วิธีการแก้ไวรัส SVCHOST.EXEหลายครั้งหลายคราที่เครื่องคอมพิวเตอร์ที่ผมต้องใช้งานอยู่เป็นประจำ มีอาการอืดอาดยืดยาด ชนิดที่ว่าคลิกไปแล้วครั้งนึง สามารถดื่มกาแฟได้หนึ่งถ้วยเลยทีเดียว (ไม่รู้เว่อร์ไปป่าว อิอิ) ก็เลยเปิด windows task manager ดูในส่วนของ Performance โอ้โห กราฟขึ้นติดเพดานเลยครับ ไล่ดูที่ Processes เพื่อจะหาว่าตัวใหนใช้ CPU เยอะสุด อะฮ้า เจอครับ แต่ไม่ใช่ autorun ที่หลายๆทั่นเคยเจอจากกรณีดู VCD แล้วเครื่องอืดนะครับ แต่เป็นไฟล์ที่ชื่อว่า scvhost.exe ครับ ด้วยสัญชาตญาณแห่งการทำลาย จัดการคลิกขวาแล้วเลือก End processes ทันทีโดยมิรอช้า อิอิ เสร็จเรา process นั่นหายไป คิดว่าคงจะจบปัญหา อนิจา จู่ๆภายในเวลาไม่เกิน 10 นาที Windows ที่แสนจะสะดวกสบายจัดการ restart เครื่องโดยอัตโนมัติ อ่ะ ไม่เป็นรัย คงเป็นเพราะเมื่อสักครู่ เราลบ process ไป แต่มันมะช่ายอ่ะกิ๊บ มันมะช่าย CPU ยังขึ้นที่ 100% จาก svchost.exe เหมือนเดิม อารายกันนี่ ออกอาการเคืองเล็กน้อย ยอมวางมือจากงาน ใช้ anti-virus ที่มีอยู่ scan ทุก Drive ที่มีอยู่(จริงๆแล้วมี drive C: อยู่ drive เดียวครับ อิอิ) หวังว่าจะเจอสาเหตุ เพื่อที่จะได้แก้ปัญหาให้จบๆ ไปซะ เกือบครึ่งชั่วโมงต่อมาหลัง scan เสร็จสิ้น โอว..พระเจ้าจอร์จ ไม่นะ ไม่นะ มันยังไม่ตาย มันยังดิ้นรนใช้ CPU อยู่ที่ 100% เหมือนเดิมทุกประการ เอางัยดีหว่า ตัดสินใจ format ลงโปรแกรม Windows ใหม่ในทันที ยอมเสียเวลาติดตั้งโปรแกรมอื่นๆ ด้วย เอ้า ดูสิมันจะยังทำสถิติ 100% อยู่อีกมั๊ย หะหะ สะใจโก๋ อ๊ะอ๊ะ ถึงจะไม่ฉลาดมาก แต่ยังรอบครอบนะครับ อย่าลืม backup ข้อมูลที่จำเป็นเก็บไว้ก่อนนะครับ หะหะ เสร็จสิ้นกระบวนการทั้งหมด ซึ่งรวมไปถึง update ทั้ง windows + anti-virus ใช้เวลาเกือบทั้งวัน แต่ปัญหานั้นได้หายไป อิอิ สบายใจไปได้
หลังจากนั้นลองหาดูว่า มีใคร เคยเจอปัญหาแบบผมบ้างรึป่าว นอกจากบทความของต่างประเทศที่แปลได้แบบ งูกินปลา แล้วที่เจอแบบไทยๆ ก็นี่เลย
http://www.thaiadmin.org/board/index...8784#msg198784 ของคุณ insanity จาก thaiadmin.org ที่ได้อธิบายเกี่ยวกับเจ้า svchost.exe ว่า svchost.exe คือ process ที่เป็น host สำหรับจัดการรวบรวมเอา services ต่าง ๆ ของ windows มา run บนตัวมัน เพื่อให้จัดการการทำงานดีขึ้น
คือ แทนที่แต่ละ service จะ run แยก ๆ กันไป และแต่ละ services ก็จอง memory ของตัวเอง ซึ่งจะทำให้เปลือง ตัว svchost จะสร้าง environment ขึ้นมา แล้วก็เอา service ต่างๆ มา run
เฮ่อ ๆ ก็เลยมาเข้าใจเอาเองว่า คงเป็นเพราะผมติดตั้งและถอนโปรแกรมบ่อยๆๆๆๆๆ ไฟล์บางไฟล์ของ windows อาจมีการเปลี่ยนขนาด หรือ อาจจะถูกลบทิ้งไป ทำใ้ห้ svchost.exe พยายาม run service บางตัวซึ่งบางที อาจไม่มีอยู่(โดนลบไปแล้ว) ทำให้ CPU วิ่งอยู่ที่ 100%
วิธีแก้ไขที่ผมคิดว่าใช้ได้ดีก็คือ ลงโปรแกรมใหม่ ครับ แต่ไม่จำเป็นต้อง format ตามแบบที่ผมกล่าวไว้ข้างต้น แต่เราจะใช้วิธีลง windows ใหม่แบบซ่อมแซมส่วนที่สึกหรอ วิธีการมีดังต่อไปนี้ครับ
1. ใส่แผ่น windows xp (ห้ามถามว่าใส่ที่ไหน)
2. คลิก start เลือก run
3. พิมพ์คำสั่ง E:\i386\winnt32 /unattend แล้วคลิก OK (ถ้าเครื่องของทั่นใส่ CD ที่ drive อื่นๆ ก็เปลี่ยนชื่อ drive ให้ตรงกับของทั่นด้วยนะครับ) โปรแกรมติดตั้งจะเริ่มดำเนินการติดตั้งวินโดว์ให้ทั่น ใหม่โดยยังคงรักษา
ค่าการทำงานต่างๆ เอาไว้เหมือนเดิม
ทั่นสามารถติดตั้งเฉพาะตัวโปรแกรมวินโดว์ใหม่โดยไม่จำ เป็นต้องฟอร์แมตแล้วลงวินโดว์และติดตั้งโปรแกรมอื่นๆ เข้าไปใหม่ให้เสียเวลา นอกจากนี้ทั่นยังไม่ต้อง มานั่งปรับตั้งค่าการทำงานต่างๆใหม่อีกครั้งแต่อย่างใดด้วย
ใครจะลองใช้วิธีการของผมก็ยินดีครับ ไม่สงวนตัว เอ้ย ลิขสิทธิ์ แต่อย่างใด
เพิ่มเติม
svchost.exe เป็น service (Generic Host Process for Win32 Services)ที่ใช้ในการโหลดไฟล์ .DLL การเรียกใช้ network การที่จะรู้ว่า service svchost ทำงานกับโปรแกรมอะไรอยู่นั้นทำได้ดังนี้ (winXP)
1. เปิด Task Manager ขึ้นมา เลือกที่
tap process >> view >> Select Columns.. แล้วเลือกที่ PID แล้วจำหมายเลข PID ของ svchost
2. จากนั้นก็เปิด Command Prompt ขึ้นมาแล้วพิมพ์ tasklist /svc ก็มาดูที่ PID แล้วดูรายละเอียดจะรู้ว่า svchost ทำงานร่วมกับโปรแกรมใด ถ้าเอามันออกตอน start up ได้ก็ค่อยเอาออก
Svchost.exe ของแท้เป็น Service Host – Generic Host Process for Win32 Servicesและที่อยู่ของไฟล์คือ C:\WinNT\System32\Svchost.exe หรือC:\Windows\System32\Svchost.exe.ส่วนไวรัสที่พยายามใช้ชื่อให้ใกล้เคียงกัน เพื่อทำให้เราสับสน...มีตัวอย่างตามด้านล่าง
SCVHOST.exe คือ Gaobot viruses
Svch0st.exe คือ Backdoor.Graybird viruses.
Svchos1.exe คือ W32.HLLW.Gaobot.DK virus
Svchost32.exe คือ Backdoor.IRC.Zcrew, W32.HLLW.Deborms.C, W32.Mimail.J@mm, or the W32.Paylap.@mm
Svhost.exe คือ Backdoor.Socksbot, Bat.Boohoo.Worm, W32.Bolgi.Worm
svchost.exe จึงกลายเป็นที่หมายปองของไวรัสต่างๆ..ในการแพร่กระจายตัวเองเข้าไปควบคุมเจ้าไฟล์ตัวนี้
ที่มา
http://gotoknow.org/blog/deviant/98291
