Passa ai contenuti principali

Errore rilevamento finestre di dialogo dei servizi interattivi.

malwareSvchost.exe è il nome di un processo host generico per servizi eseguiti da librerie di collegamento dinamico (DLL). 

Il processo svchost.exe viene talvolta sfruttato da alcuni malware, ma dato che è un importante processo utilizzato dal sistema operativo, come facciamo a sapere quando è in esecuzione da parte di un virus o dal S.O.? Vediamo come.

Il file Svchost.exe, che si trova nella cartella %SystemRoot%\System32, all'avvio del computer verifica la porzione del Registro di sistema relativa ai servizi al fine di redigere un elenco di servizi da caricare. È possibile che più istanze di Svchost.exe vengano eseguite contemporaneamente. Ogni sessione Svchost.exe può infatti contenere un gruppo di servizi, il che significa che possono essere eseguiti servizi diversi a seconda di come e dove è stato avviato il file Svchost.exe. Questo consente un controllo e un debugging migliore.
I gruppi Svchost.exe sono identificati nella seguente chiave di registro: 
 
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost 
 
Ogni valore contenuto in questa chiave rappresenta un gruppo Svchost distinto, che viene visualizzato come istanza a sé stante quando si visualizzano i processi attivi. Ogni valore è un valore REG_MULTI_SZ e contiene i servizi che vengono eseguiti in tale gruppo Svchost. Ogni gruppo Svchost può contenere uno o più nomi di servizio estratti dalla seguente chiave di registro, la cui chiave Parameters contiene un valore ServiceDLL:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Servizio
Per visualizzare l'elenco dei servizi in esecuzione in Svchost:
  1. Fare clic sul pulsante Start sulla barra delle applicazioni di Windows, quindi scegliere Esegui.
  2. Nella finestra di dialogo Apri digitare CMD, quindi premere INVIO.
  3. Digitare Tasklist /SVC, quindi premere INVIO.
Tasklist consente di visualizzare l'elenco dei processi attivi. L'opzione /SVC mostra l'elenco dei servizi attivi in ciascun processo. Per ulteriori informazioni su un determinato processo, digitare il comando seguente, quindi premere INVIO: 
 
Tasklist /FI "PID eq IDprocesso" (con le virgolette)
Il seguente esempio di output di Tasklist indica che sono in esecuzione due istanze di Svchost.exe.
problemavistatv5 
   Nome immagine       PID     Servizi
   ======================================================================== 
   Processo di sistema   0     N/D
   Sistema               8     N/D    
   Smss.exe            132     N/D
   Csrss.exe           160     N/D
   Winlogon.exe        180     N/D
   Services.exe        208     AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
                               Eventlog,LanmanServer,LanmanWorkstation,
                               LmHosts,Messenger,PlugPlay,ProtectedStorage,
                               Seclogon,TrkWks,W32Time,Wmi
   Lsass.exe            220    Netlogon,PolicyAgent,SamSs 
   Svchost.exe          404    RpcSs 
   Spoolsv.exe          452    Spooler 
   Cisvc.exe            544    Cisvc 
   Svchost.exe          556    EventSystem,Netman,NtmsSvc,RasMan,
                               SENS,TapiSrv 
   Regsvc.exe           580    RemoteRegistry 
   Mstask.exe           596    Schedule 
   Snmp.exe             660    SNMP 
   Winmgmt.exe          728    WinMgmt 
   Explorer.exe         812    N/D
   Cmd.exe             1300    N/D
   Tasklist.exe        1144    N/D
L'impostazione di registro per i due gruppi di questo esempio è la seguente:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs

Utilizzeremo il tool Svchost Process Analyzer.
svchost

che non richiede installazione e che una volta lanciato ci indicherà quanti e quali dei processi svchost.exe in esecuzione sono sfruttati da qualche malware.
Una volta individuato quello “infetto” procederemo innanzitutto a terminarlo e poi procederemo alla rimozione tramite i normali metodi di rimozione malware.
Questa è la procedura che ho trovato per eliminare manualmente il worm
Soluzione: N.B. Prima della rimozione fare il backup del registro. Riavviamo in Modalità provvisoria (premendo il tasto F8 al caricamento del sistema), entriamo nella Task (Ctrl+Alt+Canc nei sistemi operativi 9x e ME o Ctrl+Shift+Esc nei sistemi operativi NT, 2000 e XP), e terminiamo, se presente, l'applicazione aggiunta dal worm. Chiudiamo la Task.
Con la funzione trova, cerchiamo ed eliminiamo anche dal cestino i files: svchost.exe mssvc.dll
Da Start>Esegui scriviamo regedit ed aiutandoci cliccando sui + di HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionRun facciamo click sulla cartellina Run e dal pannello di dx facciamo click di dx sul valore Service Host Driver = svchost.exe e lo eliminiamo.
Ora portiamoci in HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor clicchiamo sulla cartellina gialla Command Processor, nel pannello di dx facciamo click di dx sul valore AutoRun = svchost.exe e lo eliminiamo.
Ora portiamoci in HKEY_CLASSES_ROOTCLSID {E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 clicchiamo sulla cartellina gialla InProcServer32 e sostituiamo il valore (Predefinito) = c:windowssystemmssvc.dll in (Predefinito) = C:WINDOWSSYSTEMWEBCHECK.DLL nei sistemi 9x e ME od il valore (Predefinito) = %SystemRoot%System32webcheck.dll nei sistemi NT 2000 XP
Chiudiamo il registro.
Riavviare il computer.
Fare una scansione, sempre dalla modalità provvisoria, con l'antivirus aggiornato. Riavviare in modalità normale. N.B. Prima della procedura di rimozione ricordarsi che su sistemi operativi WinME e WinXP si consiglia di disabilitare il Ripristino di configurazione del sistema (System Restore). Procedure per il Ripristino di configurazione del sistema: Su Sistemi Operativi WinME: Click su Start, da Impostazioni click su Pannello di Controllo, doppio click su Sistema e cliccate sulla scheda Prestazioni. Click su File System quindi sulla scheda Risoluzione dei problemi e selezionate Disattiva ripristino configurazione di sistema, date OK quindi cliccate su Chiudi, vi verrà chiesto di riavviare il computer. Su Sistemi Operativi WinXP: Click su Start, click con il tasto dx del mouse su Risorse del Computer poi su Proprietà. Click sulla scheda Ripristino configurazione di sistema mettere la spunta su Disattiva Ripristino configurazione di sistema o su Disattiva Ripristino configurazione di sistema su tutte le unità, click su Applica click su Sì e poi su OK, riavviare. N.B. Terminata la rimozione del virus, riattivare il Ripristino di configurazione del sistema.

 
Se ti è piaciuto l'articolo , iscriviti al feed cliccando sull'immagine sottostante per tenerti sempre aggiornato sui nuovi contenuti del blog:
Labels:

Commenti

Posta un commento

Posts piú popolari

Che cos'è Indice prestazioni Windows?

Windows misura la capacità della configurazione hardware e software del computer ed esprime questa misura con un numero denominato punteggio di base. Un punteggio di base più alto indica in genere che le prestazioni del computer saranno migliori e più veloci rispetto a quelle di un computer con un punteggio di base più basso, in particolare durante l'esecuzione di attività più avanzate e a elevato consumo di risorse.  Ogni componente hardware riceve un proprio punteggio parziale. Il punteggio di base del computer è determinato dal punteggio parziale più basso. Se ad esempio il punteggio parziale più basso di un singolo componente hardware è 2,6, il punteggio di base sarà 2,6. Il punteggio di base non è una media dei punteggi parziali combinati. I punteggi parziali possono tuttavia offrire una panoramica sulle prestazioni dei componenti più importanti e aiutare nel decidere quali componenti aggiornare. È possibile utilizzare il punteggio di base per acquistare programmi e al...
2 commenti
Read more »

Guida a Windows 8: come ottenere app per il tuo PC.

Un mondo di app nel Windows Store. Le app semplificano l'uso del tuo PC, offrendoti nuovi metodi per lavorare e divertirti. Windows 8.1 e Windows RT 8.1 includono alcune app integrate che ti permettono di socializzare, restare in contatto con i tuoi amici, condividere e visualizzare documenti, organizzare foto, ascoltare musica e guardare film, ma troverai molte altre app nel Windows Store. Nota: devi avere Windows 8.1 o Windows RT 8.1 per visualizzare e installare app dal Windows Store. Se non hai Windows 8.1 o Windows RT 8.1, puoi dare un'occhiata ad alcune delle app disponibili tra quelle più popolari nello Store .
Posta un commento
Read more »

Tutto sulle unità di elaborazione neurale (NPU)

L'unità di elaborazione neurale (NPU) di un dispositivo ha un'architettura che simula la rete neurale di un cervello umano. Scopri come si associa all'intelligenza artificiale e ti offre potenti vantaggi in questa nuova era. Elabora grandi quantità di dati in parallelo, eseguendo migliaia di miliardi di operazioni al secondo. Utilizza meno energia ed è molto più efficiente nelle attività di intelligenza artificiale rispetto a una CPU o GPU. Eccelle nelle attività di IA e libera la CPU e la GPU per altre attività. La combinazione di un'NPU con l'apprendimento automatico offre una potente combinazione. Offre un'intelligenza artificiale estremamente veloce e ad alta larghezza di banda in tempo reale, un grande vantaggio per l'uso dei comandi vocali, la creazione di immagini in modo rapido e molto altro ancora. Ti aiuta a lavorare velocemente ed essere più creativo. source
Posta un commento
Read more »

Come usare Image creator in Paint per generare immagini IA

Vuoi creare opere d'arte straordinarie con poche parole? Prova Image Creator in Microsoft Paint, una nuova funzionalità che consente di collaborare con un potente modello di intelligenza artificiale chiamato DALL-E. DALL-E possibile generare immagini diverse e realistiche da qualsiasi descrizione testuale immessa. Che tu voglia disegnare un drago, un unicorno o qualsiasi altra cosa, Image Creator ti aiuterà a liberare la tua creatività e creare le tue opere d'arte con l'aiuto dell'intelligenza artificiale. Nota: Questa funzionalità è stata rinominata di recente in Image Creator e l'aggiornamento viene distribuito gradualmente agli utenti. Una volta disponibile nel tuo dispositivo, inizierai a vedere il nuovo nome. Uso di Image Creator Per usare Image Creator, apri Microsoft Paint e seleziona l'icona Image Creator sulla barra degli strumenti per visualizzare il pannello laterale. Nella casella di testo immettere una descrizione dell'immagine da crea...
Posta un commento
Read more »

Aprile 2015: i 10 post più cliccati su MondoWin.

1.- Cambiare il sistema operativo predefinito all'avvio (configurazione ad avvio multiplo) Se nel computer è installato più di un sistema operativo, è possibile scegliere quello da avviare quando si accende il computer.L'installazione di più di un sistema operativo in un computer viene spesso denominata configurazione ad avvio multiplo. Per aprire Sistema, fare clic sul pulsante Start, scegliere Pannello di controllo, Sistema e manutenzione e quindi Sistema. Fare clic su Continua a leggere ... » 2.- Le migliori 10 caratteristiche di Windows 8. Lo sviluppo del sistema operativo iniziò nel maggio 2009 e terminò nel luglio 2012. Microsoft iniziò a parlare più diffusamente di Windows 8 solo a partire dal 2011. L'anno si aprì con l'annuncio del supporto all'architettura ARM tipica dei tablet. La nuova interfaccia grafica di Windows 8 venne svelata ufficialmente nel giugno 2011. ] A settembre Microsoft pubblicò una versione di anteprima per Continua a leggere .....
Posta un commento
Read more »