“svchost.exe” หรือชื่อเต็มๆของมันคือ “Generic Host Process for Win32 Services” ซึ่งเป็นส่วนของ System process อีกตัวหนึ่ง ในระบบปฏิบัติการ Windows เมื่อมันถูกสั่งให้รันหรือทำงานโดย Windows ผู้ใช้งานไม่สามารถทำการหยุด, terminate,end process หรือ re-start ได้ แต่ถ้าเราเผลอไป end proces มันแล้ววหล่ะก็ จะทำให้เครื่องของเราทำงานผิดพลาดได้ โดยเฉพาะในเรื่องของ Network แล้วหน้าที่ของมันหล่ะ เอาไว้ทำอะไร???
หน้าที่ของ svchost.exe
เจ้า “svchost.exe” เมื่อมันถูกสั่งรันหรือให้ทำงาน มันจะทำหน้าที่ ก็คือ
จัดการหรือโหลดพวกไฟล์ 32bit-DLLs(dynamic-link libraries) ที่จำเป็นสำหรับ Windows และ Services อื่นๆ ซึ่งมีอยู่หลาย instance หลายกลุ่ม ตามแต่ command line parameter นั้นๆ อันได้แก่ background process ทั้งหลายที่ถูกรันอยู่หลังบ้าน เมื่อ Windows ทำงานแล้วนั่นเอง ซึ่งได้แก่
- กลุ่มที่ 1 DCOM Server Process Launcher และ Terminal Services
- กลุ่มที่ 2 Remote Procedure Call(RPC)
- กลุ่มที่ 3 Windows Audio, Background Intelligent Transfer Service, Computer Browser, Cryptographic Services, DHCP Client, Logical Disk Manager, Error Reporting Service, COM+ Event System, Server, Workstation, Network Connections, network Location Awareness, Remote Access Connection Manager, Telephony, Themes, Windows Time ฯลฯ
- กลุ่มที่ 4 DNS Client
- กลุ่มที่ 5 TCP/IP NetBIOS Helper, Remote Registry, SSDP Discovery Service และ WebClient
ตำแหน่งที่อยู่ของ svchost.exe
โดยทั่วไปแล้ว เจ้า “svchost.exe” จะอยู่ที่ “%windir%\System32″ หรือทั่วๆไป ก็คือ “C:\Windows\System32″ เช่นเดียวกับไฟล์ DLLs ที่ถูกเรียกโหลดขึ้นมาใช้งานนั่นแหล่ะครับ ถ้าอยู่ในตำแหน่งที่อยู่ที่นอกเหนือจากนี้ ให้สันนิฐานไว้เลยว่ามันคือ ไวรัส, สปายแวร์, โทรจัน หรือเวิร์มนั่นเองครับ ซึ่งสามารถใช้โปรแกรม Security Task Manager v.1.7 (ฟรี) ตรวจสอบได้ หรือจะใช้โปรแกรม Process Explorer เรียกและตรวจสอบก็ได้เช่นเดียวกัน ซึ่งจะทำให้เรารู้ที่มาของไฟล์และ Process ที่รันอยู่ ทำให้เราสามารถกำจัดต้นตอมันได้นั่นเองครับ
ซึ่งไวรัสที่มีชื่อคล้ายๆกับ เจ้า “svchost.exe” ขอยกตัวอย่าง เช่น
- Symantec Security Response - W32.Welchia.Worm
- Symantec Security Response - W32.Assarm@mm
- McAfee - W32/Jeefo
- หรือ ไฟล์เหล่านี้ ที่พยามยามสร้างให้เหมือนเจ้า “svchost.exe” ได้แก่
- SCVHOST.exe คือ Gaobot viruses
- Svch0st.exe คือ Backdoor.Graybird viruses
- Svchos1.exe คือ W32.HLLW.Gaobot.DK virus
- Svchost32.exe คือ Backdoor.IRC.Zcrew, W32.HLLW.Deborms.C, W32.Mimail.J@mm, or the W32.Paylap.@mm
- Svhost.exe คือ Backdoor.Socksbot, Bat.Boohoo.Worm, W32.Bolgi.Worm
หลายคนคงจะเคยเป็นหรือเคยเจอกับปัญหา svchost.exe ใช้งาน CPU 100% และ Memory Leak มากันบ้างแล้ว โดยอาการก็คือ เมื่อเราเปิด-บู๊ตเครื่องเข้า Windows XP ประมาณ 30 วินาทีหรือ 1 นาที จากนั้นลองกดปุ่ม Ctrl + Atl + Del แล้วเลือก Task Manager หรือ Ctrl + Shift + Esc (เพื่อเปิด Task Manager) แล้วเลือกที่แท๊บ Process แล้วดูที่ คอลัมน์ Mem Usage จะพบว่าไฟล์/process ของ “svchost.exe” ใช้งาน CPU 99 - 100% เลยทีเดียว ดังรูป
ทั้งนี้มันจะเกิดขึ้นตอนที่ Windows XP มีการสั่ง Automatic Update (โดยเครื่องนั้นต้อง turn on Automatic Update เอาไว้ด้วย) แล้วเราจะมีวิธีหยุดมันได้อย่างไร มาดูกันต่อ
อย่างง่ายที่สุดก็คือ Tunr off Automatic Update อันนี้แก้ที่ต้นเเหตุมันเลยหล่ะครับ โดยคลิกขวาที่ My Computer > Properties > เลือกแท็บ Automatic Updates > จากนั้นเลือกที่ Turn off Automatic Updates > Apply > OK เท่านี้ก็เรียบร้อยแล้วครับ
แต่ถ้าใครที่เจอปัญหานี้เข้าแล้ว และไม่สามารที่จะแก้ได้ตามวิธีข้างต้น สามารถทำได้ดังวิธีต่อไปนี้นะครับ
- ให้ไปที่เว็บ Microsoft และ Download Windows Update v3 ตามลิงค์นี้ WindowsUpdateAgent30-x86.exe ลงไว้ที่เครื่อง
- จากนั้นให้ Download ไฟล์ fix_svchost.bat (ถ้าใช้ IE ให้คลิกขวาที่ลิงค์ แล้วเลือก save as.., FF ให้คลิกขวาที่ลิงค์ แล้วเลือก save link as..) ลงไว้ที่เครื่องเช่นเดียวกัน
- จากนั้นก็ไป Download ไฟล์ WindowsXP-KB927891.exe กับไฟล์ WindowsUpdateAgent30-x86.exe (ถ้าใช้ IE ให้คลิกขวาที่ลิงค์ แล้วเลือก save as.., FF ห้คลิกขวาที่ลิงค์ แล้วเลือก save link as..) ลงไว้ที่เครื่องด้วย
- จากนั้นให้ re-boot เครื่องเข้า Safe Mode โดยเมื่อกดปุ่ม F8 ซ้ำๆ แล้วเลือกที่เมนู Safe Mode
- เมื่อเครื่องเข้าสู่ Safe Mode แล้ว ให้ Log in เข้า Windows XP ด้วย “Administrators”
- จากนั้นให้ไปที่ไฟล์ fix_svchost.bat ที่เราดาวน์โหลดมาไว้ (หรือทำเองตามวิธีด้านล่าง) เลือก ดับเบิ้ล-คลิก เพื่อสั่งรัน หรือจะไปที่ Start > Run แล้ว Browse เลือกไฟล์ fix_svchost.bat เลือกเลือก Open > OK
- จากนั้นจะมีโปรแกรมหน้าจอสีดำขึ้นมา มันก็จะทำงานตามคำสั่งในไฟล์ที่เราเปิดไปเมื่อกี้ ให้รอ เมื่อมันทำงานเสร็จมันจะปิดตัวเองออกไป
- จากนั้นให้ไปที่ไฟล์ WindowsXP-KB927891.exe ที่เราดาวน์โหลดมาไว้ เลือก ดับเบิ้ล-คลิก เพื่อสั่งรัน หรือจะไปที่ Start > Run แล้ว Browse เลือกไฟล์ WindowsXP-KB927891.exe เลือกเลือก Open > OK แล้วทำตามขั้นตอนหรือคำสั่งที่โปรแกรมติดตั้งบอกจนเสร็จ
- เมื่อ Windows XP ทำการอัพเดทเสร้จสิ้นแล้ว ให้ไปที่ไฟล์ WindowsUpdateAgent30-x86.exe ที่เราดาวน์โหลดมาไว้ เลือก ดับเบิ้ล-คลิก เพื่อสั่งรัน หรือจะไปที่ Start > Run แล้ว Browse เลือกไฟล์ WindowsUpdateAgent30-x86.exe เลือกเลือก Open > OK แล้วทำตามขั้นตอนหรือคำสั่งที่โปรแกรมติดตั้งบอกจนเสร็จ
- เมื่อเสร็จสิ้นทั้ง 9 ขั้นตอนแล้ว ให้ทำการ Re-boot เครื่อง
วิธีทำไฟล์ fix_svchost.bat
Open notepad กด Copy code paste ลง Notepad แล้ว Save เป็น .bat อย่าลืมเลือก Type ตอนsave เป็น All File type
regsvr32 comcat.dll /s regsvr32 shdoc401.dll /s regsvr32 shdoc401.dll /i /s regsvr32 asctrls.ocx /s regsvr32 oleaut32.dll /s regsvr32 shdocvw.dll /I /s regsvr32 shdocvw.dll /s regsvr32 browseui.dll /s regsvr32 browseui.dll /I /s regsvr32 msrating.dll /s regsvr32 mlang.dll /s regsvr32 hlink.dll /s regsvr32 mshtmled.dll /s regsvr32 urlmon.dll /s regsvr32 plugin.ocx /s regsvr32 sendmail.dll /s regsvr32 scrobj.dll /s regsvr32 mmefxe.ocx /s regsvr32 corpol.dll /s regsvr32 jscript.dll /s regsvr32 msxml.dll /s regsvr32 imgutil.dll /s regsvr32 thumbvw.dll /s regsvr32 cryptext.dll /s regsvr32 rsabase.dll /s regsvr32 inseng.dll /s regsvr32 iesetup.dll /i /s regsvr32 cryptdlg.dll /s regsvr32 actxprxy.dll /s regsvr32 dispex.dll /s regsvr32 occache.dll /s regsvr32 occache.dll /i /s regsvr32 iepeers.dll /s regsvr32 urlmon.dll /i /s regsvr32 cdfview.dll /s regsvr32 webcheck.dll /s regsvr32 mobsync.dll /s regsvr32 pngfilt.dll /s regsvr32 licmgr10.dll /s regsvr32 icmfilter.dll /s regsvr32 hhctrl.ocx /s regsvr32 inetcfg.dll /s regsvr32 tdc.ocx /s regsvr32 MSR2C.DLL /s regsvr32 msident.dll /s regsvr32 msieftp.dll /s regsvr32 xmsconf.ocx /s regsvr32 ils.dll /s regsvr32 msoeacct.dll /s regsvr32 inetcomm.dll /s regsvr32 msdxm.ocx /s regsvr32 dxmasf.dll /s regsvr32 l3codecx.ax /s regsvr32 acelpdec.ax /s regsvr32 mpg4ds32.ax /s regsvr32 voxmsdec.ax /s regsvr32 danim.dll /s regsvr32 Daxctle.ocx /s regsvr32 lmrt.dll /s regsvr32 datime.dll /s regsvr32 dxtrans.dll /s regsvr32 dxtmsft.dll /s regsvr32 WEBPOST.DLL /s regsvr32 WPWIZDLL.DLL /s regsvr32 POSTWPP.DLL /s regsvr32 CRSWPP.DLL /s regsvr32 FTPWPP.DLL /s regsvr32 FPWPP.DLL /s regsvr32 WUAPI.DLL /s regsvr32 WUAUENG.DLL /s regsvr32 ATL.DLL /s regsvr32 WUCLTUI.DLL /s regsvr32 WUPS.DLL /s regsvr32 WUWEB.DLL /s regsvr32 wshom.ocx /s regsvr32 wshext.dll /s regsvr32 vbscript.dll /s regsvr32 scrrun.dll mstinit.exe /setup /s regsvr32 msnsspc.dll /SspcCreateSspiReg /s regsvr32 msapsspc.dll /SspcCreateSspiReg /s regsvr32 /s urlmon.dll regsvr32 /s mshtml.dll regsvr32 /s shdocvw.dll regsvr32 /s browseui.dll regsvr32 /s jscript.dll regsvr32 /s vbscript.dll regsvr32 /s scrrun.dll regsvr32 /s msxml.dll regsvr32 /s actxprxy.dll regsvr32 /s softpub.dll regsvr32 /s wintrust.dll regsvr32 /s dssenh.dll regsvr32 /s rsaenh.dll regsvr32 /s gpkcsp.dll regsvr32 /s sccbase.dll regsvr32 /s slbcsp.dll regsvr32 /s cryptdlg.dll regsvr32 /s schannel.dll regsvr32 /s oleaut32.dll regsvr32 /s ole32.dll regsvr32 /s shell32.dll regsvr32 /s initpki.dll regsvr32 /s msscript.ocx regsvr32 /s dispex.dll regsvr32 jscript.dll /s del %temp% /Q /F net stop wuauserv ren %windir%\system32\catroot2 catroot2.old cd /d %windir%\SoftwareDistribution rd /s DataStore /Q regsvr32 wuapi.dll /s regsvr32 wups.dll /s regsvr32 wuaueng.dll /s regsvr32 wucltui.dll /s regsvr32 wuweb.dll /s regsvr32 msxml.dll /s regsvr32 msxml2.dll /s regsvr32 msxml3.dll /s regsvr32 urlmon.dll /s net start wuauserv exit
ไม่มีความคิดเห็น:
แสดงความคิดเห็น