Svchost.exe е името на общ хост процес за услуги, които се изпълняват от библиотеки с динамични връзки (DLL). Легитимният файл, намиращ се в папката C:\Windows\System, проверява частта на услугите от системния регистър на Windows, за да провери и изброи услугите, които трябва да се заредят при стартиране на системата. Множество сесии на файла обикновено се изпълняват, докато системата работи, като всяка сесия съдържа отделна група услуги. Разнообразие от злонамерен софтуер за червеи разпространява файл с подобно име – Scvhost.exe – чрез Yahoo! Messenger, който блокира диспечера на задачите и редактора на системния регистър, както и използването на командния ред.
Инструкции
Етап 1
Ако операционната система на заразения компютър е Windows Me или Windows XP, изключете възстановяването на системата, докато се прилага тази корекция. За да изключите възстановяването на системата в Windows Me, щракнете върху Старт > Настройки > Контролен панел. Щракнете двукратно върху „Система“. Изберете "Файлова система" от раздела Производителност. Щракнете с левия бутон върху раздела „Отстраняване на неизправности“ и поставете отметка в квадратчето „Деактивиране на възстановяването на системата“. Щракнете върху „OK“. За да изключите възстановяването на системата в Windows XP, влезте като администратор и щракнете върху „Старт“. Щракнете с десния бутон върху "Моят компютър" и изберете "Свойства" от контекстното меню. Проверете опцията „Изключване на възстановяването на системата“ за всяко устройство в раздела „Възстановяване на системата“. Щракнете с левия бутон върху „Приложи“ и „Да“, за да потвърдите, когато бъдете подканени. Щракнете върху „OK“.
Видео на деня
Стъпка 2
Рестартирайте компютъра си в безопасен режим и влезте като администратор. Натиснете "F8" след първия звуков сигнал по време на стартиране, преди показването на логото на Microsoft Windows. Изберете първата опция, за да стартирате Windows в безопасен режим от менюто за избор.
Стъпка 3
Достъп до командния ред. Щракнете върху Старт > Изпълни. Въведете "cmd." Щракнете върху OK > CD (промяна на директорията) от командния ред, натиснете интервала. Въведете името на пълния път към директорията на папката, съдържаща вашите системни файлове на Windows. Ще бъде или "C:\Windows\System" или "C:\Windows\System 32."
Стъпка 4
От командния ред въведете следното, за да премахнете защитата на файловете за премахване: "attrib -h -r -s scvhost.exe" и натиснете "Enter;" "attrib -h -r -s blastclnnn.exe" и натиснете "Enter;" "attrib -h -r -s autorun.inf" и натиснете „Влезте“.
Стъпка 5
Изтрийте файловете, като напишете следното от командния ред: "del scvhost.exe" и натиснете "Enter;" "del blastclnnn.exe" и натиснете "Enter;" "del autorun.ini" и натиснете "Enter".
Стъпка 6
Въведете "cd", за да се върнете към главната директория на Windows. Премахнете защитата и изтрийте файла Autorun.inf, като напишете следното от командния ред на директорията на Windows: "attrib -h -r -s autorun.inf" и натиснете "Enter;" "del "autorun.inf" и натиснете "Enter;" Въведете "regedit" и натиснете "Enter", за да отворите системния регистър Редактор.
Стъпка 7
Намерете следния запис: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Изтрийте неправилно изписаното Yahoo! Запис в Messenger със стойността "c:\windows\system32\scvhost.exe."
Стъпка 8
Намерете следния ключ: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. В ключа има запис "shell" със стойността на "explorer.exe, scvhost.exe". Редактирайте записа, за да премахнете препратката към Scvhost.exe, оставяйки Explorer.exe като останала стойност в записа в системния регистър.
Стъпка 9
Намерете следния ключ: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services> Изтрийте следното подключове от левия панел: RpcPatch RpcTftpd Излезте от командния ред и се върнете към операционната система. Въведете „Exit“ и натиснете „Enter“.
Стъпка 10
Рестартирайте компютъра. Ако Scvhost.exe все още се намира на компютъра, повторете тези стъпки или опитайте да използвате програма за автоматично премахване от McAfee или Symantec (вижте връзките в Препратки).
Внимание
Ръчното премахване на Scvhost.exe може да е трудно, тъй като процесът на премахване изисква познаване на командния ред на операционната система и редактора на системния регистър. Освен това различните версии на този зловреден софтуер преименуват и преместват различни файлови компоненти. Ако не се изпълнява правилно, вашата компютърна система може да претърпи трайни повреди. Следователно ръчното премахване може да е най-доброто за опитни потребители. По-малко опитните потребители може да искат да обмислят използването на приложение за автоматично премахване на шпионски софтуер, като това, предлагано от Trend Micro.
Този червей се дублира на различни местоположения на споделени папки. Дублираната програма използва икона на папка, която има файлово разширение .exe. НЕ щраквайте два пъти върху някоя от тези папки.
