overclockzonefanpage  overclockzoneth  TV  
Results 1 to 4 of 4

Thread: ScanSpyware ผมตรวจเจอ svchost.exeตัวแดงเลย

  1. #1
    OverclockZone Member crYsIs's Avatar
    Join Date
    26 Sep 2006
    Location
    BKK Dindang หอการค้า,U-Thong~Suphanburi(สุพรรณบุรี)

    Default ScanSpyware ผมตรวจเจอ svchost.exeตัวแดงเลย

    ScanSpyware ผมตรวจเจอ svchost.exeตัวแดงเลย
    มันลบไม่ได้อ่าครับ ตรวจทุกครั้งเจอตลอดพอจะลบมันขึ้นหน้าต่างให้ปิดเครื่องเลย ใครช่วยบอกวิธีแก้ได้ไหมครับ ขอบคุณครับ

  2. #2
    OverclockZone Member dears's Avatar
    Join Date
    6 Nov 2006
    Location
    Royal Thai Army

    Default

    http://thaicert.nectec.or.th/advisor...t/bluecode.php
    http://thaicert.nectec.or.th/advisory/alert/nachi.php

    หรือ
    พิมพ์ svchost.exe ใน google มีให้อ่านอีกเพียบครับ

  3. #3
    OverclockZone Member crYsIs's Avatar
    Join Date
    26 Sep 2006
    Location
    BKK Dindang หอการค้า,U-Thong~Suphanburi(สุพรรณบุรี)

    Default

    ขอบคุณครับ ผมก็ได้ลองเซิสในGoogleแล้วครับแต่ไม่รู้ว่าอาการเดียวกันรึป่าว

  4. #4
    OverclockZone Member ผู้มาเยือน13's Avatar
    Join Date
    16 Apr 2007
    Location
    นครตะแง้ว

    Default

    ผมมีคำตอบที่เซียน XooP เคยตอบใว้ครับ ลองดู
    ไฟล์ svchost.exe มันคืออะไรกันแน่ครับ.........
    เห็นกระทู้ข้างล่างบอกว่าเป็นไวรัส..เปิดtask manager เห็นทุกทีเลย..

    จากคุณ : po. [22 ต.ค. 2546 - 0327]

    ไฟล์ svchost.exe ( ตัวอักษรพิมพ์เล็ก ) มันเป็นไฟล์ระบบที่สำคัญของ Windows NT/2K/XP ไม่ใช่ไวรัสครับ มันเป็นไฟล์ที่เอาไว้รัน service ต่างๆ ดังต่อไปนี้ของ Windows ( ส่วนชื่อของไฟล์ svchost.exe และ path ที่มันอยู่ก็ตามรูปที่แนบมานี่ละ )

    Application Management, Automatic Updates, Background Intelligent Transfer Service, COM+ Event System, Computer Browser, Cryptographic Services, DHCP Client, Distributed Link Tracking Client, DNS Client, Error Reporting Service,
    Help and Support, Human Interface Device Access, Internet Connection Firewall/Internet Connection Sharing, Logical Disk Manager
    , Network Location Awareness (NLA), Portable Media Serial Number, Auto Connection Manager, Remote Access Connection Manager.
    Remote Procedure Call (RPC), Remote Registry Service, Removable Storage, RIP Listener, Routing and Remote Access,Secondary Logon, Server, Shell Hardware Detection, SSDP Discovery Service, System Event Notification, System Restore Service, Task Scheduler, Telephony, Terminal Services, Themes, Universal Plug and Play Device Host, Upload Manager, WebClient,Windows Audio, Windows Image Acquisition (WIA), Windows Management Instrumentation, Windows Management Instrumentation Driver Extension, Windows Time, Wireless Zero Configuration, Workstation

    ส่วน SVCHOST.EXE ( ตัวอักษรพิมพ์ใหญ่ )ที่อยู่ใน C:\WINDOWS\system32\wins อันนี้ล่ะเป็นไฟล์ของหนอน
    W32.Nachi.Worm ครับ ซึ่งจริงๆแล้วไฟล์นี้มีชื่อที่แท้จริงว่า
    TFTPD.EXE เพียงแต่หนอนมันเปลี่ยนชื่อไปเป็นSVCHOST.EXE น่ะ
    จากคุณ : Xoo - [22 ต.ค. 2546 0427]
    ถ้าอยากทราบรายละเอียดอย่างคร่าวๆว่า service พวกนี้ทำหน้าที่อะไรบ้างในยามที่เราเปิดใช้งาน Windows XP ก็ลองเข้าไปที่ Control Panel > Administrative Tools > Services แล้วคลิ๊กขวาที่ชื่อ service ที่ต้องการ เลือก Properties นั่นล่ะ มันก็จะมีรายละเอียดการทำงานอะไรพวกนี้ให้ดูครับ ก็จะเห็นว่าส่วนใหญ่ service ของ Windows XP ก็จะมาจากไฟล์ที่ชื่อว่า svchost.exe ทั้งนั้น

    รบกวนสอบถามคุณ Xoo ครับว่าตามรูปใน TASK manager ที่โชว์ SVCHOST.EXE ตัวอักษรตัวใหญ่ในรูปที่แนบมาเป็นไฟล์ของหนอนหรือเปล่าครับ..? เพราะลองเปิดเข้าไปดูใน c:\windows\system32\wins แล้วก็ไม่เห็นมีไฟล์ใดๆอยู่ใน folder เลยๆไม่แน่ใจครับ ที่ผ่านมาก็ scan virus ด้วย kaspersky & avg ทุกๆ 2 วัน
    เสมอครับคุณ Xoo

    ขออภัยที่ตอบไม่ชัดเจนครับ

    ที่บอกว่า SVCHOST.EXE ( ตัวอักษรพิมพ์ใหญ่ ) เป็นไฟล์ที่หนอน W32.Nachi.Worm ถ้าดูใน task manager แล้วเจอก็ไม่ได้หมายความว่าเครื่องเราติดหนอนตัวนี้นะครับ เราจะต้องเจอไฟล์ SVCHOST.EXE และ DLLHOST.EXE นี้อยู่ใน C:\WINDOWS\system32\wins ครับ ถึงจะเป็นพอเป็นข้อบ่งชี้ได้ว่าเราติดหนอนตัวนี้ ( SVCHOST.EXE แท้จริงแล้วเป็นไฟล์ระบบของ Windows ที่ชื่อว่า Tftpd.exe แต่หนอนมันจะ copy เอาไปไว้ใน ...\system32\wins และเปลี่ยนชื่อไปเป็น SVCHOST.EXE ครับ ) ถ้าเครื่องของเราอัพเดท patch ของ Microsoft ตอนที่หนอน MSBlast ระบาด ก็หมดห่วงเรื่องหนอน Nachi ไปได้เลยครับ แล้วอีกอย่างเรื่องตัวอักษรพิมพ์ใหญ่ ( Uppper Case )อะไรนี่ ผมเองไม่แน่ใจเหมือนกัน เพราะว่าข้อมูลจากโปรแกรม antivirus ต่างๆ ก็ไม่เหมือนกัน บางเจ้าไม่ระบุว่าพิมพ์เล็กหรือพิมพ์ใหญ่ แต่บางเจ้าก็ระบุว่าเป็นพิมพ์ใหญ่ครับ

    ผมว่าก็ไม่จำเป็นต้องสแกนๆไวรัสทุกๆ 2 วันก็ได้นะครับ รู้สึกมันถี่ไปหน่อย ใช้ KAV สแกนทั้งเครื่องสัปดาห์ละครั้งก็น่าจะพอแล้วมั๊งครับถ้าใช้อินเตอร์เน็ตตามปกติ เวลาดาวโหลดไฟล์อะไรมาก็คลิ๊กขวาที่ไฟล์แล้วให้ KAV ( ควรจะอัพเดทมันบ่อยๆ เพราะมันอัพเดททุกวัน ) มันสแกนที่ตัวไฟล์ เท่านี้ก็ไม่น่าจะเพียงพอแล้วล่ะครับ ผมว่านะ

    จากคุณ : Xoo

    จากคุณ : zakai - [ 23 ก.พ. 49 1222 ]


Bookmarks

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •