv o netsvcs, può segnalare un dirottamento o un ciclo di aggiornamento non riuscito. Le guide alla pulizia del malware elencano l'abbandono infinito di svchost come un sintomo classico perché i minatori e i bot spam hanno bisogno di potenza di elaborazione grezza per trarre profitto.
Traffico di rete in uscita inspiegabile
Avvia Resource Monitor o "netstat -ano". Sesvchostcontinua a chattare con IP in paesi lontani, qualcosa non va: i servizi principali di Windows raramente mantengono dozzine di socket esterni.
Servizi di sicurezza disabilitati o mancanti
Malware che dirotta spesso svchostuccideWindows Defender, aggiornamenti automatici o il firewall per rimanere nascosti. Se tali servizi si rifiutano di avviarsi o scompaiono dall'elenco "services.msc", indagare immediatamente sulla catena del processo principale.
Il processo si rigenera dopo "seleziona attività finale"
Quando si fa clic con il pulsante destro del mouse e si seleziona "Termina attività", i servizi legittimi si riavviano una o due volte in Gestione controllo servizi. Un ciclo di rigenerazione infinito (stesso intervallo PID, stesso carico elevato) indica che un cane da guardia dannoso sta ricostruendo il suo punto d'appoggio. Questa caratteristica di autoriparazione è comune nelle botnet di coin mining che si presentano come processi host di servizi.
Noti uno o più di questi segnali? Disconnettiti dalla rete, esegui una scansione completa con un software antivirus affidabile e blocca il traffico in uscita con una VPN o un firewall finché non sei sicuro che il file exe sia pulito.
Correzioni rapide per CPU o memoria con svchost elevato
Una volta confermata la legittimità della copia, i picchi di risorse di solito sono riconducibili a un singolo servizio non configurato correttamente.
Disabilitare un servizio specifico (test temporaneo)
- Digitare "services.msc" in Esegui
- Trova il colpevole
- Fare clic con il tasto destro e scegliere “Stop”
- Osservare l'utilizzo della CPU per alcuni minuti. Se tutto si è calmato, imposta il tipo di avvio su Manuale finché non installi una patch o reinstalli i relativi programmi.
- Non disabilitare mai RpcSs o DcomLaunch: Windows rifiuterà l'avvio.
Ripristina i componenti di aggiornamento di Windows
- Apri il prompt dei comandi come amministratore.
- Esegui "net stop wuauserv" e "net stop bit"
- Elimina la cartella SoftwareDistribution, quindi riavvia i servizi.
- Riavviare e controllare se l'host del servizio non autorizzato si raffredda.
Riparare i file di sistema
L'esecuzione di "sfc /scannow" seguita da "DISM /Online /Cleanup-Image /RestoreHealth" sostituisce i file dll danneggiati che potrebbero eseguire il loop all'interno di uno svchost bloccato.
Come una VPN chiude la porta agli host di servizi non autorizzati
Anche un PC con patch è vulnerabile se un svchost dannoso si intrufola e telefona a casa. Crittografare ogni pacchetto con una VPN blocca il beacon in uscita e nasconde il software che esegui agli ISP curiosi.
Funzionalità avanzate di VeePN che mantengono svchost onesto
Di seguito è riportato ciò che VeePN porta in tavola:
Blocca le minacce prima che si carichino
NetGuard prefiltra le richieste DNS ed elimina domini malware noti, pagine di phishing e tracker di annunci. Ciò significa che un falso svchost.exe non riceve mai il suo script di comandi e il tuo browser si carica più velocemente senza gonfiare gli annunci.
Antivirus integrato
Il motore antivirus integrato di VeePN esegue la scansione dei file scaricati, delle applicazioni e dei processi in esecuzione in tempo reale. Esegue la scansione e previene virus, trojan e spyware, inclusi quelli che si presentano come servizi originali come svchost.exe, prima che possano danneggiare il tuo computer o rubare le tue informazioni.
Avviso di violazione
VeePN scansiona continuamente i dump del dark web alla ricerca della tua email o password. Se una fuga di notizie include il tuo indirizzo, riceverai un avviso immediato, il che è particolarmente importante se il malware in agguato in svchost ha già rubato le tue credenziali.
Crittografia di livello militare
Il servizio avvolge ogni bit nella crittografia AES-256, impedendo agli spioni di premere tasti e bloccando gli strumenti di ispezione dei pacchetti che cercano la telemetria di Windows non crittografata.
Protezione Kill Switch
Se il collegamento VPN si interrompe, Kill Switch frena tutto il traffico. Un file exe canaglia non può intrufolarsi in un registro mentre il tuo Wi-Fi capovolge le reti.
Politica rigorosa di No Log
VeePN non registra dati sui siti visitati o sui programmi eseguiti, quindi gli spyware che si spacciano per processi Windows non possono citare in giudizio un'impronta che non esiste.
Supporto per 10 dispositivi
Un abbonamento copre il tuo laptop, il tuo telefono e persino il desktop polveroso che i tuoi figli usano ancora, chiudendo l'anello più debole tanto amato dagli aggressori.
Prova VeePN senza rischi con la nostra garanzia di rimborso di 30 giorni.
Domande frequenti
- Apri "Gestione attività"
- Fare clic con il pulsante destro del mouse sulla voce sospetta
- Premi "Apri posizione file"
Tutto ciò che è esterno a System32 è losco. Effettua un controllo incrociato con "tasklist /svc" ed esegui una scansione completa con un antivirus affidabile.
Altre letture:Come correggere gli errori dell'host del protocollo di ricerca di Windows
Il processo master è obbligatorio, ma è possibile interrompere un servizio specifico al suo interno. Prova sempre arrestando il servizio in services.msc anziché uccidere il genitore, altrimenti potresti mandare in crash Windows.
Windows suddivide più servizi in contenitori separati per motivi di sicurezza. Ogni gruppo gestisce attività correlate, quindi un arresto anomalo non cancella l'intero sistema operativo.
Di solito un singolo servizio in fuga, Windows Update, Superfetch o un minatore nascosto, è bloccato in un loop. Identificare il PID, controllare il servizio associato e riavviarlo o applicare una patch al software incriminato.
