Svchost, Friend of Foe?

Pertama2 apa itu svchost?
svchost.exe itu file yg fungsinya sebagai "Generic Host Process for Win32 Services" dimana dia mengurusi services2 yang berjalan pada windows. coba cek dicontrol panel administration tools atau di run->services.msc.

services itu aktifitas background windows yg berjalan rutin dalam mengerjakan tugas spesifik yg ada pada windows yg gak perlu intervensi penggunanya. misal windows firewall, security centre, indexing services dan masih banyak lagi.

kalo ditask manager itu ada banyak svchost.exe dan banyak yg mengira itu virus. sebenarnya windows sengaja membuat beberapa proses svchost.exe karena pembagian itu didasarkan dari kelompok jenis services yg ditangani ( system,local service,network service) dan dependencies nya(ketergantungan antar services satu dg yg lain pada sebuah fungsi fungsi). Kalau semua services dijadikan 1 svchost.exe maka jika ada 1 services failure bisa menyebabkan seluruh services down, impacnya jelas kestabilan system.

jadi dalam 1 proses svchost.exe bisa beberapa services yg dia tangani dan ini akan mempengaruhi besar memory usage seperti yg tampak pada task manager tab process dimana svchost.exe berbeda2 besarnya.

kalau mau tau svchost.exe yg asli di process manager, disitu kan ada kolom user name(system,local service,network service). selama usernamenya bukan akun yg login di pc itu gak masalah.
kalo di windows 7 kita bisa melihat services apa saja yg berjalan di process svchost.exe, lebih mudahnya pake program process explorer


File svchost.exe dibutuhkan oleh Windows utk menghubungkan file dynamic link library (DLL) dengan aplikasi yang membutuhkannya. Karena file DLL tidak bisa me-launch dirinya sendiri, jadi svchost.exe sebagai penghubungnya.

Sebenarnya svchost.exe itu normal, dibutuhkan oleh Windows.
Saking normalnya itu maka banyak virus yang menyamar jadi svchost.exe supaya tidak dicurigai.
Saking banyaknya virus yang menyamar jadi svchost.exe, maka sekarang orang-orang berpikir klo svchost.exe itu virus.

Untuk menentukan apakah svchost.exe yang berjalan adalah svchost.exe yg normal atau suatu malware yang menyamar dapat dilakukan dengan cara:

1. Scan svchost.exe yang sedang berjalan pada Windows anda dengan tools svchost viewer(260KB)
http://filecheck.web.id/freeware/svchostviewer.html

2. Periksa hasil scan apakah ada svchost.exe yang terletak pada lokasi yang mencurigakan
Untuk lokasi svchost.exe yang berbahaya bisa dilihat di
http://filecheck.web.id/berkas/svchost.exe.html

scroll ke bagian Deskripsi:
...
svchost.exe terletak dalam folder C:\Windows\System32. Ukuran file yang diketahui pada Windows XP adalah 14,336 bytes (87% dari semua kemunculan), ...
Jika svchost.exe terletak di dalam folder C:\Windows maka peringkat keamanannya adalah 68% berbahaya....
Jika svchost.exe terletak di dalam subfolder dari C:\Windows maka peringkat keamanannya adalah 77% berbahaya...
...dst


Jika ada svchost.exe yang mencurigakan, yang dapat anda lakukan:
1.Cocokkan ID svchost.exe tersebut dengan ID yang terdapat pada Windows Task Manager -> Services (lihat kolom PID)
2.Klik kanan pada service yang bersangkutan di Task Manager dan pilih Stop Service
3.Untuk men-disable-nya secara permanen, klik tombol Services... (dapat juga diakses melalui Run -> services.msc)
4.Cari Nama Service yang sama dengan Description Service pada Task Manager tadi.
5.Double klik service tersebut, isi field "Startup type" dengan "Disabled"
6.Apply dan Restart
7.Jika ada service yang mencurigakan (pada tabel bawah dari hasil scan), Anda dapat langsung melakukan langkah 2 dengan mencocokkan nama dan deskripsi servicenya