Svchost.exe je název obecného hostitelského procesu pro služby spouštěné z dynamických knihoven (DLL). Legitimní soubor – umístěný ve složce C:\Windows\System – kontroluje část služeb registru Windows a ověřuje a uvádí služby, které se musí načíst při spuštění systému. Několik relací souboru obvykle běží, když je systém v provozu, přičemž každá relace obsahuje samostatnou skupinu služeb. Různé malwarové programy pro červy šíří podobně pojmenovaný soubor--Scvhost.exe--prostřednictvím Yahoo! Messenger, který blokuje Správce úloh a Editor registru a také použití příkazového řádku.
Instrukce
Krok 1
Pokud je operačním systémem infikovaného počítače Windows Me nebo Windows XP, vypněte nástroj Obnovení systému během implementace této opravy. Chcete-li vypnout nástroj Obnovení systému ve Windows Me, klikněte na Start > Nastavení > Ovládací panely. Dvakrát klikněte na „Systém“. Na kartě Výkon vyberte "Systém souborů". Klikněte levým tlačítkem na kartu „Odstraňování problémů“ a zaškrtněte políčko „Zakázat obnovení systému“. Klikněte na „OK“. Chcete-li vypnout nástroj Obnovení systému v systému Windows XP, přihlaste se jako správce a klikněte na tlačítko "Start". Klikněte pravým tlačítkem na "Tento počítač" a z místní nabídky vyberte "Vlastnosti". Zaškrtněte možnost „Vypnout Obnovení systému“ pro každý disk na kartě Obnovení systému. Po zobrazení výzvy klikněte levým tlačítkem na „Použít“ a „Ano“ pro potvrzení. Klikněte na „OK“.
Video dne
Krok 2
Restartujte počítač v nouzovém režimu a přihlaste se jako správce. Stiskněte "F8" po prvním pípnutí během spouštění, před zobrazením loga Microsoft Windows. Z nabídky výběru vyberte první možnost, chcete-li spustit systém Windows v nouzovém režimu.
Krok 3
Otevřete příkazový řádek. Klikněte na Start > Spustit. Zadejte "cmd." Klepněte na OK > CD (změnit adresář) na příkazovém řádku a stiskněte mezerník. Zadejte název úplné cesty k adresáři složky obsahující systémové soubory Windows. Bude to buď "C:\Windows\System" nebo "C:\Windows\System 32."
Krok 4
Na příkazovém řádku zadejte následující, chcete-li zrušit ochranu souborů pro odstranění: "attrib -h -r -s scvhost.exe" a stiskněte Enter;" "attrib -h -r -s blastclnnn.exe" a stiskněte "Enter;" "attrib -h -r -s autorun.inf" a stiskněte "Vstupte."
Krok 5
Odstraňte soubory zadáním následujícího z příkazového řádku: "del scvhost.exe" a stiskněte "Enter;" "del blastclnnn.exe" a stiskněte "Enter;" "del autorun.ini" a stiskněte "Enter."
Krok 6
Zadejte „cd“ pro návrat do hlavního adresáře Windows. Zrušte ochranu a odstraňte soubor Autorun.inf zadáním následujícího příkazu z příkazového řádku adresáře Windows: "attrib -h -r -s autorun.inf" a stiskněte "Enter;" "del "autorun.inf" a stiskněte "Enter;" Zadejte "regedit" a stiskněte "Enter" pro otevření registru Editor.
Krok 7
Vyhledejte následující položku: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Odstraňte nesprávně napsané Yahoo! Položka Messenger s hodnotou "c:\windows\system32\scvhost.exe."
Krok 8
Vyhledejte následující klíč: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Uvnitř klíče je položka "shell" s hodnotou "explorer.exe, scvhost.exe". Upravte položku a odeberte odkaz na Scvhost.exe a ponechte Explorer.exe jako zbývající hodnotu v položce registru.
Krok 9
Najděte následující klíč: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Delete the following podklíče z levého panelu: RpcPatch RpcTftpd Ukončete příkazový řádek a vraťte se do provozního Systém. Napište „Exit“ a stiskněte „Enter“.
Krok 10
Restartujte počítač. Pokud je Scvhost.exe stále umístěn v počítači, opakujte tyto kroky nebo zkuste použít program pro automatické odebrání od McAfee nebo Symantec (viz odkazy v Referenčních materiálech).
Varování
Ruční odstranění Scvhost.exe může být obtížné, protože proces odstranění vyžaduje znalost příkazového řádku operačního systému a Editoru registru. Kromě toho různé verze tohoto malwaru přejmenovávají a přemisťují různé součásti souborů. Pokud nebude provedena správně, může dojít k trvalému poškození vašeho počítačového systému. V důsledku toho může být pro zkušené uživatele nejlepší ruční odstranění. Méně zkušení uživatelé mohou zvážit použití aplikace pro automatické odstranění spywaru, jakou nabízí Trend Micro.
Tento červ se duplikuje do různých umístění sdílených složek. Duplicitní program používá ikonu složky s příponou EXE. NEKLIKNĚTE dvakrát na žádnou z těchto složek.