http://thaicert.nectec.or.th/advisor...t/bluecode.php
http://thaicert.nectec.or.th/advisory/alert/nachi.php

หรือ
พิมพ์ svchost.exe ใน google มีให้อ่านอีกเพียบครับ

ขอบคุณครับ ผมก็ได้ลองเซิสในGoogleแล้วครับแต่ไม่รู้ว่าอาการเดียวกันรึป่าว

ผมมีคำตอบที่เซียน XooP เคยตอบใว้ครับ ลองดู
ไฟล์ svchost.exe มันคืออะไรกันแน่ครับ.........
เห็นกระทู้ข้างล่างบอกว่าเป็นไวรัส..เปิดtask manager เห็นทุกทีเลย..

จากคุณ : po. [22 ต.ค. 2546 - 0327]

ไฟล์ svchost.exe ( ตัวอักษรพิมพ์เล็ก ) มันเป็นไฟล์ระบบที่สำคัญของ Windows NT/2K/XP ไม่ใช่ไวรัสครับ มันเป็นไฟล์ที่เอาไว้รัน service ต่างๆ ดังต่อไปนี้ของ Windows ( ส่วนชื่อของไฟล์ svchost.exe และ path ที่มันอยู่ก็ตามรูปที่แนบมานี่ละ )

Application Management, Automatic Updates, Background Intelligent Transfer Service, COM+ Event System, Computer Browser, Cryptographic Services, DHCP Client, Distributed Link Tracking Client, DNS Client, Error Reporting Service,
Help and Support, Human Interface Device Access, Internet Connection Firewall/Internet Connection Sharing, Logical Disk Manager
, Network Location Awareness (NLA), Portable Media Serial Number, Auto Connection Manager, Remote Access Connection Manager.
Remote Procedure Call (RPC), Remote Registry Service, Removable Storage, RIP Listener, Routing and Remote Access,Secondary Logon, Server, Shell Hardware Detection, SSDP Discovery Service, System Event Notification, System Restore Service, Task Scheduler, Telephony, Terminal Services, Themes, Universal Plug and Play Device Host, Upload Manager, WebClient,Windows Audio, Windows Image Acquisition (WIA), Windows Management Instrumentation, Windows Management Instrumentation Driver Extension, Windows Time, Wireless Zero Configuration, Workstation

ส่วน SVCHOST.EXE ( ตัวอักษรพิมพ์ใหญ่ )ที่อยู่ใน C:\WINDOWS\system32\wins อันนี้ล่ะเป็นไฟล์ของหนอน
W32.Nachi.Worm ครับ ซึ่งจริงๆแล้วไฟล์นี้มีชื่อที่แท้จริงว่า
TFTPD.EXE เพียงแต่หนอนมันเปลี่ยนชื่อไปเป็นSVCHOST.EXE น่ะ
จากคุณ : Xoo - [22 ต.ค. 2546 0427]
ถ้าอยากทราบรายละเอียดอย่างคร่าวๆว่า service พวกนี้ทำหน้าที่อะไรบ้างในยามที่เราเปิดใช้งาน Windows XP ก็ลองเข้าไปที่ Control Panel > Administrative Tools > Services แล้วคลิ๊กขวาที่ชื่อ service ที่ต้องการ เลือก Properties นั่นล่ะ มันก็จะมีรายละเอียดการทำงานอะไรพวกนี้ให้ดูครับ ก็จะเห็นว่าส่วนใหญ่ service ของ Windows XP ก็จะมาจากไฟล์ที่ชื่อว่า svchost.exe ทั้งนั้น

รบกวนสอบถามคุณ Xoo ครับว่าตามรูปใน TASK manager ที่โชว์ SVCHOST.EXE ตัวอักษรตัวใหญ่ในรูปที่แนบมาเป็นไฟล์ของหนอนหรือเปล่าครับ..? เพราะลองเปิดเข้าไปดูใน c:\windows\system32\wins แล้วก็ไม่เห็นมีไฟล์ใดๆอยู่ใน folder เลยๆไม่แน่ใจครับ ที่ผ่านมาก็ scan virus ด้วย kaspersky & avg ทุกๆ 2 วัน
เสมอครับคุณ Xoo

ขออภัยที่ตอบไม่ชัดเจนครับ

ที่บอกว่า SVCHOST.EXE ( ตัวอักษรพิมพ์ใหญ่ ) เป็นไฟล์ที่หนอน W32.Nachi.Worm ถ้าดูใน task manager แล้วเจอก็ไม่ได้หมายความว่าเครื่องเราติดหนอนตัวนี้นะครับ เราจะต้องเจอไฟล์ SVCHOST.EXE และ DLLHOST.EXE นี้อยู่ใน C:\WINDOWS\system32\wins ครับ ถึงจะเป็นพอเป็นข้อบ่งชี้ได้ว่าเราติดหนอนตัวนี้ ( SVCHOST.EXE แท้จริงแล้วเป็นไฟล์ระบบของ Windows ที่ชื่อว่า Tftpd.exe แต่หนอนมันจะ copy เอาไปไว้ใน ...\system32\wins และเปลี่ยนชื่อไปเป็น SVCHOST.EXE ครับ ) ถ้าเครื่องของเราอัพเดท patch ของ Microsoft ตอนที่หนอน MSBlast ระบาด ก็หมดห่วงเรื่องหนอน Nachi ไปได้เลยครับ แล้วอีกอย่างเรื่องตัวอักษรพิมพ์ใหญ่ ( Uppper Case )อะไรนี่ ผมเองไม่แน่ใจเหมือนกัน เพราะว่าข้อมูลจากโปรแกรม antivirus ต่างๆ ก็ไม่เหมือนกัน บางเจ้าไม่ระบุว่าพิมพ์เล็กหรือพิมพ์ใหญ่ แต่บางเจ้าก็ระบุว่าเป็นพิมพ์ใหญ่ครับ

ผมว่าก็ไม่จำเป็นต้องสแกนๆไวรัสทุกๆ 2 วันก็ได้นะครับ รู้สึกมันถี่ไปหน่อย ใช้ KAV สแกนทั้งเครื่องสัปดาห์ละครั้งก็น่าจะพอแล้วมั๊งครับถ้าใช้อินเตอร์เน็ตตามปกติ เวลาดาวโหลดไฟล์อะไรมาก็คลิ๊กขวาที่ไฟล์แล้วให้ KAV ( ควรจะอัพเดทมันบ่อยๆ เพราะมันอัพเดททุกวัน ) มันสแกนที่ตัวไฟล์ เท่านี้ก็ไม่น่าจะเพียงพอแล้วล่ะครับ ผมว่านะ

จากคุณ : Xoo

จากคุณ : zakai - [ 23 ก.พ. 49 1222 ]