Passa ai contenuti principali

Errore rilevamento finestre di dialogo dei servizi interattivi.

malwareSvchost.exe è il nome di un processo host generico per servizi eseguiti da librerie di collegamento dinamico (DLL). 

Il processo svchost.exe viene talvolta sfruttato da alcuni malware, ma dato che è un importante processo utilizzato dal sistema operativo, come facciamo a sapere quando è in esecuzione da parte di un virus o dal S.O.? Vediamo come.

Il file Svchost.exe, che si trova nella cartella %SystemRoot%\System32, all'avvio del computer verifica la porzione del Registro di sistema relativa ai servizi al fine di redigere un elenco di servizi da caricare. È possibile che più istanze di Svchost.exe vengano eseguite contemporaneamente. Ogni sessione Svchost.exe può infatti contenere un gruppo di servizi, il che significa che possono essere eseguiti servizi diversi a seconda di come e dove è stato avviato il file Svchost.exe. Questo consente un controllo e un debugging migliore.
I gruppi Svchost.exe sono identificati nella seguente chiave di registro: 
 
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost 
 
Ogni valore contenuto in questa chiave rappresenta un gruppo Svchost distinto, che viene visualizzato come istanza a sé stante quando si visualizzano i processi attivi. Ogni valore è un valore REG_MULTI_SZ e contiene i servizi che vengono eseguiti in tale gruppo Svchost. Ogni gruppo Svchost può contenere uno o più nomi di servizio estratti dalla seguente chiave di registro, la cui chiave Parameters contiene un valore ServiceDLL:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Servizio
Per visualizzare l'elenco dei servizi in esecuzione in Svchost:
  1. Fare clic sul pulsante Start sulla barra delle applicazioni di Windows, quindi scegliere Esegui.
  2. Nella finestra di dialogo Apri digitare CMD, quindi premere INVIO.
  3. Digitare Tasklist /SVC, quindi premere INVIO.
Tasklist consente di visualizzare l'elenco dei processi attivi. L'opzione /SVC mostra l'elenco dei servizi attivi in ciascun processo. Per ulteriori informazioni su un determinato processo, digitare il comando seguente, quindi premere INVIO: 
 
Tasklist /FI "PID eq IDprocesso" (con le virgolette)
Il seguente esempio di output di Tasklist indica che sono in esecuzione due istanze di Svchost.exe.
problemavistatv5 
   Nome immagine       PID     Servizi
   ======================================================================== 
   Processo di sistema   0     N/D
   Sistema               8     N/D    
   Smss.exe            132     N/D
   Csrss.exe           160     N/D
   Winlogon.exe        180     N/D
   Services.exe        208     AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
                               Eventlog,LanmanServer,LanmanWorkstation,
                               LmHosts,Messenger,PlugPlay,ProtectedStorage,
                               Seclogon,TrkWks,W32Time,Wmi
   Lsass.exe            220    Netlogon,PolicyAgent,SamSs 
   Svchost.exe          404    RpcSs 
   Spoolsv.exe          452    Spooler 
   Cisvc.exe            544    Cisvc 
   Svchost.exe          556    EventSystem,Netman,NtmsSvc,RasMan,
                               SENS,TapiSrv 
   Regsvc.exe           580    RemoteRegistry 
   Mstask.exe           596    Schedule 
   Snmp.exe             660    SNMP 
   Winmgmt.exe          728    WinMgmt 
   Explorer.exe         812    N/D
   Cmd.exe             1300    N/D
   Tasklist.exe        1144    N/D
L'impostazione di registro per i due gruppi di questo esempio è la seguente:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs

Utilizzeremo il tool Svchost Process Analyzer.
svchost

che non richiede installazione e che una volta lanciato ci indicherà quanti e quali dei processi svchost.exe in esecuzione sono sfruttati da qualche malware.
Una volta individuato quello “infetto” procederemo innanzitutto a terminarlo e poi procederemo alla rimozione tramite i normali metodi di rimozione malware.
Questa è la procedura che ho trovato per eliminare manualmente il worm
Soluzione: N.B. Prima della rimozione fare il backup del registro. Riavviamo in Modalità provvisoria (premendo il tasto F8 al caricamento del sistema), entriamo nella Task (Ctrl+Alt+Canc nei sistemi operativi 9x e ME o Ctrl+Shift+Esc nei sistemi operativi NT, 2000 e XP), e terminiamo, se presente, l'applicazione aggiunta dal worm. Chiudiamo la Task.
Con la funzione trova, cerchiamo ed eliminiamo anche dal cestino i files: svchost.exe mssvc.dll
Da Start>Esegui scriviamo regedit ed aiutandoci cliccando sui + di HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionRun facciamo click sulla cartellina Run e dal pannello di dx facciamo click di dx sul valore Service Host Driver = svchost.exe e lo eliminiamo.
Ora portiamoci in HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor clicchiamo sulla cartellina gialla Command Processor, nel pannello di dx facciamo click di dx sul valore AutoRun = svchost.exe e lo eliminiamo.
Ora portiamoci in HKEY_CLASSES_ROOTCLSID {E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 clicchiamo sulla cartellina gialla InProcServer32 e sostituiamo il valore (Predefinito) = c:windowssystemmssvc.dll in (Predefinito) = C:WINDOWSSYSTEMWEBCHECK.DLL nei sistemi 9x e ME od il valore (Predefinito) = %SystemRoot%System32webcheck.dll nei sistemi NT 2000 XP
Chiudiamo il registro.
Riavviare il computer.
Fare una scansione, sempre dalla modalità provvisoria, con l'antivirus aggiornato. Riavviare in modalità normale. N.B. Prima della procedura di rimozione ricordarsi che su sistemi operativi WinME e WinXP si consiglia di disabilitare il Ripristino di configurazione del sistema (System Restore). Procedure per il Ripristino di configurazione del sistema: Su Sistemi Operativi WinME: Click su Start, da Impostazioni click su Pannello di Controllo, doppio click su Sistema e cliccate sulla scheda Prestazioni. Click su File System quindi sulla scheda Risoluzione dei problemi e selezionate Disattiva ripristino configurazione di sistema, date OK quindi cliccate su Chiudi, vi verrà chiesto di riavviare il computer. Su Sistemi Operativi WinXP: Click su Start, click con il tasto dx del mouse su Risorse del Computer poi su Proprietà. Click sulla scheda Ripristino configurazione di sistema mettere la spunta su Disattiva Ripristino configurazione di sistema o su Disattiva Ripristino configurazione di sistema su tutte le unità, click su Applica click su Sì e poi su OK, riavviare. N.B. Terminata la rimozione del virus, riattivare il Ripristino di configurazione del sistema.

 
Se ti è piaciuto l'articolo , iscriviti al feed cliccando sull'immagine sottostante per tenerti sempre aggiornato sui nuovi contenuti del blog:
Labels:

Commenti

Posta un commento

Posts piú popolari

Guida a Windows 11: Esplora file in Windows.

Esplora file in Windows 11 consente di ottenere rapidamente e facilmente i file necessari. Per scoprirlo in Windows 11, selezionalo sulla barra delle applicazioni o nel menu Start oppure premi il tasto WINDOWS + E sulla tastiera. Come usare Esplora file: Per aggiungere una cartella ad Accesso rapido , fai clic con il pulsante destro del mouse (o tieni premuto) sulla cartella e seleziona Aggiungi ad Accesso rapido . Per condividere un file, selezionarlo e quindi selezionare Condividi sulla barra multifunzione. Per spostare il percorso di un file o di una cartella, selezionarlo e quindi fare clic su Taglia sulla barra multifunzione. Passa alla nuova posizione, quindi seleziona Incolla . Nota: Per i file e le cartelle in Accesso rapido, è necessario fare clic con il pulsante destro del mouse (o tenere premuto) e selezionare Apri prima di poter tagliare e incollare. Per modificare la modalità di visualizzazione degli elementi in Es...
Posta un commento
Read more »

Guida a Windows 11: In che modo OneDrive protegge i dati dell'utente nel cloud

Ecco qualche suggerimento per proteggere i file in OneDrive: Creare una password complessa. Verificare la complessità della password . Aggiungere informazioni di sicurezza all'account Microsoft. È possibile aggiungere informazioni come il numero di telefono, un indirizzo di posta elettronica alternativo e una domanda di sicurezza con relativa risposta. In questo modo, se si dovesse dimenticare la password o se l'account in uso dovesse essere oggetto di attacchi da parte di pirati informatici, Microsoft potrà usare le informazioni di sicurezza fornite per verificare l'identità dell'utente e consentirgli di usare di nuovo l'account. Accedi alla pagina Informazioni di sicurezza . Usare la verifica a due fattori. In questo modo l'account viene protetto perché viene chiesto di immettere un codice di sicurezza supplementare ogni volta che si accede da un dispositivo che non è considerato attendibile. Il secondo codice può essere ...
Posta un commento
Read more »

Guida a Windows 11: Cerca qualsiasi cosa, ovunque

La funzionalità di ricerca è disponibile nella barra delle applicazioni, pronta per aiutarti a trovare quello che stai cercando. Usa la casella di ricerca per trovare app, file, impostazioni, guida e altro ancora in Windows, oltre a sfruttare la potenza del Web con un rapido accesso a informazioni online come conversioni di fuso orario, ricerca dei fatti, ricerche di tendenza e risultati della ricerca per passare più rapidamente ai siti Web. È anche possibile usare La ricerca per trovare file e persone nell'organizzazione aziendale o dell'istituto di istruzione tramite Microsoft Search .  La casella di ricerca in Start e Cerca verrà aggiornata periodicamente con nuovi contenuti e un'illustrazione divertente per aiutarti a scoprire di più, rimanere connesso ed essere produttivo.  Scopri di più con la home page di ricerca Basta toccare o fare clic su Cerca per aprire la home page di ricerca e scoprire cosa succede online, nel mondo, nell'organizzazione e nel PC....
Posta un commento
Read more »

Opzioni di avvio avanzate in Windows 7.

Il menu Opzioni di avvio avanzate consente di avviare Windows in modalità avanzate della risoluzione dei problemi. Per accedere al menu, è possibile accendere il computer e premere F8 prima dell'avvio di Windows . Alcune opzioni, ad esempio la modalità provvisoria, consentono di avviare Windows in uno stato limitato, che prevede solo le funzionalità minime. Se un problema non si ripresenta dopo l'avvio in modalità provvisoria, significa che le impostazioni predefinite e i driver di dispositivo minimi funzionano correttamente. Altre opzioni consentono di avviare Windows con funzionalità avanzate destinate agli amministratori di sistema e ai professionisti IT. Per ulteriori informazioni, visitare il sito Web Microsoft per i professionisti IT . Ripristina il computer. Visualizza un elenco di strumenti di ripristino del sistema che è possibile utilizzare per riparare i problemi relativi all'avvio, eseguire la diagnostica o ripristinare il...
2 commenti
Read more »

Guida a Windows 11: File e archiviazione

Gestione file La gestione dei file in Windows è facilitata dall'uso di Esplora file, un potente strumento che consente di esplorare, organizzare e gestire i file e le cartelle in modo efficiente. Con Esplora file è possibile accedere rapidamente a documenti, immagini e altri file, nonché eseguire operazioni come copiare, spostare, comprimere ed eliminare file. OneDrive OneDrive è il servizio di archiviazione nel cloud che consente di archiviare, condividere e sincronizzare i file su più dispositivi. Offre una perfetta integrazione con le applicazioni Windows e Office, semplificando l'accesso a documenti, foto e altri file da qualsiasi luogo dotato di connessione a Internet. Ricerca Windows Search è un strumento potente che consente di trovare rapidamente file, app e impostazioni nel dispositivo. Con le opzioni avanzate di indicizzazione e filtro, è possibile individuare facilmente ciò che serve, sia che si tratti di un documento, di un'impostazione di sistema ...
Posta un commento
Read more »