“COM Surrogate” (dllhost.exe) là gì và tại sao nó lại chạy trên PC của tôi?

Nếu bạn tìm kiếm xung quanh trong Trình quản lý tác vụ của mình, rất có thể bạn sẽ thấy một hoặc nhiều quy trình “COM Surrogate” đang chạy trên PC Windows. Các quy trình này có tên tệp là “dllhost.exe” và là một phần của hệ điều hành Windows. Bạn sẽ thấy chúng trên Windows 10, Windows 8, Windows 7 và thậm chí các phiên bản Windows cũ hơn.

LIÊN QUAN:Quá trình này là gì và tại sao nó lại chạy trên PC của tôi?

Bài viết này là một phần của loạt bài đang diễn ra của chúng tôi giải thích các quy trình khác nhau được tìm thấy trong Trình quản lý tác vụ, như Runtime Broker, svchost.exe, dwm.exe, ctfmon.exe, rundll32.exe, Adobe_Updater.exe và nhiều quy trình khác. Không biết những dịch vụ đó là gì? Tốt hơn hãy bắt đầu đọc!

COM Surrogate (dllhost.exe) là gì?

COM là viết tắt của Mô hình Đối tượng Thành phần. Đây là giao diện được Microsoft giới thiệu vào năm 1993 cho phép các nhà phát triển tạo “đối tượng COM” bằng nhiều ngôn ngữ lập trình khác nhau. Về cơ bản, các đối tượng COM này cắm vào các ứng dụng khác và mở rộng chúng.

Ví dụ: trình quản lý tệp Windows sử dụng các đối tượng COM để tạo hình ảnh thu nhỏ của hình ảnh và các tệp khác khi nó mở một thư mục. Đối tượng COM xử lý việc xử lý hình ảnh, video và các tệp khác để tạo hình thu nhỏ. Điều này cho phép mở rộng File Explorer với sự hỗ trợ cho các codec video mới, chẳng hạn.

Tuy nhiên, điều này có thể dẫn đến các vấn đề. Nếu một đối tượng COM gặp sự cố, nó sẽ làm hỏng quá trình lưu trữ của nó. Tại một thời điểm, các đối tượng COM tạo hình thu nhỏ này thường gặp sự cố và gỡ bỏ toàn bộ quy trình Windows Explorer với chúng.

Để khắc phục loại sự cố này, Microsoft đã tạo quy trình COM Surrogate. Quy trình COM Surrogate chạy một đối tượng COM bên ngoài quy trình ban đầu đã yêu cầu nó. Nếu đối tượng COM gặp sự cố, nó sẽ chỉ gỡ bỏ quá trình COM Surrogate và quá trình máy chủ lưu trữ ban đầu sẽ không gặp sự cố. Ví dụ, Windows Explorer (hiện được gọi là File Explorer) bắt đầu quy trình COM Surrogate bất cứ khi nào nó cần tạo hình ảnh thu nhỏ. Quá trình COM Surrogate lưu trữ đối tượng COM thực hiện công việc. Nếu đối tượng COM gặp sự cố, chỉ COM Surrogate gặp sự cố và quy trình File Explorer ban đầu sẽ tiếp tục vận chuyển.

“Nói cách khác”, như blog chính thức của Microsoft The Old New Thing đã nói, “COM Surrogate làTôi cảm thấy không hài lòng về mã này, vì vậy tôi sẽ yêu cầu COM lưu trữ nó trong một quy trình khác. Theo cách đó, nếu nó gặp sự cố, thì đó là quy trình hy sinh COM Surrogate sẽ gặp sự cố thay vì tôi quá trình."

Và, như bạn có thể đoán, COM Surrogate được đặt tên là “dllhost.exe” vì các đối tượng COM mà nó lưu trữ là các tệp .dll.

Làm thế nào tôi có thể biết đối tượng COM nào mà COM đại diện là lưu trữ?

Trình quản lý tác vụ Windows tiêu chuẩn không cung cấp cho bạn thêm bất kỳ thông tin nào về đối tượng COM hoặc tệp DLL mà quy trình COM Surrogate đang lưu trữ. Nếu bạn muốn xem thông tin này, chúng tôi khuyên bạn nên sử dụng công cụ Process Explorer của Microsoft. Tải xuống nó và bạn có thể di chuột qua quy trình dllhost.exe trong Process Explorer để xem đối tượng COM hoặc tệp DLL nào mà nó đang lưu trữ.

Như chúng ta có thể thấy trong ảnh chụp màn hình bên dưới, quá trình dllhost.exe cụ thể này đang lưu trữ đối tượng CortanaMapiHelper.dll.

Tôi có thể vô hiệu hóa nó không?

Bạn không thể tắt quy trình COM Surrogate, vì nó là một phần cần thiết của Windows. Nó thực sự chỉ là một quy trình vùng chứa được sử dụng để chạy các đối tượng COM mà các quy trình khác muốn chạy. Ví dụ: Windows Explorer (hoặc File Explorer) thường xuyên tạo quy trình COM Surrogate để tạo hình thu nhỏ khi bạn mở một thư mục. Các chương trình khác mà bạn sử dụng cũng có thể tạo các quy trình COM Surrogate của riêng chúng. Tất cả các quy trình dllhost.exe trên hệ thống của bạn đã được khởi động bởi một chương trình khác để làm điều gì đó mà chương trình đó muốn thực hiện.

Nó có phải là virus không?

Bản thân quy trình COM Surrogate không phải là vi rút và là một phần bình thường của Windows. Tuy nhiên, nó có thể bị phần mềm độc hại sử dụng. Ví dụ, phần mềm độc hại Trojan.Poweliks sử dụng các quy trình dllhost.exe để thực hiện công việc bẩn thỉu của nó. Nếu bạn thấy một số lượng lớn các quy trình dllhost.exe đang chạy và chúng đang sử dụng một lượng CPU đáng chú ý, điều đó có thể cho thấy quy trình COM Surrogate đang bị vi-rút hoặc ứng dụng độc hại khác lạm dụng.

LIÊN QUAN:Phần mềm chống vi-rút tốt nhất cho Windows 10 là gì? (Bộ bảo vệ Windows có đủ tốt không?)

Nếu lo ngại rằng phần mềm độc hại đang lạm dụng quy trình dllhost.exe hoặc COM Surrogate, bạn nên quét bằng chương trình chống vi-rút ưa thích của mình để tìm và loại bỏ bất kỳ phần mềm độc hại nào có trên hệ thống của bạn. Nếu chương trình chống vi-rút bạn chọn cho biết mọi thứ đều ổn nhưng bạn thấy nghi ngờ, hãy quét bằng một công cụ chống vi-rút khác để có ý kiến ​​thứ hai.