svchost.exe Một dạng virus có hại đã sử dụng tiến trình chuẩn svchost.exe trên máy tính để xâm nhập vào hệ thống và tái sinh, và tình trạng này đã trở nên đáng lo ngại tại Việt Nam. Hệ thống giám sát và cảnh báo mã độc đã ghi nhận rằng có gần 96.000 máy tính đã bị nhiễm loại virus này, trong khoảng thời gian chỉ tính riêng trong tháng 8.
Svchost.exe là gì?
Tệp svchost.exe (Service Host) là một thành phần do Microsoft cung cấp cho các hệ điều hành Windows. Được coi là một tiến trình hệ thống quan trọng, svchost.exe hoạt động như một máy chủ dịch vụ để tổng hợp các dịch vụ cần truy cập vào cùng một thư viện động (DLL), nhằm giúp tối ưu hóa sử dụng tài nguyên của hệ thống.
Khi máy tính hoạt động, các ứng dụng thường chạy ẩn dưới nền để đảm bảo rằng hệ thống hoạt động một cách ổn định. Nếu các ứng dụng này hoạt động độc lập, sẽ dẫn đến tình trạng tiêu tốn lượng lớn bộ nhớ, gây ra tình trạng máy tính trở nên giật, lag và đóng băng.
Microsoft đã tập hợp các ứng dụng thành các tệp svchost.exe. Mỗi tệp này có mục tiêu riêng biệt, chẳng hạn như quản lý quá trình cập nhật Windows, quản lý kết nối mạng, và nhiều mục đích khác. Sự tổ chức thành các tệp svchost.exe riêng biệt giúp chúng hoạt động độc lập, không ảnh hưởng lẫn nhau và dễ dàng quản lý hơn.
Đó là lý do bạn có thể thấy nhiều tiến trình và phiên bản khác nhau svchost.exe đang sử dụng RAM trong Task Manager.
Vì vậy, svchost.exe là một thành phần quan trọng của hệ điều hành Windows và bạn không nên xóa hoặc tắt nó nếu không cần thiết. Chỉ khi bạn chắc chắn rằng tệp svchost.exe cụ thể mà bạn đang gặp phải có chứa tệp tin độc hại và không cần thiết, thì bạn mới nên xóa nó.
Cảnh báo về virus Svchost.exe
Dù người dùng phát hiện và xóa tệp tin độc hại bằng cách thủ công, virus vẫn có khả năng "tái sinh" bằng cách tận dụng tiến trình svchost.exe trong hệ thống. Không chỉ giới hạn ở việc lợi dụng svchost.exe, virus còn tìm kiếm những phần mềm mặc định được cài đặt sẵn trên các phiên bản Windows như OneDrive hoặc Notepad, để thực hiện các hành vi tấn công hệ thống. Điều này gây ra khó khăn trong việc xử lý hoặc loại bỏ chúng một cách hoàn toàn.
Đáng lo ngại hơn, không chỉ khó loại bỏ, mà virus này còn có khả năng lây lan qua cổng USB bằng cách ẩn các dữ liệu trong USB, thay thế chúng bằng các tập tin tạo shortcut giả mạo. Những tập tin shortcut này chứa lệnh để triệu hồi virus, đang ẩn trong USB. Khi người dùng mở những tập tin shortcut giả mạo này, virus sẽ được kích hoạt. Cuối cùng, sau khi xâm nhập và tồn tại trên máy tính của nạn nhân, virus sẽ tắt các biện pháp bảo vệ có sẵn trong Windows và đợi thời cơ để tải xuống các tệp tin độc hại khác, nhằm đánh cắp thông tin của người dùng và gửi dữ liệu về máy chủ của kẻ tấn công.
Các phần mềm sử dụng dịch vụ svchost.exe
Ngay khi Windows bắt đầu khởi động, tiến trình svchost.exe sẽ được kích hoạt và kiểm tra cơ sở dữ liệu HKLM trong Registry (đối với SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost) để xác định xem những dịch vụ nào sẽ được tải vào bộ nhớ.
Svchost.exe hoạt động đối với hệ điều hành Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP và Windows 2000.
Mọi service đều chạy phiên bản svchost riêng đối với hệ thống có 3,5GB RAM, kể từ Windows 10 Creator Update (phiên bản 1703).
Các service sẽ được nhóm thành những tiến trình svchost.exe chia sẻ, giống như trong các phiên bản Windows trước đối với hệ thống ít hơn 3,5GB RAM.
Một số service Windows sử dụng svchost.exe có thể kể đến như:
- Windows Update
- Background Tasks Infrastructure Service
- Plug and Play
- World Wide Web Publishing Service
- Bluetooth Support Service
- Windows Firewall
- Task Scheduler
- DHCP Client
- Windows Audio
- Superfetch
- Network Connections
- Remote Procedure Call (RPC)
Cách nhận biết & biện pháp phòng chống
Kiểm tra svchost.exe bằng Command Prompt
Chú ý!
Sử dụng Command Prompt để xem danh sách tất cả các dịch vụ được sử dụng bởi các phiên bản svchost.exe khác nhau là một phương pháp, nhưng nó thích hợp hơn cho những người hiểu sâu về máy tính.
Bước 1: Nhấn tổ hợp phím Windows + R để mở hộp thoại Run. Nhập “cmd” ➢ Bấm Ok để mở Command Prompt.
 |
| Mở Command Prompt |
Bước 2: Nhập lệnh "tasklist/SVC" ➢ Nhấn Enter.
 |
| Nhập lệnh |
Bước 3: Chờ đến khi hiển thị tiến trình svchost.exe đang chạy.
Trong kết quả trả về, cột bên trái là các svchost.exe hoạt động trên máy, cột bên phải là các dịch vụ tương ứng đang chạy trong đó.
Chẳng hạn như tiến trình cập nhật Windows sẽ có ký hiệu là wuauserv. Nếu thực sự muốn vô hiệu hóa file svchost, bạn cần nhớ ký hiệu của chương trình đó.
 |
| Chờ đến khi hiển thị tiến trình svchost.exe đang chạy |
Bước 4: Mở lại Commannd Prompt và vô hiệu hóa.
Mở lại như Commannd Prompt ở Bước 1 ➢ Nhập lệnh "sc config wuauserv start= disabled".
Lưu ý!
Trong câu lệnh trên, bạn có thể thay thế "wuauserv" bằng ký hiệu của bất kỳ chương trình nào mà bạn muốn tắt. Chương trình sẽ bị tắt và không khởi động cùng với máy tính trong các lần khởi động sau này.
 |
| Mở lại Commannd Prompt và vô hiệu hóa |
Xử lý tiến trình svchost.exe bằng Task Manager
Xử lý tiến trình bằng Task Manager là cách kiểm tra đơn giản và nhanh chóng hơn giúp bạn lấy lại tài nguyên cho máy tính.
Bước 1: Mở Task Manager.
Nhấn chuột phải vào thanh Taskbar ở cuối màn hình. Chọn Task Manager.
Hoặc bạn cũng có thể ấn tổ hợp phím Ctrl + Alt + Del (hoặc Ctrl + Shift + Esc) để mở Task Manager.
 |
| Mở Task Manager |
Bước 2: Chọn tab Processes.
Tại đây, bạn sẽ thấy các svchost.exe đang chạy. Ở một số phiên bản của Windows, các tiến trình này sẽ xuất hiện với tên gọi "Service Host...".
 |
| Xem các svchost.exe đang chạy |
Bạn nhấn chuột phải vào chúng và chọn Go to details.
 |
| Click chuột phải chọn Go to details |
Bước 3: Xem dung lượng mà các svchost.exe đang chiếm.
Thông qua cột Memory và CPU, bạn có thể xem các svchost.exe đang chiếm bao nhiêu dung lượng bộ nhớ và CPU.
 |
| Xem dung lượng mà các svchost.exe đang chiếm |
Bước 4: Vô hiệu từng tiến trình bên trong một svchost.exe.
Bước này giúp các bạn không vô hiệu hóa nhầm các svchost.exe quan trọng nhé!
Tại cột Memory, bấm chuột phải vào svchost.exe chiếm nhiều dung lượng ➢ Chọn Go to Service(s).
 |
| Vô hiệu từng tiến trình bên trong một svchost |
Tại cột Description, tên của dịch vụ được hiển thị một cách chi tiết và bạn có thể dừng chúng nếu cần thiết bằng cách chuột phải và chọn "Stop".
Tuy nhiên, trước khi quyết định xóa tệp svchost.exe, bạn cần kiểm tra xem liệu nó có thực sự dư thừa hay chứa virus không. Hãy thực hiện các kiểm tra để xác định xem tệp tin đó có chứa virus hay không trước khi thực hiện hành động xóa.
Để đề phòng khỏi cuộc tấn công của loại mã độc này, các chuyên gia đề xuất những biện pháp sau đây:
- Tăng cường cảnh giác khi sử dụng các thiết bị ngoại vi để sao chép dữ liệu giữa các máy tính. Các tổ chức và doanh nghiệp có thể xem xét việc thiết lập chính sách không sử dụng USB trong môi trường làm việc của họ, nếu cần thiết.
- Luôn bật chế độ hiển thị các tệp tin ẩn và kiểm tra các tập tin shortcut trên các thiết bị USB trước khi nhấp chuột vào chúng. Loại mã độc này thường sử dụng kỹ thuật giả mạo các tập tin shortcut trên các thiết bị USB.
- Sử dụng và duy trì các giải pháp và phần mềm an ninh mạng có bản quyền, và thường xuyên cập nhật chúng. Điều này giúp bảo vệ máy tính và hệ thống khỏi các mối đe dọa khó phát hiện hoặc yêu cầu xử lý phức tạp để loại bỏ hoàn toàn các loại virus.
Cách kiểm tra tệp tin svchost.exe có phải là file chứa virus?
Rất nhiều loại mã độc, virus, hoặc phần mềm gián điệp đã ẩn mình bên trong các tệp svchost.exe để đánh cắp thông tin và chiếm quyền truy cập vào máy tính. Việc phân biệt giữa tệp svchost.exe thật sự của Windows và tệp chứa virus có thể dẫn đến việc xóa nhầm tiến trình hợp pháp và bỏ sót tệp virus.
Lưu ý!
Tệp svchost.exe là một tệp nhỏ được đặt trong thư mục System32 của Windows. Nếu bạn phát hiện rằng nó không nằm ở vị trí này, có thể đó là một tệp virus, và bạn nên xem xét tắt nó theo hướng dẫn trong phần trước của bài viết.
Để tiến hành kiểm tra vị trí của svchost.exe, bạn cần bấm chuột phải vào tiến trình trên Task Manager ➢ Chọn Open File Location.
 |
| Kiểm tra vị trí của svchost.exe |
Nếu vị trí của nó nằm trong thư mục Windows\System32 thì có thể yên tâm rằng đó không phải là virus.
Ngược lại, nếu nó nằm ở vị trí khác thì cần xóa ngay theo hướng dẫn bên trên.
 |
| Thuộc mục Windows\System32 thì không phải là virus |
Ngoài ra, để đảm bảo an toàn và thuận tiện trong quá trình sử dụng máy tính, bạn nên cài đặt thêm các phần mềm diệt virus, mã độc nhé!
Facebook: Dịch Vụ Mạng Xã Hội Đà Nẵng
Zalo: Dịch Vụ Đà Nẵng
Phone: 0333.110304
Gmail: mxhdn.xyz@gmail.com
Thanh toán: Ngân hàng, thẻ cào siêu rẻ, Momo, ViettelPay, card + 35% phí,...
