Sapere se un processo svchost è virus o no su Windows

Come scoprire se un processo svchost è un malware oppure è legittimo?

Aprendo il Task Manager di Windows (che su Windows 7 e successivi si chiama “Gestione attività” e su tutte le versioni si richiama con la combinazione dei tre tasti Ctrl+Shift+Esc oppure dal menu contestuale del mouse facendo un clic con il tasto destro sulla barra delle applicazioni) in alcuni casi potrebbe capitare di ritrovarsi molti processi svchost in esecuzione.

È bene sapere che svchost in condizioni normali è un processo legittimo di Microsoft e verificato da Microsoft che viene utilizzato da Windows per eseguire decine di differenti servizi del sistema operativo.

Il problema però è che alcuni malware potrebbero sfruttare e/o camuffarsi sotto le spoglie di un processo svchost per infettare il sistema operativo. Di conseguenza anche se i processi svchost normalmente appartengono a Microsoft non è detto che sia sempre così, dunque è bene verificare se si tratta di processi legittimi oppure di qualche malevolo. Vediamo come.

Come sapere se un processo svchost è un malware o meno?
Si parte dal presupposto che un processo svchost legittimo è situato sotto la directory C:WindowsSystem32 ed è firmato e verificato da Microsoft. Va da se che se il processo svchost si trova al di fuori della directory di cui sopra e non è firmato da Microsoft ci si ha probabilmente davanti un malware.

Per vedere rapidamente queste due informazioni relative ad ogni processo svchost in esecuzione si può usare l’ottimo programma gratis e portable Process Explorer.

1. Per prima cosa è necessario eseguire Process Explorer come amministratore e una volta avviato, nella barra dei menu cliccare View > Select Columns dunque nell’omonima finestra che verrà visualizzata, come nell’esempio sotto in figura:
Process Explorer finestra opzioni Select Columns
nella scheda “Process Image” selezionare le due opzioni “Verified Signer” e “Command Line” che appunto rispettivamente aggiungono a Process Explorer le colonne per visualizzare la directory e la firma dei processi (svchost compreso).

2. Sempre nella barra dei menu adesso cliccare “Options” e nel menu selezionare l’opzione “Verify Image Signatures” per attivare la funzione di verifica delle firme digitali dei processi in esecuzione (in questo caso specifico per sapere se la firma Microsoft dei processi svchost è veramente di Microsoft).

3. Tornati alla schermata principale di Process Explorer non resta altro che controllare le informazioni riportate nelle due colonne “Verified Signer” e “Command Line” (come nell’esempio sotto in figura):
Process Explorer finestra principale
e accertarsi che in nella prima venga riportata la dicitura “(Verified) Microsoft Windows” ovvero processo per il quale è verificato che è firmato da Microsoft; nella seconda che la directory alla quale punta il processo svchost è C:WindowsSystem32svchost.exe.

Se queste informazioni differiscono allora significa che molto probabilmente il servizio (o i servizi) svchost in questione sono dei malware.

Per sbarazzarsene, prima di utilizzare uno o più di questi programmi per trovare ed eliminare virus dal PC, è conveniente effettuare la scansione del computer prima che si avvii Windows in maniera tale da individuare e rimuovere quelle minacce più ostiche impossibili da fare fuori quando il sistema operativo è in esecuzione; a tale proposito di deve usare un Rescue disk, oppure, se il sistema operativo in uso è Windows 10 Anniversary Update o superiore, utilizzare lo strumento integrato Windows Defender Offline che è un rescue disk a tutti gli effetti (fra l’altro scaricabile liberamente come risorsa separata dal sistema operativo e per qualsiasi versione di Windows).

È inoltre bene ricordare che direttamente con Process Explorer è anche possibile sottoporre a multiscansione antivirus di VirusTotal i processi in esecuzione per sapere se si tratta di malware o meno.

LEGGI ANCHE: Perché ci sono due processi explorer.exe e come risolvere