Giới thiệu về svchost.exe

File svchost.exe (Service Host) là một tiến trình hệ thống quan trọng, được cung cấp bởi Microsoft trong các hệ điều hành Windows. Trong những trường hợp thông thường, file svchost không phải là virus, mà là thành phần quan trọng đối với một số Windows service.

Svchost.exe giữ vai trò host service. Windows sử dụng svchost.exe để nhóm các service cần truy cập vào cùng một DLL, để chúng có thể chạy trong một tiến trình, giúp giảm nhu cầu về tài nguyên hệ thống.

Vì Windows sử dụng tiến trình Service Host cho rất nhiều tác vụ, nên ta thường thấy svchost.exe sử dụng RAM trong Task Manager. Bạn cũng sẽ thấy nhiều phiên bản khác nhau của svchost.exe đang chạy trong Task Manager vì Windows nhóm các service tương tự với nhau, chẳng hạn như các service liên quan đến mạng.

Svchost.exe là một thành phần quan trọng trong Windows, do đó bạn không nên xóa hoặc cách ly nó, trừ khi bạn đã xác minh chắc chắn rằng file svchost.exe mà bạn đang xử lý là không cần thiết hoặc độc hại. Chỉ có hai thư mục lưu trữ svchost.exe thật, bạn có thể dựa vào đó để dễ dàng phát hiện ra những file giả mạo.

Phần mềm nào sử dụng svchost.exe?

Tiến trình svchost.exe bắt đầu khi Windows khởi động và sau đó kiểm tra HKLM hive của registry (trong SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost) để biết các service sẽ load vào bộ nhớ.

Svchost.exe có thể chạy trong Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP và Windows 2000.

Kể từ Windows 10 Creator Update (phiên bản 1703), đối với các hệ thống có 3,5GB RAM, mọi service đều chạy phiên bản svchost riêng. Nếu ít hơn 3,5GB RAM, các service sẽ được nhóm thành những tiến trình svchost.exe chia sẻ, giống như trong các phiên bản Windows trước.

Một vài ví dụ về các service Windows sử dụng svchost.exe bao gồm:

  • Windows Update
  • Background Tasks Infrastructure Service
  • Plug and Play
  • World Wide Web Publishing Service
  • Bluetooth Support Service
  • Windows Firewall
  • Task Scheduler
  • DHCP Client
  • Windows Audio
  • Superfetch
  • Network Connections
  • Remote Procedure Call (RPC)

Svchost.exe có phải là virus không?

Việc này không thường xuyên xảy ra, nhưng cũng chẳng mất gì nếu kiểm tra cả, đặc biệt là khi bạn không biết tại sao svchost.exe lại chiếm hết bộ nhớ trên máy tính.

Bước đầu tiên trong việc xác định xem svchost.exe có phải là virus hay không, là xem mỗi phiên bản svchost.exe đang host service nào. Vì có nhiều phiên bản svchost.exe đang chạy trong Task Manager nên phải tìm hiểu sâu hơn một chút để xem mỗi tiến trình thực sự đang làm gì, trước khi quyết định xóa svchost hoặc vô hiệu hóa service đang chạy bên trong.

Khi đã biết những service nào đang chạy trong svchost.exe, bạn có thể xem liệu chúng có thực sự cần thiết không, hay chỉ là phần mềm độc hại đang giả vờ là svchost.exe.

Nếu sử dụng Windows 10 hoặc Windows 8, bạn có thể “mở” từng file svchost.exe từ Task Manager. Hãy làm như sau:

“Mở” từng file svchost.exe từ Task Manager

1. Mở Task Manager.

2. Chọn tab Processes.

3. Cuộn xuống phần Windows processes và tìm mục Service Host: <service name>.

4. Nhấn và giữ hoặc bấm chuột phải vào mục nhập và chọn Open file location.

Nếu vị trí mở là bất kỳ nơi nào khác, không nằm ở một trong các đường dẫn sau (vị trí Windows lưu trữ các bản sao chính xác của svchost.exe), bạn có thể đã gặp phải virus: %SystemRoot%\System32\svchost.exe hoặc %SystemRoot%\SysWOW64\svchost.exe.

Lưu ý: Đường dẫn thứ hai là nơi đặt các service 32-bit chạy trên máy 64-bit. Không phải tất cả các máy tính đều có thư mục đó.

5. Chọn mũi tên ở bên trái của mục để mở rộng nó. Nằm ngay dưới svchost.exe là mọi service mà nó host.

Đối với các phiên bản Windows khác như Windows 7, bạn cũng có thể sử dụng Task Manager để xem tất cả các service được sử dụng bởi svchost.exe, nhưng nó không được trình bày rõ ràng như trong các phiên bản Windows mới. Bạn có thể làm điều đó bằng cách bấm chuột phải vào một đối tượng svchost.exe trong tab Processes, chọn Go to Services, sau đó đọc qua danh sách các service được highlight trong tab Services.

Một tùy chọn khác là sử dụng lệnh tasklist trong Command Prompt để đưa ra danh sách tất cả các service được sử dụng bởi những phiên bản svchost.exe.

Một tùy chọn khác là sử dụng lệnh tasklist trong Command Prompt

Để làm điều đó, hãy mở Command Prompt và nhập lệnh sau:

tasklist /svc | find “svchost.exe”

Một tùy chọn khác bạn có ở đây là sử dụng toán tử chuyển hướng để xuất kết quả của lệnh sang file văn bản, có thể dễ đọc hơn.

Nếu bạn không nhận ra một thứ gì đó trong danh sách, thì điều đó không hẳn chắc chắn là virus. Nó có thể là một service mà bạn không nhận ra nhưng rất quan trọng đối với các hoạt động thiết yếu của Windows. Trên thực tế, có lẽ có hàng tá service trông giống virus nhưng rất an toàn.

Nếu ngần ngại về bất cứ điều gì bạn nhìn thấy, hãy tìm kiếm trên mạng. Bạn có thể làm điều đó trong Windows 10 hoặc 8 thông qua Task Manager, bằng cách nhấp chuột phải vào service và chọn Search online. Đối với Windows 7, Vista hoặc XP, hãy ghi lại service trong Command Prompt và gõ nó vào Google.

Để tắt service đang chạy trong svchost.exe, hãy xem hướng dẫn trong phần sau của bài viết.

Tại sao svchost.exe lại sử dụng nhiều bộ nhớ?

Tại sao svchost.exe lại sử dụng nhiều bộ nhớ?

Giống như bất kỳ tiến trình nào, svchost.exe cần RAM và CPU để chạy. Hoàn toàn bình thường khi thấy việc sử dụng RAM của svchost.exe tăng lên, đặc biệt là trong thời gian mà service sử dụng Service Host đang được dùng.

Một lý do lớn để svchost.exe sử dụng nhiều bộ nhớ (và thậm chí cả băng thông) là khi có một thứ gì đó truy cập Internet. Trong trường hợp đó, “svchost.exe netsvcs” có thể đang chạy. Điều này xảy ra nếu Windows Update tải xuống và cài đặt các bản vá và cập nhật khác. Các service khác được sử dụng trong svchost.exe netsvcs bao gồm BITS (Background Intelligent Transfer Service), Schedule (Task Scheduler), Themes và iphlpsvc (IP Helper).

Để ngăn chặn quá trình svchost tiêu thụ quá nhiều bộ nhớ hoặc tài nguyên hệ thống khác, bạn có thể ngăn chặn các service chịu trách nhiệm cho vấn đề này. Ví dụ, nếu svchost.exe làm chậm máy tính của bạn vì Windows Update, hãy dừng tải xuống/cài đặt các bản cập nhật hoặc vô hiệu hóa hoàn toàn service. Hoặc có thể Disk Defragmenter đang chống phân mảnh ổ cứng của bạn, trong trường hợp đó, Service Host sẽ sử dụng nhiều bộ nhớ hơn cho tác vụ này.

Tuy nhiên, trong các tình huống bình thường, svchost.exe không nên tiêu tốn tất cả bộ nhớ hệ thống. Nếu svchost.exe đang sử dụng tối đa 90% đến 100% RAM, bạn có thể đang phải đối mặt với một bản sao độc hại, không chính thống của svchost.exe. Nếu bạn gặp phải trường hợp này, hãy tiếp tục đọc bài viết để tìm hiểu cách xóa virus svchost.exe.

Cách tắt service Svchost.exe

Điều mà hầu hết mọi người có thể muốn làm với tiến trình svchost là xóa hoặc vô hiệu hóa một service chạy bên trong svchost.exe, vì nó sử dụng quá nhiều bộ nhớ. Tuy nhiên, ngay cả khi bạn muốn xóa svchost.exe vì nó là một loại virus, hãy làm theo các hướng dẫn sau, vì nó sẽ hữu ích cho việc vô hiệu hóa service trước khi cố gắng xóa nó.

Lưu ý: Đối với Windows 7 và các phiên bản Windows cũ hơn, sử dụng Process Explorer dễ dàng hơn. Nhấp chuột phải vào file svchost.exe và chọn Kill Process.

Cách tắt service Svchost.exe

1. Mở Task Manager.

2. Xác định service bạn muốn vô hiệu hóa.

Để thực hiện việc này trong Windows 10 hoặc 8, hãy mở rộng mục Service Host: <service name>.

3. Bấm chuột phải vào mục Task Manager cho service bạn muốn vô hiệu hóa và chọn Stop. Windows sẽ ngay lập tức dừng service đó. Bất kỳ tài nguyên hệ thống nào nó đang sử dụng sẽ được giải phóng cho các service và ứng dụng khác.

Mẹo: Nếu bạn không thấy tùy chọn dừng service, hãy đảm bảo rằng bạn đang chọn service đó chứ không phải dòng “Service Host”.

4. Nếu service không dừng vì chương trình đang chạy, hãy thoát nó. Nếu không thể thoát chương trình, bạn có thể phải gỡ cài đặt phần mềm.

Thay đổi Startup type thành Disabled

Bạn có thể xác minh rằng nó đã bị tắt hoặc vô hiệu hóa vĩnh viễn, bằng cách định vị cùng một service trong chương trình Services (tìm kiếm services.msc từ menu Start). Để ngăn không cho nó chạy lại, nhấp đúp vào service từ danh sách và thay đổi Startup type thành Disabled.

Cách loại bỏ virus Svchost.exe

Bạn không thể xóa file svchost.exe thật khỏi máy tính của mình vì nó là một tiến trình rất quan trọng, nhưng bạn có thể xóa file giả mạo. Nếu bạn có một file svchost.exe nằm đâu đó, không phải trong thư mục %SystemRoot%\System32\ hoặc %SystemRoot%\SysWOW64\, thì việc xóa file là an toàn 100%.

Ví dụ, nếu thư mục Downloads chứa file Service Host hoặc nó nằm trên desktop hay ổ flash, thì rõ ràng Windows không sử dụng file đó cho các mục đích host service quan trọng. Trong trường hợp đó, bạn có thể xóa file này.

Tuy nhiên, virus Svchost.exe có thể không dễ xóa như các file thông thường. Thực hiện theo các bước sau để loại bỏ virus:

1. Bấm chuột phải vào tiến trình svchost.exe trong Task Manager và chọn Open file location.

Ta sẽ không làm bất cứ điều gì với cửa sổ đó, vì vậy hãy cứ để nó mở.

Lưu ý: Hãy nhớ rằng nếu thư mục mở là một trong những thư mục hệ thống được đề cập ở trên, file svchost.exe của bạn hoàn toàn “sạch sẽ” và không thể bị xóa. Tuy nhiên, hãy đọc tên file cẩn thận, dù chỉ là một chữ cái không chính xác, thì chắc chắn đó cũng không phải là file hợp pháp được sử dụng bởi Windows.

2. Nhấp chuột phải vào cùng tiến trình svchost.exe và chọn End task.

Nếu cách trên không hoạt động, hãy mở Process Explorer và nhấp chuột phải vào file svchost.exe, sau đó chọn Kill Process để tắt nó.

3. Nếu có các service được lồng trong file svchost.exe, hãy mở chúng trong Task Manager như được giải thích ở trên và dừng từng service đó.

4. Mở thư mục từ bước 1 và thử xóa file svchost.exe giống như bất kỳ file nào khác, bằng cách nhấp chuột phải vào file đó và chọn Delete.

Nếu có thể, hãy cài đặt LockHunter và yêu cầu xóa file trong lần khởi động lại tiếp theo.

5. Cài đặt Malwarebytes hoặc một số công cụ loại bỏ phần mềm gián điệp khác và thực hiện quét toàn bộ hệ thống để xóa tiến trình svchost.

Khởi động lại máy tính nếu tìm thấy một điều gì đó có vấn đề.

Lưu ý: Nếu virus svchost.exe không cho phép bạn cài đặt chương trình trên máy tính của mình, hãy tải trình quét virus portable vào ổ flash và quét từ đó.

6. Sử dụng một chương trình đầy đủ để quét virus. Có rất nhiều tùy chọn trong danh sách các chương trình diệt virus cho WindowsMacQuantrimang.com đã gợi ý.

Mẹo: Dù sao đi nữa, việc để một trong các công cụ diệt virus này luôn bật là một việc sáng suốt, ngay cả khi một trình quét virus khác có thể xóa file svchost.exe.

7. Sử dụng chương trình diệt virus có khả năng boot miễn phí để quét máy tính của bạn trước khi Windows khởi động. Điều này rất hữu ích khi các trình quét khác không thành công, vì virus svchost.exe không thể hoạt động, trừ khi Windows đang chạy và một công cụ diệt virus có thể boot chạy bên ngoài Windows.

Chúc bạn thực hiện thành công!

Thứ Tư, 14/08/2019 17:34
4,315 👨 41.422
0 Bình luận
Sắp xếp theo
    ❖ Kiến thức cơ bản