Svchost.exe on yleisen isäntäprosessin nimi palveluille, jotka suoritetaan dynaamisista linkkikirjastoista (DLL). Aito tiedosto, joka sijaitsee C:\Windows\System-kansiossa, tarkistaa Windowsin rekisterin palvelut-osion varmistaakseen ja luetteloitakseen palvelut, jotka on ladattava järjestelmän käynnistyksen yhteydessä. Useita tiedoston istuntoja suoritetaan tyypillisesti järjestelmän ollessa toiminnassa, ja jokainen istunto sisältää erillisen palveluryhmän. Useat matohaittaohjelmat levittävät samannimistä tiedostoa - Scvhost.exe - Yahoo! Messenger, joka estää Task Managerin ja Rekisterieditorin sekä komentokehotteen käytön.
Ohjeet
Vaihe 1
Jos tartunnan saaneen tietokoneen käyttöjärjestelmä on joko Windows Me tai Windows XP, poista Järjestelmän palauttaminen käytöstä tämän korjauksen aikana. Voit poistaa järjestelmän palauttamisen käytöstä Windows Me: ssä napsauttamalla Käynnistä > Asetukset > Ohjauspaneeli. Kaksoisnapsauta "Järjestelmä". Valitse Suorituskyky-välilehdeltä "Tiedostojärjestelmä". Napsauta hiiren kakkospainikkeella "Vianmääritys" -välilehteä ja valitse "Poista järjestelmän palautus käytöstä" -ruutu. Napsauta "OK". Voit poistaa järjestelmän palauttamisen käytöstä Windows XP: ssä kirjautumalla sisään järjestelmänvalvojana ja napsauttamalla "Käynnistä". Napsauta hiiren kakkospainikkeella "Oma tietokone" ja valitse pikavalikosta "Ominaisuudet". Tarkista Järjestelmän palauttaminen -välilehden jokaisen aseman kohta "Poista järjestelmän palautus käytöstä". Napsauta hiiren vasemmalla painikkeella "Käytä" ja "Kyllä" vahvistaaksesi pyydettäessä. Napsauta "OK".
Päivän video
Vaihe 2
Käynnistä tietokone uudelleen vikasietotilassa ja kirjaudu sisään järjestelmänvalvojana. Paina "F8", kun ensimmäinen äänimerkki kuuluu käynnistyksen aikana, ennen kuin Microsoft Windows -logo tulee näkyviin. Valitse ensimmäinen vaihtoehto, jos haluat käyttää Windowsia vikasietotilassa valintavalikosta.
Vaihe 3
Avaa komentokehote. Napsauta Käynnistä > Suorita. Kirjoita "cmd". Napsauta komentokehotteessa OK > CD (muuta hakemistoa) ja paina välilyöntiä. Kirjoita Windows-järjestelmätiedostosi sisältävän kansion koko hakemistopolun nimi. Se on joko "C:\Windows\System" tai "C:\Windows\System 32".
Vaihe 4
Kirjoita komentokehotteeseen seuraava poistaaksesi tiedostojen suojauksen poistettavaksi: "attrib -h -r -s scvhost.exe" ja paina Enter;" "attrib -h -r -s blastclnnn.exe" ja paina "Enter;" "attrib -h -r -s autorun.inf" ja paina "Tulla sisään."
Vaihe 5
Poista tiedostot kirjoittamalla seuraava komentokehotteeseen: "del scvhost.exe" ja paina "Enter;" "del blastclnnn.exe" ja paina "Enter;" "del autorun.ini" ja paina "Enter".
Vaihe 6
Kirjoita "cd" palataksesi Windowsin päähakemistoon. Poista Autorun.inf-tiedoston suojaus ja poista se kirjoittamalla seuraava Windowsin hakemiston komentokehotteeseen: "attrib -h -r -s autorun.inf" ja paina "Enter;" "del "autorun.inf" ja paina "Enter;" Kirjoita "regedit" ja paina "Enter" avataksesi rekisterin Toimittaja.
Vaihe 7
Etsi seuraava merkintä: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Poista väärin kirjoitettu Yahoo! Messenger-merkintä arvolla "c:\windows\system32\scvhost.exe".
Vaihe 8
Etsi seuraava avain: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Avaimen sisällä on "shell"-merkintä, jonka arvo on "explorer.exe, scvhost.exe". Muokkaa merkintää poistaaksesi viittauksen Scvhost.exe-tiedostoon, jolloin Explorer.exe jää jäljelle jääväksi arvoksi rekisterimerkinnässä.
Vaihe 9
Etsi seuraava avain: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services> Poista seuraavat aliavaimia vasemmasta paneelista: RpcPatch RpcTftpd Poistu komentokehotteesta ja palaa käyttötilaan järjestelmä. Kirjoita "Exit" ja paina "Enter".
Vaihe 10
Käynnistä tietokone uudelleen. Jos Scvhost.exe on edelleen tietokoneessa, toista nämä vaiheet tai yritä käyttää McAfeen tai Symantecin automaattista poistoohjelmaa (katso linkit kohdasta Viittaukset).
Varoitus
Scvhost.exe-tiedoston manuaalinen poistaminen voi olla vaikeaa, koska poistoprosessi edellyttää käyttöjärjestelmän komentokehotteen ja rekisterieditorin tuntemista. Lisäksi tämän haittaohjelman eri versiot nimeävät uudelleen ja siirtävät eri tiedostokomponentteja. Jos sitä ei suoriteta oikein, tietokonejärjestelmäsi saattaa vaurioitua pysyvästi. Tästä syystä manuaalinen poistaminen saattaa olla parasta kokeneille käyttäjille. Vähemmän kokeneet käyttäjät saattavat haluta käyttää automaattista vakoiluohjelmien poistosovellusta, kuten Trend Micron tarjoamaa sovellusta.
Tämä mato kopioi itsensä jaettujen kansioiden eri paikkoihin. Kopioitu ohjelma käyttää kansiokuvaketta, jonka tiedostotunniste on .exe. ÄLÄ kaksoisnapsauta mitään näistä kansioista.
