Quando il sistema Windows funziona cor­ret­ta­men­te, non avete pro­ba­bil­men­te alcun motivo per andare a ve­ri­fi­ca­re la Gestione attività o i singoli processi e servizi. Così come gli au­to­mo­bi­li­sti aprono il cofano della propria auto raramente quando questa non presenta problemi, anche gli utenti dei PC non sbirciano tra i servizi in ese­cu­zio­ne e i programmi a essi correlati. Tuttavia, spesso è buona norma acquisire le nozioni di base su questo argomento e imparare a conoscere i prin­ci­pa­li programmi di sistema, in par­ti­co­la­re se svolgete un lavoro per il quale un computer ben fun­zio­nan­te è im­pre­scin­di­bi­le. I problemi, infatti, si pre­sen­ta­no spesso nei momenti meno opportuni. Se ri­scon­tra­te una delle si­tua­zio­ni seguenti, vale la pena dare uno sguardo ai processi in ese­cu­zio­ne:

  • Utilizzo stra­na­men­te elevato del sistema, ad esempio un utilizzo della CPU spro­por­zio­na­to
  • Crash di programmi o finestre “congelate”
  • Sospetto di virus
  • Im­pos­si­bi­li­tà di avviare programmi in­stal­la­ti cor­ret­ta­men­te

A una prima analisi delle ap­pli­ca­zio­ni in ese­cu­zio­ne, salta si­cu­ra­men­te all’occhio il processo svchost.exe. Il motivo è che questo processo viene eseguito più volte con­tem­po­ra­nea­men­te, spesso alcune decine di volte. Il nome del programma contiene l’ab­bre­via­zio­ne Service Host (tradotto: host di servizio o “ospite” per i servizi). Si tratta dunque di un software che può essere uti­liz­za­to da altri programmi o servizi. Per questo non è possibile in­di­vi­dua­re im­me­dia­ta­men­te il programma d’origine che si nasconde dietro al processo esaminato.

Dove si trova svchost.exe?

Trat­tan­do­si di un programma di sistema, svchost.exe si trova nella cartella di sistema “\Windows\System32”. Questa è una cartella protetta alla quale gli utenti sprov­vi­sti di permessi da am­mi­ni­stra­to­re non hanno accesso. Il programma viene ri­chia­ma­to dopo l’avvio del sistema dal Service Control Manager (SCM). Questo gestisce, nel registro di sistema di Windows (Registry) un elenco dei servizi da avviare. Dopo l’avvio del sistema, il SCM esegue, per ciascun servizio contenuto nell’elenco, un’istanza di svchost.exe come processo.

Immagine: Istanza del processo host servizio (svchost.exe) nella Gestione attività di Windows 10
A dif­fe­ren­za delle pre­ce­den­ti versioni, la Gestione attività di Windows 10 iden­ti­fi­ca le istanze di svchost.exe non con questo nome criptico, ma con quello di “host servizio”.

A questo riguardo esiste anche la pos­si­bi­li­tà di accorpare più servizi in un unico processo. Nei computer più potenti, tuttavia, Windows tende ad avviare un processo separato per ciascun servizio. Questo permette di de­li­mi­ta­re meglio i singoli processi e risulta van­tag­gio­so nel caso in cui un processo vada in “crash”, ossia entri in uno stato di ese­cu­zio­ne in­de­fi­ni­to. In questi casi è quindi possibile chiudere il task pro­ble­ma­ti­co senza andare a toccare gli altri programmi.

Fatto

Il registro di sistema Windows, a cui spesso si fa ri­fe­ri­men­to anche con il termine inglese Registry, è il percorso in cui sono salvate molte im­por­tan­ti im­po­sta­zio­ni del sistema operativo. È strut­tu­ra­to in modo ge­rar­chi­co e può essere gestito con l’editor Regedit.

A che cosa serve svchost.exe?

Vi chie­de­re­te perché mai, per avviare i servizi, sia ne­ces­sa­rio un software ag­giun­ti­vo. Il motivo risiede in una maggiore ef­fi­cien­za e in concetti specifici come le co­sid­det­te Dynamic Link Libraries (DLL). Queste ultime uti­liz­za­no svchost.exe proprio per eseguire un servizio. In generale, queste librerie con­ten­go­no un codice di programma che può essere uti­liz­za­to da diversi software e, se ne­ces­sa­rio, collegato (tramite link) in modo dinamico. Questo, da una parte, permette di ri­spar­mia­re spazio in memoria, poiché si evita che ogni singolo software debba disporre delle funzioni cor­ri­spon­den­ti. Dall’altra favorisce la mo­du­la­riz­za­zio­ne. Le DLL possono essere adattate e ag­gior­na­te in base al software uti­liz­za­to.

N.B.

In caso di errori in una DLL, è possibile che siano coinvolti più programmi con­tem­po­ra­nea­men­te!

Con le loro proprietà, le librerie dinamiche sup­por­ta­no programmi di uso comune che, per essere eseguiti in modo in­di­pen­den­te, ne­ces­si­ta­no di ampi codici macchina. Inoltre risolvono il problema per il quale de­ter­mi­na­te risorse di programma (come le risorse in­cor­po­ra­te) non possono essere di norma in­di­riz­za­te di­ret­ta­men­te da altri programmi. Il sistema predilige la forma delle DLL per rendere di­spo­ni­bi­li so­prat­tut­to quelle fun­zio­na­li­tà che sono ne­ces­sa­rie per più programmi.

In che modo un processo svchost.exe può essere ana­liz­za­to più in dettaglio?

Se ri­scon­tra­te che un processo svchost.exe sta causando problemi sul vostro sistema, esistono diverse pos­si­bi­li­tà per ana­liz­zar­lo più a fondo.

Gestione attività

Uno strumento efficace è la Gestione attività integrata in Windows, di norma ri­chia­ma­bi­le con la com­bi­na­zio­ne di tasti [Ctrl] + [Shift] + [Esc]. In al­ter­na­ti­va è anche possibile digitare le parole “Gestione attività” nella barra di ricerca e avviare l’ap­pli­ca­zio­ne tramite il risultato di ricerca vi­sua­liz­za­to.

La Gestione attività presenta diverse schede. Di solito viene avviata con la vi­sua­liz­za­zio­ne dei processi già aperta. Per ciascun processo avviato, qui vengono vi­sua­liz­za­ti l’utilizzo per­cen­tua­le del sistema, ossia l’utilizzo di potenza di calcolo, memoria di lavoro, traffico di rete e accessi al disco fisso. L’ordine delle voci può essere mo­di­fi­ca­to facendo clic sul criterio de­si­de­ra­to. I processi sono de­no­mi­na­ti in base ai ri­spet­ti­vi programmi. In Windows 10, i processi svchost.exe sono preceduti dalla dicitura “Host servizio”, seguita dalla de­scri­zio­ne del servizio eseguito. Nelle versioni pre­ce­den­ti di Windows, il nome svchost.exe veniva vi­sua­liz­za­to di­ret­ta­men­te nell’elenco dei processi.

Servizi (Services.msc)

Tutti i servizi possono essere vi­sua­liz­za­ti con l’app di sistema Servizi. Per aprire questa ap­pli­ca­zio­ne, aprite la finestra di dialogo Esegui tramite il menu Start (icona Windows) e digitate quanto segue:

services.msc

Nel menu di scelta rapida di ogni singola voce si trova il campo di selezione “Proprietà”. Questo mostra il percorso del file ese­gui­bi­le collegato. Vengono inoltre vi­sua­liz­za­ti il nome del servizio e una breve de­scri­zio­ne. In questo modo è possibile conoscere la funzione del servizio. Le relazioni di di­pen­den­za da altri servizi sono vi­sua­liz­za­bi­li nell’omonima scheda.

tasklist.exe

Se avete di­me­sti­chez­za con l’utilizzo della riga di comando, il programma tasklist.exe offre una valida al­ter­na­ti­va. In Windows 10 il programma è pre­in­stal­la­to e par­ti­co­lar­men­te intuitivo. Nelle versioni pre­ce­den­ti era im­ple­men­ta­to un software analogo de­no­mi­na­to “tlist.exe”. Per avviare il programma è ne­ces­sa­rio ri­chia­ma­re il prompt dei comandi “cmd.exe”. Per ottenere un elenco di tutte le istanze di svchost.exe con i relativi ID di processo e i servizi eseguiti, nella riga di comando di Windows digitate il comando seguente:

tasklist /svc /fi "imagename eq svchost.exe"

Programmi esterni: Process Explorer

Microsoft offre gra­tui­ta­men­te software ag­giun­ti­vi come Process Explorer di Mark Rus­si­no­vich, noto autore di testi spe­cia­li­sti­ci e guru di Windows. Il programma ha una grafica simile a quella della Gestione attività, tuttavia offre funzioni molto più ampie. Risulta quindi facile in­di­vi­dua­re da quali processi vengono ri­chia­ma­ti altri processi. Inoltre, il menu di scelta rapida ri­chia­ma­bi­le con il tasto destro del mouse è molto più det­ta­glia­to. Ad esempio, viene vi­sua­liz­za­to non solo il programma associato a un processo, ma anche la ri­spet­ti­va voce di registro. È inoltre possibile eseguire il controllo dei software di­ret­ta­men­te sulla piat­ta­for­ma Vi­ru­sto­tal.

In che modo è possibile capire se svchost.exe è un virus?

Il processo svchost.exe risulta spesso sospetto quando si analizza un sistema infettato da malware. Questo è dovuto al fatto che il servizio di base non è sempre im­me­dia­ta­men­te ri­co­no­sci­bi­le. Inoltre non è possibile escludere che il malware sfrutti la funzione del processo e si agganci a esso. Il fatto che il processo venga eseguito in numerose istanze è stato in passato sfruttato di frequente dai criminali in­for­ma­ti­ci.

Non sempre è facile stabilire se si tratta di processi legittimi o meno: per prima cosa è ne­ces­sa­rio ve­ri­fi­ca­re se il processo presenta un’or­to­gra­fia corretta. Spesso, infatti, i malware uti­liz­za­no nomi ap­pa­ren­te­men­te simili come, ad esempio, scvhost.exe o svhost.exe. Inoltre, seguendo la procedura sopra descritta è possibile vi­sua­liz­za­re il percorso in cui è stato salvato il file ese­gui­bi­le. Questo deve essere esclu­si­va­men­te “\Windows\System32\”; in caso contrario si tratta di un processo di sistema non ufficiale.

Ulteriori in­di­ca­zio­ni si possono ottenere dai servizi collegati. Se questi sono funzioni di sistema note di Windows, la pro­ba­bi­li­tà che la causa sia un malware è piuttosto bassa. Inoltre, la scheda “Dettagli” della Gestione attività offre ulteriori in­for­ma­zio­ni. Nelle Proprietà è contenuta una firma digitale (cer­ti­fi­ca­to) del pro­prie­ta­rio che, nel caso di svchost.exe, deve sempre essere la società Microsoft.

In che modo è possibile terminare i singoli processi svchost.exe?

Se un programma con un’in­ter­fac­cia utente grafica non reagisce più, può essere utile terminare ma­nual­men­te il relativo processo. È anche possibile che siano state inav­ver­ti­ta­men­te avviate più istanze di un programma, ad esempio facendo più volte doppio clic sull’icona del programma. Anche in questo caso è possibile terminare i processi superflui affinché il programma possa essere di nuovo uti­liz­za­to nor­mal­men­te. I processi come svchost.exe possono essere chiusi nella Gestione attività. A questo scopo, nell’elenco dei processi è suf­fi­cien­te se­le­zio­na­re la relativa voce clic­can­do­la con il tasto destro, quindi se­le­zio­na­re l’opzione “Termina attività”.

N.B.

Tenete presente che terminare processi di sistema potrebbe causare problemi inattesi al sistema operativo in uso. È quindi con­si­glia­bi­le salvare dapprima i documenti o altre banche dati aperti!

Se un’istanza svchost.exe continua a causare problemi anche dopo il riavvio, rimane comunque la pos­si­bi­li­tà di di­sat­ti­va­re il processo ma­nual­men­te nell’app “Servizi”. In questo caso è tuttavia buona norma in­for­mar­si pre­ven­ti­va­men­te sulla funzione del servizio da di­sat­ti­va­re per non incorrere nel rischio che, al suc­ces­si­vo riavvio, il sistema non funzioni più cor­ret­ta­men­te.

svchost.exe – un processo come nessun altro

Di fatto, svchost.exe è un processo as­so­lu­ta­men­te normale, ma allo stesso tempo del tutto par­ti­co­la­re. Viene eseguito in mol­te­pli­ci istanze, ma questo non indica so­stan­zial­men­te né un mal­fun­zio­na­men­to del sistema, né la presenza di malware attivi. La finalità di ognuno di questi processi è re­la­ti­va­men­te facile da in­di­vi­dua­re nella Gestione attività di Windows. Inoltre, se ne­ces­sa­rio, svchost.exe può essere terminato ma­nual­men­te come qualunque altro processo.

Vai al menu prin­ci­pa­le