Svchost.exe is de naam van een generiek hostproces voor services die worden uitgevoerd vanuit dynamische linkbibliotheken (DLL's). Het legitieme bestand - dat zich in de map C:\Windows\System bevindt - controleert het services-gedeelte van het Windows-register om de services te verifiëren en weer te geven die moeten worden geladen bij het opstarten van het systeem. Meerdere sessies van het bestand worden doorgaans uitgevoerd terwijl een systeem operationeel is, waarbij elke sessie een afzonderlijke groep services bevat. Een verscheidenheid aan worm-malwareprogramma's verspreiden een gelijknamig bestand - Scvhost.exe - via Yahoo! Messenger die Taakbeheer en Register-editor blokkeert, evenals het gebruik van de opdrachtprompt.
instructies:
Stap 1
Als het besturingssysteem van de geïnfecteerde computer Windows Me of Windows XP is, schakelt u Systeemherstel uit terwijl deze correctie wordt geïmplementeerd. Om Systeemherstel in Windows Me uit te schakelen, klikt u op Start > Instellingen > Configuratiescherm. Dubbelklik op "Systeem". Selecteer "Bestandssysteem" op het tabblad Prestaties. Klik met de linkermuisknop op het tabblad "Problemen oplossen" en vink het vakje "Systeemherstel uitschakelen" aan. Klik OK." Om Systeemherstel in Windows XP uit te schakelen, logt u in als beheerder en klikt u op "Start". Klik met de rechtermuisknop op "Deze computer" en selecteer "Eigenschappen" in het snelmenu. Vink de optie "Systeemherstel uitschakelen" aan voor elke schijf op het tabblad Systeemherstel. Klik met de linkermuisknop op "Toepassen" en "Ja" om te bevestigen wanneer daarom wordt gevraagd. Klik OK."
Video van de dag
Stap 2
Start uw computer opnieuw op in de veilige modus en meld u aan als beheerder. Druk op "F8" nadat de eerste piep klinkt tijdens het opstarten, voordat het Microsoft Windows-logo wordt weergegeven. Selecteer de eerste optie om Windows in de veilige modus uit te voeren vanuit het selectiemenu.
Stap 3
Open de opdrachtprompt. Klik op Start > Uitvoeren. Typ 'cmd'. Klik op OK > CD (directory wijzigen) vanaf de opdrachtprompt, druk op de spatiebalk. Typ de naam van het volledige mappad van de map met uw Windows-systeembestanden. Het zal ofwel "C:\Windows\System" of "C:\Windows\System 32" zijn.
Stap 4
Typ het volgende vanaf de opdrachtprompt om de beveiliging van de bestanden voor verwijdering op te heffen: "attrib -h -r -s scvhost.exe" en druk op Enter;" "attrib -h -r -s blastclnnn.exe" en druk op "Enter;" "attrib -h -r -s autorun.inf" en druk op "Binnenkomen."
Stap 5
Verwijder de bestanden door het volgende te typen vanaf de opdrachtprompt: "del scvhost.exe" en druk op "Enter;" "del blastclnnn.exe" en druk op "Enter;" "del autorun.ini" en druk op "Enter".
Stap 6
Typ "cd" om terug te keren naar de hoofdmap van Windows. Maak de beveiliging van het bestand Autorun.inf ongedaan en verwijder het door het volgende te typen vanaf de opdrachtprompt in de Windows-directory: "attrib -h -r -s autorun.inf" en druk op "Enter;" "del "autorun.inf" en druk op "Enter;" Typ "regedit" en druk op "Enter" om het register te openen Editor.
Stap 7
Zoek de volgende vermelding: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Verwijder de verkeerd gespelde Yahoo! Messenger-item met de waarde "c:\windows\system32\scvhost.exe."
Stap 8
Zoek de volgende sleutel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Binnen de sleutel bevindt zich een "shell"-item met de waarde "explorer.exe, scvhost.exe". Bewerk de vermelding om de verwijzing naar Scvhost.exe te verwijderen en laat Explorer.exe als de resterende waarde in de registervermelding.
Stap 9
Zoek de volgende sleutel: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services> Verwijder het volgende subsleutels in het linkerdeelvenster: RpcPatch RpcTftpd Verlaat de opdrachtprompt en keer terug naar de systeem. Typ "Exit" en druk op "Enter".
Stap 10
Start de pc opnieuw op. Als Scvhost.exe zich nog steeds op de computer bevindt, herhaalt u deze stappen of probeert u een automatisch verwijderingsprogramma van McAfee of Symantec (zie koppelingen in Referenties).
Waarschuwing
Handmatig verwijderen van Scvhost.exe kan moeilijk zijn omdat het verwijderingsproces kennis van de opdrachtprompt van het besturingssysteem en de Register-editor vereist. Bovendien hernoemen en verplaatsen verschillende versies van deze malware verschillende bestandscomponenten. Als het niet goed wordt uitgevoerd, kan uw computersysteem blijvende schade oplopen. Daarom is handmatige verwijdering wellicht het beste voor ervaren gebruikers. Minder ervaren gebruikers kunnen overwegen om een automatische toepassing voor het verwijderen van spyware te gebruiken, zoals die wordt aangeboden door Trend Micro.
Deze worm dupliceert zichzelf naar verschillende locaties van gedeelde mappen. Het gedupliceerde programma gebruikt een mappictogram met de bestandsextensie .exe. Dubbelklik NIET op een van deze mappen.
