Svchost.exe é o nome de um processo de host genérico para serviços executados a partir de bibliotecas de vínculo dinâmico (DLLs). O arquivo legítimo - localizado na pasta C: \ Windows \ System - verifica a parte de serviços do registro do Windows para verificar e listar os serviços que devem ser carregados na inicialização do sistema. Várias sessões do arquivo normalmente são executadas enquanto um sistema está operacional, cada sessão contendo um grupo separado de serviços. Vários programas de malware worm espalham um arquivo com nome semelhante - Scvhost.exe - por meio do Yahoo! Messenger que bloqueia o Gerenciador de Tarefas e o Editor do Registro, bem como o uso do prompt de comando.
Instruções
Passo 1
Se o sistema operacional do computador infectado for Windows Me ou Windows XP, desative a Restauração do sistema enquanto esta correção está sendo implementada. Para desativar a Restauração do Sistema no Windows Me, clique em Iniciar> Configurações> Painel de Controle. Clique duas vezes em “Sistema”. Selecione "Sistema de Arquivos" na guia Desempenho. Clique com o botão esquerdo na guia "Solução de problemas" e marque a caixa "Desativar restauração do sistema". Clique OK." Para desligar a restauração do sistema no Windows XP, faça login como administrador e clique em “Iniciar”. Clique com o botão direito em “Meu Computador” e selecione “Propriedades” no menu de atalho. Marque a opção "Desativar restauração do sistema" para cada unidade na guia Restauração do sistema. Clique com o botão esquerdo em “Aplicar” e “Sim” para confirmar quando solicitado. Clique OK."
Vídeo do dia
Passo 2
Reinicie o computador no modo de segurança e faça login como administrador. Pressione "F8" após o primeiro bipe ocorrer durante a inicialização, antes da exibição do logotipo do Microsoft Windows. Selecione a primeira opção para executar o Windows no Modo de Segurança no menu de seleção.
etapa 3
Acesse o prompt de comando. Clique em Iniciar> Executar. Digite “cmd”. Clique em OK> CD (alterar diretório) no prompt de comando e pressione a barra de espaço. Digite o nome do caminho completo do diretório da pasta que contém os arquivos de sistema do Windows. Será "C: \ Windows \ System" ou "C: \ Windows \ System 32."
Passo 4
No prompt de comando, digite o seguinte para desproteger os arquivos para remoção: "attribute -h -r -s scvhost.exe" e pressione Enter;" "attribute -h -r -s blastclnnn.exe" e pressione "Enter;" "atrib -h -r -s autorun.inf" e pressione "Digitar."
Etapa 5
Exclua os arquivos digitando o seguinte no prompt de comando: "del scvhost.exe" e pressione "Enter;" "del blastclnnn.exe" e pressione "Enter;" “del autorun.ini” e pressione “Enter”.
Etapa 6
Digite “cd” para retornar ao diretório principal do Windows. Desproteja e exclua o arquivo Autorun.inf digitando o seguinte no prompt de comando do diretório do Windows: "attribute -h -r -s autorun.inf "e pressione" Enter; "" del "autorun.inf" e pressione "Enter;" Digite “regedit” e pressione “Enter” para abrir o registro Editor.
Etapa 7
Localize a seguinte entrada: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run. Exclua o Yahoo! escrito incorretamente Entrada do Messenger com o valor "c: \ windows \ system32 \ scvhost.exe."
Etapa 8
Localize a seguinte chave: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon. Dentro da chave, há uma entrada "shell" com o valor "explorer.exe, scvhost.exe". Edite a entrada para remover a referência a Scvhost.exe, deixando Explorer.exe como o valor restante na entrada do registro.
Etapa 9
Localize a seguinte chave: HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Services> Delete the following subchaves do painel esquerdo: RpcPatch RpcTftpd Saia do prompt de comando e volte para a operação sistema. Digite “Exit” e pressione “Enter”.
Etapa 10
Reinicialize o PC. Se Scvhost.exe ainda residir no computador, repita essas etapas ou tente usar um programa de remoção automática da McAfee ou Symantec (consulte os links em Referências).
Aviso
A remoção manual do Scvhost.exe pode ser difícil, pois o processo de remoção requer conhecimento do prompt de comando do sistema operacional e do Editor do Registro. Além disso, diferentes versões desse malware renomeiam e realocam vários componentes de arquivo. Se não for executado corretamente, o sistema do seu computador pode sofrer danos permanentes. Consequentemente, a remoção manual pode ser melhor para usuários experientes. Usuários menos experientes podem querer considerar o uso de um aplicativo de remoção automática de spyware, como o oferecido pela Trend Micro.
Este worm se duplica em diferentes locais de pastas compartilhadas. O programa duplicado usa um ícone de pasta com uma extensão de arquivo .exe. NÃO clique duas vezes em nenhuma dessas pastas.
