Passa ai contenuti principali

Errore rilevamento finestre di dialogo dei servizi interattivi.

malwareSvchost.exe è il nome di un processo host generico per servizi eseguiti da librerie di collegamento dinamico (DLL). 

Il processo svchost.exe viene talvolta sfruttato da alcuni malware, ma dato che è un importante processo utilizzato dal sistema operativo, come facciamo a sapere quando è in esecuzione da parte di un virus o dal S.O.? Vediamo come.

Il file Svchost.exe, che si trova nella cartella %SystemRoot%\System32, all'avvio del computer verifica la porzione del Registro di sistema relativa ai servizi al fine di redigere un elenco di servizi da caricare. È possibile che più istanze di Svchost.exe vengano eseguite contemporaneamente. Ogni sessione Svchost.exe può infatti contenere un gruppo di servizi, il che significa che possono essere eseguiti servizi diversi a seconda di come e dove è stato avviato il file Svchost.exe. Questo consente un controllo e un debugging migliore.
I gruppi Svchost.exe sono identificati nella seguente chiave di registro: 
 
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost 
 
Ogni valore contenuto in questa chiave rappresenta un gruppo Svchost distinto, che viene visualizzato come istanza a sé stante quando si visualizzano i processi attivi. Ogni valore è un valore REG_MULTI_SZ e contiene i servizi che vengono eseguiti in tale gruppo Svchost. Ogni gruppo Svchost può contenere uno o più nomi di servizio estratti dalla seguente chiave di registro, la cui chiave Parameters contiene un valore ServiceDLL:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Servizio
Per visualizzare l'elenco dei servizi in esecuzione in Svchost:
  1. Fare clic sul pulsante Start sulla barra delle applicazioni di Windows, quindi scegliere Esegui.
  2. Nella finestra di dialogo Apri digitare CMD, quindi premere INVIO.
  3. Digitare Tasklist /SVC, quindi premere INVIO.
Tasklist consente di visualizzare l'elenco dei processi attivi. L'opzione /SVC mostra l'elenco dei servizi attivi in ciascun processo. Per ulteriori informazioni su un determinato processo, digitare il comando seguente, quindi premere INVIO: 
 
Tasklist /FI "PID eq IDprocesso" (con le virgolette)
Il seguente esempio di output di Tasklist indica che sono in esecuzione due istanze di Svchost.exe.
problemavistatv5 
   Nome immagine       PID     Servizi
   ======================================================================== 
   Processo di sistema   0     N/D
   Sistema               8     N/D    
   Smss.exe            132     N/D
   Csrss.exe           160     N/D
   Winlogon.exe        180     N/D
   Services.exe        208     AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
                               Eventlog,LanmanServer,LanmanWorkstation,
                               LmHosts,Messenger,PlugPlay,ProtectedStorage,
                               Seclogon,TrkWks,W32Time,Wmi
   Lsass.exe            220    Netlogon,PolicyAgent,SamSs 
   Svchost.exe          404    RpcSs 
   Spoolsv.exe          452    Spooler 
   Cisvc.exe            544    Cisvc 
   Svchost.exe          556    EventSystem,Netman,NtmsSvc,RasMan,
                               SENS,TapiSrv 
   Regsvc.exe           580    RemoteRegistry 
   Mstask.exe           596    Schedule 
   Snmp.exe             660    SNMP 
   Winmgmt.exe          728    WinMgmt 
   Explorer.exe         812    N/D
   Cmd.exe             1300    N/D
   Tasklist.exe        1144    N/D
L'impostazione di registro per i due gruppi di questo esempio è la seguente:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs

Utilizzeremo il tool Svchost Process Analyzer.
svchost

che non richiede installazione e che una volta lanciato ci indicherà quanti e quali dei processi svchost.exe in esecuzione sono sfruttati da qualche malware.
Una volta individuato quello “infetto” procederemo innanzitutto a terminarlo e poi procederemo alla rimozione tramite i normali metodi di rimozione malware.
Questa è la procedura che ho trovato per eliminare manualmente il worm
Soluzione: N.B. Prima della rimozione fare il backup del registro. Riavviamo in Modalità provvisoria (premendo il tasto F8 al caricamento del sistema), entriamo nella Task (Ctrl+Alt+Canc nei sistemi operativi 9x e ME o Ctrl+Shift+Esc nei sistemi operativi NT, 2000 e XP), e terminiamo, se presente, l'applicazione aggiunta dal worm. Chiudiamo la Task.
Con la funzione trova, cerchiamo ed eliminiamo anche dal cestino i files: svchost.exe mssvc.dll
Da Start>Esegui scriviamo regedit ed aiutandoci cliccando sui + di HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionRun facciamo click sulla cartellina Run e dal pannello di dx facciamo click di dx sul valore Service Host Driver = svchost.exe e lo eliminiamo.
Ora portiamoci in HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor clicchiamo sulla cartellina gialla Command Processor, nel pannello di dx facciamo click di dx sul valore AutoRun = svchost.exe e lo eliminiamo.
Ora portiamoci in HKEY_CLASSES_ROOTCLSID {E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 clicchiamo sulla cartellina gialla InProcServer32 e sostituiamo il valore (Predefinito) = c:windowssystemmssvc.dll in (Predefinito) = C:WINDOWSSYSTEMWEBCHECK.DLL nei sistemi 9x e ME od il valore (Predefinito) = %SystemRoot%System32webcheck.dll nei sistemi NT 2000 XP
Chiudiamo il registro.
Riavviare il computer.
Fare una scansione, sempre dalla modalità provvisoria, con l'antivirus aggiornato. Riavviare in modalità normale. N.B. Prima della procedura di rimozione ricordarsi che su sistemi operativi WinME e WinXP si consiglia di disabilitare il Ripristino di configurazione del sistema (System Restore). Procedure per il Ripristino di configurazione del sistema: Su Sistemi Operativi WinME: Click su Start, da Impostazioni click su Pannello di Controllo, doppio click su Sistema e cliccate sulla scheda Prestazioni. Click su File System quindi sulla scheda Risoluzione dei problemi e selezionate Disattiva ripristino configurazione di sistema, date OK quindi cliccate su Chiudi, vi verrà chiesto di riavviare il computer. Su Sistemi Operativi WinXP: Click su Start, click con il tasto dx del mouse su Risorse del Computer poi su Proprietà. Click sulla scheda Ripristino configurazione di sistema mettere la spunta su Disattiva Ripristino configurazione di sistema o su Disattiva Ripristino configurazione di sistema su tutte le unità, click su Applica click su Sì e poi su OK, riavviare. N.B. Terminata la rimozione del virus, riattivare il Ripristino di configurazione del sistema.

 
Se ti è piaciuto l'articolo , iscriviti al feed cliccando sull'immagine sottostante per tenerti sempre aggiornato sui nuovi contenuti del blog:
Labels:

Commenti

Posta un commento

nome-foto

Posts piú popolari

Installare Windows 7 da Hard Disk esterno.

Molte volte può tornare utile installare un sistema operativo (in questo caso Windows 7 ) direttamente da un hard disk esterno invece che da un CD/DVD. In una situazione di questo tipo mi ci sono trovato io, che dovevo installarlo sul portatile, Windows 7 , ma non avevo DVD a portata di mano.  Fortunatamente ho un hard disk esterno molto grande (circa 600Gb) e ho usato questo. Scrivo quindi la breve guida che segue per tutti quelli che si troveranno nella mia stessa situazione e vorranno sapere come installare Windows 7 da un hard disk esterno. I passi da seguire sono pochi e molto semplici. Partiamo dalla cosa fondamentale, i prerequisiti. Prerequisiti:     Un Hard Disk esterno con circa 5Gb di spazio libero     L’ISO di Windows 7 Per installare Windows 7 dall’hard disk esterno basta seguire questi passi     Connettere il disco esterno al PC.     Cliccare con il destro su Risorse del computer e poi andare su ge...
Posta un commento
Read more »

Guida completa agli Strumenti per i Webmaster di Bing (Parte 10a, Procedure consigliate per le pagine 404)

Una pagina 404 è una pagina non trovata o una pagina di errore che appare quando un utente clicca su un link non funzionante. Queste pagine sono spesso poco popolate e contengono pochi contenuti a parte un messaggio come "Pagina non trovata". Le pagine 404 sono progettate per informare gli utenti che il link o la risorsa su cui hanno cliccato non è disponibile o non è più disponibile e indirizzano i visitatori ad altri contenuti del tuo sito web. Alcune cose da tenere a mente durante la creazione delle pagine 404: Pubblicità di qualsiasi tipo Tutte le pagine di errore dovrebbero essere prive di chiamate di servizio, come moduli pubblicitari. Ciò significa che le pagine 404 dovrebbero essere in HTML statico e prive di script complessi, pubblicità o qualsiasi elemento che effettui chiamate di servizio esterne alla pagina stessa. Questo perché si corre il rischio che la risorsa richiesta non venga restituita tempestivamente, con conseguente perdita di integrità della pia...
Posta un commento
Read more »

Come risolvere i problemi di aggiornamento delle definizioni di Windows Defender.

Mentre si utilizza Windows Defender viene visualizzato un messaggio che si riferisce agli aggiornamenti delle definizioni in una delle due circostanze seguenti: Quando si apre Windows Defender viene visualizzato un messaggio nel quale è indicato che è necessario verificare la disponibilità di nuove definizioni. Se questo messaggio descrive la situazione specifica, provare il Metodo 1 . Quando si tenta di verificare la disponibilità di aggiornamenti in Windows Defender, viene visualizzato un messaggio di errore nel quale è indicato che non è possibile controllare, scaricare o installare gli aggiornamenti delle definizioni. Se questo messaggio descrive la situazione specifica, provare il Metodo 2 . Visualizzare tutti i possibili messaggi di errore . Le istruzioni in questo articolo sono destinate agli utenti di computer con un livello di esperienza da principiante a medio. Gli utenti privati che riscontrano questo problema sul PC possono ricevere supporto gratuito tram...
Posta un commento
Read more »

Guida a Windows 11: Introduzione e Nozioni di base

Questo articolo illustra i concetti di base di Windows 11, indipendentemente dal fatto che tu abbia familiarità con Windows o che tu abbia eseguito l'aggiornamento da una versione precedente. Tratteremo i componenti essenziali di desktop, Esplora file e Microsoft Edge, fornendoti solide basi per esplorare e usare Windows 11 in modo efficace. Esperienza utente Windows 11 è la versione più recente del sistema operativo Microsoft, progettata per offrire un'esperienza moderna e intuitiva. Con un'interfaccia elegante, prestazioni migliorate e nuove funzionalità, Windows 11 mira a migliorare la produttività e il divertimento per gli utenti. Esaminiamo le nozioni di base ed esploriamo cosa Windows 11 ha da offrire. Accedi e accedi al desktop L'esperienza utente inizia dalla schermata di blocco. Se il dispositivo dispone di un sensore biometrico, puoi accedere comodamente usando il volto o l'impronta digitale. In alternativa, puoi usare un PIN o una password. Le...
Posta un commento
Read more »

Guida alle scorciatoie da tastiera per l'Itunes in ambiente Windows.

iTunes è il modo migliore per organizzare e goderti la musica e i film che hai già.  E per acquistare tutto quello che non hai ancora. Puoi perfino ascoltare gratuitamente le nostre stazioni musicali on-demand, completamente ripensate dagli esperti di Apple Music. È un mondo di divertimento tutto da scoprire, dal tuo Mac o PC.   Ecco una guida alle scorciatoie da tastiera per l'Itunes in ambiente windows Scorciatoie generali . Avvia il brano immediatamente - Enter Muoversi avanti e indietro all'interno di un brano - Control+Alt+Freccia Vai al prossimo brano in listo od al precedente - Freccia dx o freccia sx Scorciatoie in libreria e playlist . Leggi anche:  Come installare Windows Media Player 11 in Windows Seven . Selezionare o de-selezionare TUTTI i brani in una lista - Control+clicksulla spunta accanto ad uno dei brani Creare una Playlist da una selezione di brani - Alt+click sul tasto "Nuova Playlist" (+) Creare una nuova SMART Playlist - ...
5 commenti
Read more »