Svchost.exe הוא שמו של תהליך מארח גנרי עבור שירותים הפועלים מספריות קישורים דינמיים (DLL). הקובץ הלגיטימי - הממוקם בתיקייה C:\Windows\System - בודק את חלק השירותים ברישום Windows כדי לאמת ולפרט את השירותים שחייבים להיטען עם הפעלת המערכת. מספר הפעלות של הקובץ פועלות בדרך כלל בזמן שמערכת פועלת, כל הפעלה מכילה קבוצה נפרדת של שירותים. מגוון תוכנות זדוניות של תולעים מפיצים קובץ בשם דומה - Scvhost.exe - באמצעות Yahoo! Messenger שחוסם את מנהל המשימות ואת עורך הרישום, כמו גם את השימוש בשורת הפקודה.
הוראות
שלב 1
אם מערכת ההפעלה של המחשב הנגוע היא Windows Me או Windows XP, כבה את שחזור המערכת בזמן שהתיקון הזה מיושם. כדי לכבות את שחזור המערכת בתוך Windows Me, לחץ על התחל > הגדרות > לוח הבקרה. לחץ פעמיים על "מערכת". בחר "מערכת קבצים" מהכרטיסייה ביצועים. לחץ לחיצה ימנית על הכרטיסייה "פתרון בעיות" וסמן את התיבה "השבת שחזור מערכת". לחץ על "אישור". כדי לכבות את שחזור המערכת בתוך Windows XP, היכנס כמנהל ולחץ על "התחל". לחץ לחיצה ימנית על "המחשב שלי" ובחר "מאפיינים" מתפריט הקיצור. סמן את האפשרות "כבה שחזור מערכת" עבור כל כונן בלשונית שחזור מערכת. לחץ שמאל על "החל" ו"כן" כדי לאשר כאשר תתבקש. לחץ על "אישור".
סרטון היום
שלב 2
הפעל מחדש את המחשב במצב בטוח והיכנס כמנהל. לחץ על "F8" לאחר שהצפצוף הראשון מתרחש במהלך ההפעלה, לפני הצגת הלוגו של Microsoft Windows. בחר באפשרות הראשונה, להפעיל את Windows במצב בטוח מתפריט הבחירה.
שלב 3
גש לשורת הפקודה. לחץ על התחל > הפעלה. הקלד "cmd." לחץ על אישור > CD (שנה ספרייה) משורת הפקודה, הקש על מקש הרווח. הקלד את השם של נתיב הספרייה המלא של התיקיה המכילה את קבצי מערכת Windows שלך. זה יהיה "C:\Windows\System" או "C:\Windows\System 32."
שלב 4
משורת הפקודה, הקלד את הדברים הבאים כדי לבטל את ההגנה על הקבצים להסרה: "attrib -h -r -s scvhost.exe" ו לחץ אנטר;" "attrib -h -r -s blastclnnn.exe" והקש "Enter;" "attrib -h -r -s autorun.inf" ולחץ "להיכנס."
שלב 5
מחק את הקבצים על ידי הקלדת הפקודה הבאה משורת הפקודה: "del scvhost.exe" והקש "Enter;" "del blastclnnn.exe" והקש "Enter;" "del autorun.ini" ולחץ על "Enter".
שלב 6
הקלד "cd" כדי לחזור לספריית Windows הראשית. בטל את ההגנה ומחק את הקובץ Autorun.inf על ידי הקלדת ההודעה הבאה משורת הפקודה בספריית Windows: "attrib -h -r -s autorun.inf" והקש "Enter;" "del "autorun.inf" והקש "Enter;" הקלד "regedit" ולחץ על "Enter" כדי לפתוח את הרישום עוֹרֵך.
שלב 7
אתר את הערך הבא: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. מחק את האיות שגוי של Yahoo! ערך Messenger עם הערך "c:\windows\system32\scvhost.exe."
שלב 8
אתר את המפתח הבא: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. בתוך המפתח, יש ערך "מעטפת" עם הערך "explorer.exe, scvhost.exe". ערוך את הערך כדי להסיר את ההפניה ל-Scvhost.exe, תוך השארת Explorer.exe כערך הנותר בערך הרישום.
שלב 9
אתר את המפתח הבא: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>שירותים> מחק את הדברים הבאים מפתחות משנה מהחלונית השמאלית: RpcPatch RpcTftpd צא משורת הפקודה וחזור להפעלה מערכת. הקלד "יציאה" והקש על "Enter".
שלב 10
הפעל מחדש את המחשב. אם Scvhost.exe עדיין נמצא במחשב, חזור על שלבים אלה או נסה להשתמש בתוכנית הסרה אוטומטית מ-McAfee או Symantec (ראה קישורים ב-References).
אַזהָרָה
הסרה ידנית של Scvhost.exe עשויה להיות קשה מכיוון שתהליך ההסרה דורש ידע בשורת הפקודה ועורך הרישום של מערכת ההפעלה. בנוסף, גרסאות שונות של תוכנה זדונית זו משנים את שמותיהם ומעבירים מחדש את רכיבי הקבצים השונים. אם לא מבוצע כראוי, מערכת המחשב שלך עלולה לסבול מנזק קבוע. כתוצאה מכך, הסרה ידנית עשויה להיות הטובה ביותר עבור משתמשים מנוסים. משתמשים פחות מנוסים עשויים לשקול להשתמש באפליקציה אוטומטית להסרת תוכנות ריגול, כמו זו שמציעה Trend Micro.
תולעת זו משכפלת את עצמה למיקומים שונים של תיקיות משותפות. התוכנית המשוכפלת משתמשת בסמל תיקייה בעל סיומת קובץ .exe. אל תלחץ פעמיים על אף אחת מהתיקיות הללו.
