Svchost.exe er navnet på en generisk værtsproces for tjenester, der kører fra dynamiske linkbiblioteker (DLL'er). Den legitime fil - placeret i mappen C:\Windows\System - kontrollerer servicedelen af Windows-registreringsdatabasen for at verificere og liste de tjenester, der skal indlæses ved systemstart. Flere sessioner af filen kører typisk, mens et system er i drift, hver session indeholder en separat gruppe af tjenester. En række forskellige orme-malware-programmer spreder en lignende navngiven fil--Scvhost.exe--via Yahoo! Messenger, der blokerer Task Manager og Registry Editor, samt brug af kommandoprompten.
Instruktioner
Trin 1
Hvis operativsystemet på den inficerede computer enten er Windows Me eller Windows XP, skal du deaktivere Systemgendannelse, mens denne rettelse implementeres. For at deaktivere Systemgendannelse i Windows Me skal du klikke på Start > Indstillinger > Kontrolpanel. Dobbeltklik på "System". Vælg "Filsystem" fra fanen Ydelse. Venstreklik på fanen "Fejlfinding" og marker afkrydsningsfeltet "Deaktiver systemgendannelse". Klik på "OK". For at deaktivere Systemgendannelse i Windows XP skal du logge på som administrator og klikke på "Start". Højreklik på "Denne computer" og vælg "Egenskaber" fra genvejsmenuen. Marker indstillingen "Sluk systemgendannelse" for hvert drev på fanen Systemgendannelse. Venstre klik på "Anvend" og "Ja" for at bekræfte, når du bliver bedt om det. Klik på "OK".
Dagens video
Trin 2
Genstart din computer i fejlsikret tilstand, og log på som administrator. Tryk på "F8" efter det første bip under opstart, før visningen af Microsoft Windows-logoet. Vælg den første mulighed, for at køre Windows i fejlsikret tilstand fra valgmenuen.
Trin 3
Få adgang til kommandoprompten. Klik på Start > Kør. Skriv "cmd." Klik på OK > CD (skift mappe) fra kommandoprompten, tryk på mellemrumstasten. Indtast navnet på den fulde mappesti til mappen, der indeholder dine Windows-systemfiler. Det vil enten være "C:\Windows\System" eller "C:\Windows\System 32."
Trin 4
Fra kommandoprompten skal du skrive følgende for at fjerne beskyttelsen af filerne til fjernelse: "attrib -h -r -s scvhost.exe" og tryk på "Enter;" "attrib -h -r -s blastclnnn.exe" og tryk på "Enter;" "attrib -h -r -s autorun.inf" og tryk "Gå ind."
Trin 5
Slet filerne ved at skrive følgende fra kommandoprompten: "del scvhost.exe" og tryk på "Enter;" "del blastclnnn.exe" og tryk på "Enter;" "del autorun.ini" og tryk på "Enter".
Trin 6
Skriv "cd" for at vende tilbage til hovedbiblioteket i Windows. Fjern beskyttelsen og slet Autorun.inf-filen ved at skrive følgende fra Windows-bibliotekets kommandoprompt: "attrib -h -r -s autorun.inf" og tryk på "Enter;" "del "autorun.inf" og tryk på "Enter;" Skriv "regedit" og tryk på "Enter" for at åbne registreringsdatabasen Redaktør.
Trin 7
Find følgende post: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Slet det forkert stavede Yahoo! Messenger-indgang med værdien "c:\windows\system32\scvhost.exe."
Trin 8
Find følgende nøgle: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Inden i nøglen er der en "shell"-indgang med værdien "explorer.exe, scvhost.exe". Rediger posten for at fjerne referencen til Scvhost.exe, og efterlader Explorer.exe som den resterende værdi i registreringsdatabasen.
Trin 9
Find følgende nøgle: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Tjenester> Slet følgende undernøgler fra venstre panel: RpcPatch RpcTftpd Afslut kommandoprompten og vend tilbage til betjeningen system. Skriv "Exit", og tryk på "Enter".
Trin 10
Genstart pc'en. Hvis Scvhost.exe stadig findes på computeren, skal du gentage disse trin eller prøve at bruge et automatisk fjernelsesprogram fra McAfee eller Symantec (se links i Referencer).
Advarsel
Manuel fjernelse af Scvhost.exe kan være vanskelig, da fjernelsesprocessen kræver kendskab til operativsystemets kommandoprompt og registreringseditor. Derudover omdøber og flytter forskellige versioner af denne malware forskellige filkomponenter. Hvis det ikke udføres korrekt, kan dit computersystem opleve permanent skade. Derfor kan manuel fjernelse være bedst for erfarne brugere. Mindre erfarne brugere vil måske overveje at bruge et program til automatisk fjernelse af spyware, som det, der tilbydes af Trend Micro.
Denne orm dublerer sig selv til forskellige placeringer af delte mapper. Det duplikerede program bruger et mappeikon, der har en .exe filtypenavn. Dobbeltklik IKKE på nogen af disse mapper.
