Svchost.exe ist der Name eines generischen Hostprozesses für Dienste, die von Dynamic Link Libraries (DLLs) ausgeführt werden. Die legitime Datei, die sich im Ordner C:\Windows\System befindet, überprüft den Dienstteil der Windows-Registrierung, um die Dienste zu überprüfen und aufzulisten, die beim Systemstart geladen werden müssen. Während ein System in Betrieb ist, werden normalerweise mehrere Sitzungen der Datei ausgeführt, wobei jede Sitzung eine separate Gruppe von Diensten enthält. Eine Vielzahl von Wurm-Malware-Programmen verbreitet eine ähnlich benannte Datei – Scvhost.exe – über Yahoo! Messenger, der den Task-Manager und den Registrierungseditor sowie die Verwendung der Eingabeaufforderung blockiert.
Anweisungen
Schritt 1
Wenn das Betriebssystem des infizierten Computers Windows Me oder Windows XP ist, deaktivieren Sie die Systemwiederherstellung, während dieser Fix implementiert wird. Um die Systemwiederherstellung in Windows Me zu deaktivieren, klicken Sie auf Start > Einstellungen > Systemsteuerung. Doppelklicken Sie auf "System". Wählen Sie "Dateisystem" aus der Registerkarte Leistung. Klicken Sie mit der linken Maustaste auf die Registerkarte "Fehlerbehebung" und aktivieren Sie das Kontrollkästchen "Systemwiederherstellung deaktivieren". OK klicken." Um die Systemwiederherstellung in Windows XP zu deaktivieren, melden Sie sich als Administrator an und klicken Sie auf "Start". Klicken Sie mit der rechten Maustaste auf "Arbeitsplatz" und wählen Sie "Eigenschaften" aus dem Kontextmenü. Aktivieren Sie die Option "Systemwiederherstellung deaktivieren" für jedes Laufwerk auf der Registerkarte Systemwiederherstellung. Klicken Sie mit der linken Maustaste auf "Übernehmen" und "Ja", um zu bestätigen, wenn Sie dazu aufgefordert werden. OK klicken."
Video des Tages
Schritt 2
Starten Sie Ihren Computer im abgesicherten Modus neu und melden Sie sich als Administrator an. Drücken Sie "F8", nachdem der erste Piepton während des Startvorgangs ertönt, bevor das Microsoft Windows-Logo angezeigt wird. Wählen Sie die erste Option, um Windows im abgesicherten Modus aus dem Auswahlmenü auszuführen.
Schritt 3
Greifen Sie auf die Eingabeaufforderung zu. Klicken Sie auf Start > Ausführen. Geben Sie "cmd" ein. Klicken Sie in der Eingabeaufforderung auf OK > CD (Verzeichnis wechseln) und drücken Sie die Leertaste. Geben Sie den Namen des vollständigen Verzeichnispfads des Ordners ein, der Ihre Windows-Systemdateien enthält. Es ist entweder "C:\Windows\System" oder "C:\Windows\System 32".
Schritt 4
Geben Sie an der Eingabeaufforderung Folgendes ein, um den Schutz der zu entfernenden Dateien aufzuheben: "attrib -h -r -s scvhost.exe" und Drücken Sie Enter;" "attrib -h -r -s blastclnnn.exe" und drücken Sie "Enter"; "attrib -h -r -s autorun.inf" und drücken Sie "Eintreten."
Schritt 5
Löschen Sie die Dateien, indem Sie Folgendes an der Eingabeaufforderung eingeben: "del scvhost.exe" und drücken Sie "Enter"; "del blastclnnn.exe" und drücken Sie "Enter"; "del autorun.ini" und drücken Sie "Enter".
Schritt 6
Geben Sie "cd" ein, um zum Hauptverzeichnis von Windows zurückzukehren. Heben Sie den Schutz auf und löschen Sie die Datei Autorun.inf, indem Sie Folgendes an der Eingabeaufforderung des Windows-Verzeichnisses eingeben: "attrib -h -r -s autorun.inf" und drücken Sie "Enter;" "del "autorun.inf" und drücken Sie "Enter;" Geben Sie "regedit" ein und drücken Sie "Enter", um die Registrierung zu öffnen Editor.
Schritt 7
Suchen Sie den folgenden Eintrag: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Löschen Sie das falsch geschriebene Yahoo! Messenger-Eintrag mit dem Wert "c:\windows\system32\scvhost.exe".
Schritt 8
Suchen Sie den folgenden Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Innerhalb des Schlüssels befindet sich ein "Shell"-Eintrag mit dem Wert "explorer.exe, scvhost.exe". Bearbeiten Sie den Eintrag, um den Verweis auf Scvhost.exe zu entfernen, und belassen Sie Explorer.exe als verbleibenden Wert im Registrierungseintrag.
Schritt 9
Suchen Sie den folgenden Schlüssel: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Delete the following Unterschlüssel aus dem linken Bereich: RpcPatch RpcTftpd Beenden Sie die Eingabeaufforderung und kehren Sie zum Betriebsmodus zurück System. Geben Sie "Exit" ein und drücken Sie "Enter".
Schritt 10
Starten Sie den PC neu. Wenn sich Scvhost.exe noch auf dem Computer befindet, wiederholen Sie diese Schritte oder versuchen Sie es mit einem automatischen Entfernungsprogramm von McAfee oder Symantec (siehe Links in Referenzen).
Warnung
Das manuelle Entfernen von Scvhost.exe kann schwierig sein, da der Entfernungsprozess Kenntnisse der Eingabeaufforderung und des Registrierungseditors des Betriebssystems erfordert. Darüber hinaus benennen verschiedene Versionen dieser Malware verschiedene Dateikomponenten um und verschieben sie. Bei nicht ordnungsgemäßer Ausführung kann Ihr Computersystem dauerhaft beschädigt werden. Daher ist die manuelle Entfernung möglicherweise für erfahrene Benutzer am besten. Weniger erfahrene Benutzer sollten in Erwägung ziehen, eine Anwendung zur automatischen Entfernung von Spyware zu verwenden, wie sie beispielsweise von Trend Micro angeboten wird.
Dieser Wurm dupliziert sich an verschiedenen Orten von freigegebenen Ordnern. Das duplizierte Programm verwendet ein Ordnersymbol mit der Dateierweiterung .exe. Doppelklicken Sie NICHT auf einen dieser Ordner.
