ต้องรู้
- Service Host (svchost.exe) เป็นกระบวนการของระบบที่ถูกต้องตามกฎหมายที่ใช้ในระบบปฏิบัติการ Windows
- เก็บไว้ที่นี่อย่างปลอดภัย: %SystemRoot%\System32\ หรือ %SystemRoot%\SysWOW64\.
- คุณสามารถลบ svchost.exe หากพบที่อื่น
บทความนี้อธิบายว่า svchost.exe คืออะไร จะรู้ได้อย่างไรว่าปลอดภัย และต้องทำอย่างไรหากพบไวรัส svchost.exe
Svchost.exe คืออะไร
ไฟล์ svchost.exe (Service Host) เป็นกระบวนการระบบที่สำคัญที่จัดทำโดย Microsoft ในระบบปฏิบัติการ Windows ภายใต้สถานการณ์ปกติ ไฟล์นี้ไม่ใช่ไวรัสแต่เป็นส่วนประกอบสำคัญในบริการ Windows จำนวนมาก
วัตถุประสงค์สำหรับ svchost.exe คือการใช้บริการโฮสต์ ตามชื่อ Windows ใช้เพื่อจัดกลุ่มบริการที่ต้องการเข้าถึง DLL เดียวกันเพื่อทำงานในกระบวนการเดียว ช่วยลดความต้องการทรัพยากรระบบ
เนื่องจาก Windows ใช้กระบวนการโฮสต์บริการสำหรับงานจำนวนมาก จึงเป็นเรื่องปกติที่จะเห็นการใช้ RAM ที่เพิ่มขึ้นของ svchost.exe ในตัวจัดการงาน นอกจากนี้ คุณจะเห็น svchost.exe จำนวนมากที่ทำงานในตัวจัดการงาน เนื่องจาก Windows จัดกลุ่มบริการที่คล้ายกันไว้ด้วยกัน เช่น บริการที่เกี่ยวข้องกับเครือข่าย
เนื่องจากเป็นองค์ประกอบที่สำคัญเช่นนี้ คุณไม่ควรลบหรือกักกันเว้นแต่คุณจะตรวจสอบว่าไฟล์ svchost.exe ที่คุณกำลังจัดการอยู่นั้นไม่จำเป็นหรือเป็นอันตราย ที่เก็บเวอร์ชันจริงจะมีได้เพียงสองโฟลเดอร์เท่านั้น ทำให้ง่ายต่อการตรวจพบของปลอม
ซอฟต์แวร์ใดใช้ Svchost.exe
กระบวนการ svchost.exe เริ่มต้นเมื่อ Windows เริ่มทำงาน จากนั้นตรวจสอบกลุ่ม HKLM ของรีจิสทรี (ภายใต้ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost) สำหรับบริการที่ควรโหลดลงในหน่วยความจำ
Svchost.exe สามารถเห็นได้ใน Windows 11, Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP และ Windows 2000
เริ่มต้นด้วยการอัปเดตผู้สร้าง Windows 10 (เวอร์ชัน 1703) สำหรับระบบที่ใช้ RAM มากกว่า 3.5 GB ทุกบริการจะเรียกใช้ svchost หากมี RAM น้อยกว่า 3.5 GB บริการจะถูกจัดกลุ่มเป็นกระบวนการ svchost.exe ที่แชร์ เช่นเดียวกับใน Windows เวอร์ชันก่อนหน้า
ตัวอย่างบริการ Windows บางส่วนที่ใช้ svchost.exe ได้แก่:
- อัพเดท Windows
- บริการโครงสร้างพื้นฐานงานพื้นหลัง
- เสียบแล้วเล่น
- บริการเผยแพร่เวิลด์ไวด์เว็บ
- บริการสนับสนุนบลูทูธ
- ไฟร์วอลล์ Windows
- ตัวกำหนดเวลางาน
- ลูกค้า DHCP
- เสียงของ Windows
- Superfetch
- การเชื่อมต่อเครือข่าย
- เรียกขั้นตอนระยะไกล (RPC)
Svchost.exe เป็นไวรัสหรือไม่
ไม่ปกติ แต่ก็ไม่เสียหายที่จะตรวจสอบ โดยเฉพาะอย่างยิ่งหากคุณไม่รู้ว่าเหตุใด svchost.exe จึงใช้หน่วยความจำทั้งหมดในคอมพิวเตอร์ของคุณ
ขั้นตอนแรกในการระบุว่า svchost.exe เป็นไวรัส เป็นตัวกำหนดบริการที่แต่ละอินสแตนซ์ svchost.exe โฮสต์ เนื่องจากคุณอาจมีหลายอินสแตนซ์ที่ทำงานอยู่ในตัวจัดการงาน คุณจึงต้องเจาะลึกลงไปอีกเล็กน้อยเพื่อดูว่าแต่ละกระบวนการกำลังทำอะไรก่อนที่จะตัดสินใจว่าจะลบกระบวนการ svchost หรือปิดใช้งานบริการที่ทำงานอยู่ภายใน
เมื่อคุณรู้ว่าบริการใดกำลังทำงานอยู่ใน svchost.exe คุณสามารถดูได้ว่าบริการเหล่านี้เป็นของจริงและจำเป็นหรือไม่ หรือหากมัลแวร์แกล้งทำเป็น svchost.exe
ถ้าคุณมี Windows 11, 10 หรือ 8 คุณสามารถ "เปิด" แต่ละไฟล์ svchost.exe จาก Task Manager
- เปิดตัวจัดการงาน
- เลือกแท็บ กระบวนการ
-
เลื่อนลงไปที่ส่วน กระบวนการของ Windows และค้นหา โฮสต์บริการ: < ชื่อบริการ > รายการ
Image -
แตะค้างไว้หรือคลิกขวาที่รายการแล้วเลือก เปิดตำแหน่งไฟล์.
หากตำแหน่งที่เปิดขึ้นเป็นอย่างอื่นที่ไม่ใช่เส้นทางใดเส้นทางหนึ่งต่อไปนี้ ซึ่งเป็นที่ที่ Windows เก็บสำเนา svchost.exe ของแท้ไว้ คุณอาจมีไวรัส:
- %SystemRoot%\System32\svchost.exe
- %SystemRoot%\SysWOW64\svchost.exe
Image เส้นทางที่สองคือตำแหน่งบริการ 32 บิตที่ทำงานบนเครื่อง 64 บิต ไม่ใช่คอมพิวเตอร์ทุกเครื่องที่มีโฟลเดอร์นั้น
- ย้อนกลับไปในตัวจัดการงาน เลือกลูกศรทางด้านซ้ายของรายการเพื่อขยาย ตั้งอยู่โดยตรงภายใต้อินสแตนซ์ svchost.exe คือทุกบริการที่โฮสต์
สำหรับ Windows เวอร์ชันอื่นๆ เช่น Windows 7 คุณยังสามารถใช้ Task Manager เพื่อดูบริการทั้งหมดที่ใช้โดย svchost.exe ได้ แต่จะไม่จัดวางให้ชัดเจนเหมือนในเวอร์ชันที่ใหม่กว่า ทำได้โดยคลิกขวาที่อินสแตนซ์ svchost.exe ในแท็บ Processes เลือก ไปที่บริการ แล้วอ่านรายการบริการที่ไฮไลต์ ในแท็บ บริการ
อีกทางเลือกหนึ่งคือใช้คำสั่งรายการงานในพรอมต์คำสั่งเพื่อสร้างรายการบริการทั้งหมดที่ใช้โดยอินสแตนซ์ svchost.exe ทั้งหมด
ในการทำเช่นนั้น ให้เปิดพร้อมท์คำสั่งแล้วป้อนคำสั่งต่อไปนี้:
รายการงาน /svc | ค้นหา “svchost.exe”
ตัวเลือกอื่นที่คุณมีในที่นี้คือการใช้ตัวดำเนินการเปลี่ยนเส้นทางเพื่อส่งออกผลลัพธ์ของคำสั่งไปยังไฟล์ข้อความ ซึ่งอาจอ่านง่ายกว่า
หากคุณไม่ได้ระบุบางสิ่งในรายการ ก็ไม่ได้หมายความว่าคุณมีไวรัสเสมอไป อาจเป็นเพียงบริการที่คุณไม่รู้จัก แต่มีความสำคัญต่อการทำงานที่สำคัญของ Windows อาจมีบริการ "ดูไวรัส" หลายสิบรายการที่ปลอดภัยโดยสิ้นเชิง
หากคุณลังเลเกี่ยวกับสิ่งที่คุณเห็น ค้นหาออนไลน์ คุณสามารถทำได้ใน Windows เวอร์ชันใหม่กว่าผ่านตัวจัดการงาน: คลิกขวาที่บริการและเลือก ค้นหาออนไลน์ สำหรับ Windows 7, Vista หรือ XP ให้สังเกตบริการใน Command Prompt แล้วพิมพ์ลงใน Google
ในการปิดบริการที่ทำงานใน svchost.exe ดูคำแนะนำสองชุดที่ด้านล่างของหน้านี้
ทำไม Svchost.exe ถึงใช้หน่วยความจำเยอะจัง
เช่นเดียวกับกระบวนการใดๆ กระบวนการนี้ต้องใช้หน่วยความจำและ CPU เพื่อให้ทำงานได้ เป็นเรื่องปกติที่จะเห็นการใช้งานหน่วยความจำที่เพิ่มขึ้นของ svchost.exe ส่วนใหญ่เมื่อใช้บริการใดบริการหนึ่งที่ใช้โฮสต์บริการ
เหตุผลใหญ่ที่ svchost.exe ใช้หน่วยความจำจำนวนมาก (และแม้กระทั่งแบนด์วิดท์) คือหากมีบางสิ่งเข้าถึงอินเทอร์เน็ต ซึ่งในกรณีนี้ “svchost.exe netsvcs” อาจกำลังทำงานอยู่ อาจเกิดขึ้นได้หาก Windows Update กำลังทำงานเพื่อดาวน์โหลดและติดตั้งโปรแกรมแก้ไขและโปรแกรมปรับปรุงอื่นๆ บริการอื่นๆ ที่ใช้ภายใต้ svchost.exe netsvcs ได้แก่ BITS (Background Intelligent Transfer Service), Schedule (Task Scheduler), Themes และ iphlpsvc (IP Helper)
วิธีหนึ่งในการหยุดกระบวนการ svchost จากการดูดหน่วยความจำจำนวนมากหรือทรัพยากรระบบอื่นๆ คือการหยุดบริการที่ต้องถูกตำหนิ ตัวอย่างเช่น หากโฮสต์บริการทำให้คอมพิวเตอร์ของคุณช้าลงเนื่องจาก Windows Update ให้หยุดดาวน์โหลด/ติดตั้งการอัปเดตหรือปิดใช้งานบริการทั้งหมด หรือตัวจัดเรียงข้อมูลบนดิสก์กำลังจัดเรียงข้อมูลบนฮาร์ดไดรฟ์ของคุณ ซึ่งในกรณีนี้ โฮสต์บริการจะใช้หน่วยความจำมากขึ้นสำหรับงานนั้น
อย่างไรก็ตาม ในสถานการณ์ประจำวัน ไม่ควรที่จะดึงหน่วยความจำระบบทั้งหมดหาก svchost.exe ใช้ RAM มากกว่า 90–100 เปอร์เซ็นต์ คุณอาจกำลังจัดการกับสำเนา svchost.exe ที่เป็นอันตรายและไม่ใช่ของแท้ หากคุณคิดว่านั่นคือสิ่งที่กำลังเกิดขึ้น โปรดอ่านต่อไปเพื่อเรียนรู้วิธีลบไวรัส svchost.exe
วิธีปิดบริการ Svchost.exe
สิ่งที่คนส่วนใหญ่อาจต้องการทำกับกระบวนการ svchost คือการลบหรือปิดใช้งานบริการที่ทำงานอยู่ใน svchost.exe เนื่องจากใช้หน่วยความจำมากเกินไป อย่างไรก็ตาม แม้ว่าคุณกำลังจะลบ svchost.exe เนื่องจากเป็นไวรัส ให้ทำตามคำแนะนำเหล่านี้ต่อไปเพราะการปิดใช้งานบริการก่อนที่จะพยายามลบจะเป็นประโยชน์
สำหรับ Windows 7 และ Windows รุ่นเก่ากว่า ง่ายกว่าที่จะใช้ Process Explorer คลิกขวาที่ไฟล์ svchost.exe แล้วเลือก Kill Process.
- เปิดตัวจัดการงาน
-
ระบุบริการที่คุณต้องการปิดใช้งาน
เมื่อต้องการทำสิ่งนี้ใน Windows 11, 10 หรือ 8 ให้ขยาย Service Host: < ชื่อบริการ > รายการ
-
คลิกขวาที่รายการตัวจัดการงานสำหรับบริการที่คุณต้องการปิด แล้วเลือก หยุด Windows จะหยุดบริการนั้นทันที ทรัพยากรระบบที่ใช้จะถูกปล่อยว่างสำหรับบริการและแอปพลิเคชันอื่น
Image หากคุณไม่เห็นตัวเลือกให้หยุดบริการ ตรวจสอบให้แน่ใจว่าคุณกำลังเลือกบริการเอง ไม่ใช่บรรทัด “โฮสต์บริการ”
- หากบริการไม่หยุดเพราะโปรแกรมกำลังทำงานอยู่ ให้ออกจากโปรแกรม หากทำไม่ได้ คุณอาจต้องถอนการติดตั้งซอฟต์แวร์
คุณสามารถยืนยันได้ว่าปิดแล้วหรือปิดการใช้งานถาวรโดยค้นหาบริการเดียวกันในโปรแกรม Services (ค้นหา services.msc จากเมนูเริ่ม)หากต้องการหยุดไม่ให้ทำงานอีกครั้ง ให้ดับเบิลคลิกที่บริการจากรายการและเปลี่ยนประเภทการเริ่มต้นเป็น Disabled
วิธีการลบไวรัส Svchost.exe
คุณไม่สามารถลบไฟล์ svchost.exe จริงออกจากคอมพิวเตอร์ของคุณได้ เนื่องจากเป็นส่วนประกอบที่สำคัญและจำเป็นต่อกระบวนการมากเกินไป แต่คุณสามารถลบไฟล์ปลอมได้ หากคุณมีไฟล์ svchost.exe ที่ใดก็ได้ แต่ในโฟลเดอร์ \System32\ หรือ / SysWOW64\ ที่กล่าวถึงก่อนหน้านี้ การลบจะปลอดภัย 100 เปอร์เซ็นต์
ตัวอย่างเช่น หากโฟลเดอร์ดาวน์โหลดของคุณมีไฟล์โฮสต์บริการ หรือมีไฟล์อยู่บนเดสก์ท็อปหรือแฟลชไดรฟ์ แสดงว่า Windows ไม่ได้ใช้เพื่อวัตถุประสงค์ในการโฮสต์บริการที่สำคัญ ซึ่งในกรณีนี้ คุณสามารถลบออกได้ มัน.
อย่างไรก็ตาม ไวรัส svchost.exe อาจลบได้ไม่ง่ายเหมือนไฟล์ทั่วไป ทำตามขั้นตอนเหล่านี้เพื่อลบไวรัส:
-
คลิกขวาที่กระบวนการ svchost.exe ในตัวจัดการงาน แล้วเลือก เปิดตำแหน่งไฟล์.
เรายังไม่ได้ทำอะไรกับหน้าต่างนั้น เปิดไว้เลย
โปรดจำไว้ว่าหากโฟลเดอร์ที่เปิดขึ้นเป็นหนึ่งในโฟลเดอร์ระบบที่กล่าวถึงข้างต้น ไฟล์ svchost.exe ของคุณจะสะอาดและไม่ควรถูกลบ อย่างไรก็ตาม โปรดใช้ความระมัดระวังเป็นพิเศษในการอ่านชื่อไฟล์ หากสะกดด้วยตัวอักษร svchost.exe หนึ่งตัว แสดงว่าคุณไม่ได้จัดการกับไฟล์ที่ถูกต้องตามกฎหมายที่ Windows ใช้
-
คลิกขวาที่กระบวนการ svchost.exe เดียวกัน แล้วเลือก สิ้นสุดงาน.
หากไม่ได้ผล ให้เปิด Process Explorer และคลิกขวาที่ไฟล์ svchost.exe จากนั้นเลือก Kill Process เพื่อปิดมัน
- หากมีบริการซ้อนอยู่ในไฟล์ svchost.exe ให้เปิดใน Task Manager ตามที่อธิบายไว้ด้านบน แล้วหยุดแต่ละบริการ
-
เปิดโฟลเดอร์จากขั้นตอนที่ 1 แล้วลองลบไฟล์ svchost.exe เหมือนกับที่คุณทำกับไฟล์อื่นๆ โดยคลิกขวาและเลือก Delete
ถ้าทำไม่ได้ ให้ติดตั้ง LockHunter และบอกให้ลบไฟล์ในการรีบูตครั้งถัดไป (การดำเนินการนี้จะลบไฟล์ที่ล็อค ซึ่งปกติแล้วคุณจะไม่สามารถทำได้ใน Windows)
-
ติดตั้ง Malwarebytes หรือเครื่องมือกำจัดสปายแวร์อื่นๆ แล้วทำการสแกนระบบแบบเต็มเพื่อลบกระบวนการ svchost
รีบูตคอมพิวเตอร์ของคุณหากพบบางสิ่ง
หากไวรัส svchost.exe ไม่อนุญาตให้คุณติดตั้งโปรแกรมบนคอมพิวเตอร์ของคุณ ให้ดาวน์โหลดเครื่องสแกนไวรัสแบบพกพาไปยังแฟลชไดรฟ์แล้วสแกนจากที่นั่น
-
ใช้โปรแกรมป้องกันไวรัสตัวเต็มเพื่อสแกนหาไวรัส
เป็นความคิดที่ดีที่จะมีเครื่องสแกนไวรัสที่เปิดใช้งานตลอดเวลา แม้ว่าเครื่องสแกนไวรัสตัวอื่นจะสามารถลบไฟล์ svchost.exe ได้
- ใช้โปรแกรมป้องกันไวรัสที่สามารถบู๊ตได้ฟรีเพื่อสแกนคอมพิวเตอร์ของคุณก่อนที่ Windows จะเริ่มทำงาน สิ่งเหล่านี้มีประโยชน์เมื่อเครื่องสแกนอื่นๆ ล้มเหลวเนื่องจากไวรัส svchost.exe ไม่สามารถทำงานได้เว้นแต่ว่า Windows กำลังทำงาน และเครื่องมือ AV ที่สามารถบู๊ตได้จะทำงานนอก Windows
คำถามที่พบบ่อย
ควรเรียกใช้ svchost กี่อินสแตนซ์
svchost จำนวนเท่าใดก็ได้ที่สามารถทำงานได้ตลอดเวลา เนื่องจากบริการต่างๆ ที่แตกต่างกันทั้งหมดใช้ไฟล์ระบบ svchost.exe เดียวกัน ตรวจสอบชื่อในแท็บ Processes ในตัวจัดการงานเพื่อให้แน่ใจว่าถูกต้องและไม่ใช่มัลแวร์
จะเกิดอะไรขึ้นหากฉันลบ svchost.exe
หากคุณลบไฟล์ปฏิบัติการ svchost.exe Microsoft Windows ที่ถูกต้อง คอมพิวเตอร์ของคุณอาจหยุดทำงานอย่างถูกต้อง
