-->

Teman-teman pasti pernah tahu program svchost.exe, karena setiap membuka task manager pasti terlihat proses svchost.exe lebih dari satu. Dan mungkin bagi orang yang belum tahu, itu dianggap virus. Padahal pas di scan antivirus tidak kedetek virus. Saya mendapat penjelasan tentang svchost.exe dari wikipedia dan berbagai sumber lainya.Berikut penjelasanya..

PENGERTIAN
Pengertian secara mudah tentang proses svchost.exe adalah sebuah program service yang dijalankan oleh Windows untuk mendukung bejalannya ‘dynamic Library Link’ (DLL) sebagai dependency beberapa program lain. membunuh atau mengklik End Process svchost.exe di Task Manager secara asal asalan bisa saja mengakibatkan komputer menjadi hank atau restart, mengapa… karena pada Windows, fungsi dari layanan internal Windows akan dipindahkan ke. Dll file sementara file dll sendiri tidak dapat dibuka langsung melainkan memerlukan .Exe file khusus yang bernama svchost.exe
Keuntungan dari dibuatnya rutin proses tersebut adalah dapat lebih menghemat penggunaan memory, selain itu aplikasi menjadi bersifat modular, kita dapat melakukan update aplikasi tanpa harus mengupdate file EXE. Dengan demikian cukup lakukan patch pada program tanpa harus menyertakan seluruh aplikasi. Keuntungan lain adalah ukuran file EXE menjadi lebih kecil karena beberapa kode program diletakkan pada file DLL. Begitulah yang terjadi sehingga ketika kita menghentikan svchost.exe maka windows akan kebingungan menjalankan ‘dynamic Library Link’ (DLL) dan akan dianggap terjadi crash sehingga windows harus restart.  Info dari microsoft  bisa anda baca disini http://support.microsoft.com/kb/314056

Untuk melihat daftar layanan yang berjalan di dalam svchost.exe :
1. Klik Start pada taskbar Windows, kemudian klik Run, ketik cmd,   ENTER.
2. Ketik Tasklist /SVC, kemudian tekan ENTER.
Akan terdapat banyak proses dengan nama svchost.exe karena windows memiliki banyak sekali service yang harus dipanggil dan masing-masing service tersebut tentunya harus dijalankan oleh suatu file exe. Jika seluruh service yang sedemikian banyak itu dijalankan oleh hanya sebuah file executable, maka tentu akan banyak resiko terjadi kegagalan pemanggilan service sehingga untuk mengantisipasi hal itu maka service  tersebut harus dikelompokkan sesuai fungsinya. Tiap file svchost.exe dipanggil untuk menjalankan kelompok service yang berbeda. misalnya untuk menjalankan group service Audio, service Firewall, dan lain lain. Secara umum svchost.exe yang asli bercirikan sebagai berikut:

1. Lokasi file di : C:\WINDOWS\system32\svchost.exe
2. Berukuran sekitar 14 KB.
3. Bertipe aplication
4. Informasi Properties:

Description: Generic Host Process for Win32 Services
Company: Microsoft Corporation
Internal nam: svchost.exe
Original Filename: svchost.exe
Product name: MicrosoftĂ‚® WindowsĂ‚® Operating System

Masalah :
Setelah memahami pengertian tentang proses svchost.exe ini tentunya akan membuat kita mengerti bagaimana hal ini seringkali dimanfaatkan oleh para penulis WORM untuk melakukan rekayasa sosial dengan cara memberi nama induk worm dengan nama yang mirip svchost.exe, sehingga user akan mengira bahwa induk worm tersebut bagian dari komponen windows. Untuk membedakan svchost.exe milik Worm dengan svchost.exe milik windows, perlu diperhatikan bahwa file svchost.exe terletak selalu akan berada di  folder % SystemRoot% \ system32. 
Jika terdapat file svchost.exe terletak selain di  folder % SystemRoot% \ system32, maka dapat dicurigai file tersebut adalah virus/worm/program berbahaya. Ada sejumlah virus/worm/trojan/rootkit/spyware yg mengelabui user dengan cara membuat file induknya dengan nama yg sedikit mirip dengan file svchost.exe seperti: svchosts.exe, scvhost.exe, ssvchost.exe atau kombinasi lain.. tujuannya biasanya adalah untuk menginfeksi svchost.exe dan akhirnya akan membuat korup atau rusak file LSASS pada windows menyebabkan windows  rusak (sering shutdown/restart). Namun hal tersebut diatas sekarang jarang terjadi sebab windows (SP2 san SP3)  sudah dilengkapi Data Execution Prevention (DEP) yg digunakan untuk melindungi file2 sistemnya dari kerusakan/infeksi oleh virus.

Solusi
Jika hal ini terjadi pada komputer anda, untuk solusi pembersihan virus yang menginfeksi svchost.exe, secara sederhana anda dapat download program RegistryFix 6.4 Portable disini. Jika pembersihan yang telah dilakukan menyebabkan munculnya pesan error  C:\recycled\SVCHOST.exe not found maka dapat dilakukan sedikit perbaikan pada registry, dengan langkah sederhana :

Buka registry editor (klik start pilih kotak run dan ketik regedit tekan enter).
•    Cari pada kedua alamat keys:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
  • Jika terdapat shell Explorer.exe  dengan value “C:\recycled\SVCHOST.exe” dalam salah satu key tersebut, maka hapuslah key explorer.exe
  • Reebot komputer anda.
Banyak sekali proses yang berjalan pada windows selain svchost.exe yang telah sedikit kita bahas diatas, seperti “SPOOLSV.EXE”, “SERVICES.EXE”, “WINLOGON.EXE”, “LSASS.EXE”, “CRSS.EXE”, “EXPLORER”, “System”, “System Idle Process”, dan lain lain. Nama-nama proses ini biasanya selalu ada, meskipun komputer tidak sedang menjalankan program satu pun. Kadang-kadang virus juga menggunakan nama-nama ini supaya tidak di-stop oleh user.
Dulu saya pernah coba-coba kill proses svchost.exe akibatnya pada saat saya restart muncul pesan yang katanya ada file yang missing gitu akhirnya saya repair deh hehehehe...

0 komentar:

Posting Komentar