Svchost.exe este numele unui proces gazdă generic pentru serviciile care rulează din biblioteci de linkuri dinamice (DLL). Fișierul legitim, aflat în folderul C:\Windows\System, verifică porțiunea de servicii din registry Windows pentru a verifica și a enumera serviciile care trebuie să se încarce la pornirea sistemului. Sesiuni multiple ale fișierului rulează de obicei în timp ce sistemul este operațional, fiecare sesiune conținând un grup separat de servicii. O varietate de programe malware pentru viermi răspândesc un fișier cu nume similar -- Scvhost.exe -- prin intermediul Yahoo! Messenger care blochează Managerul de activități și Editorul de registru, precum și utilizarea promptului de comandă.
Instrucțiuni
Pasul 1
Dacă sistemul de operare al computerului infectat este Windows Me sau Windows XP, dezactivați System Restore în timp ce această remediere este implementată. Pentru a dezactiva Restaurarea sistemului în Windows Me, faceți clic pe Start > Setări > Panou de control. Faceți dublu clic pe „Sistem”. Selectați „Sistem de fișiere” din fila Performanță. Faceți clic stânga pe fila „Depanare” și bifați caseta „Dezactivați restaurarea sistemului”. Faceți clic pe „OK”. Pentru a dezactiva System Restore în Windows XP, conectați-vă ca administrator și faceți clic pe „Start”. Faceți clic dreapta pe „Computerul meu” și selectați „Proprietăți” din meniul de comenzi rapide. Verificați opțiunea „Dezactivați restaurarea sistemului” pentru fiecare unitate din fila Restaurare sistem. Faceți clic stânga pe „Aplicați” și „Da” pentru a confirma când vi se solicită. Faceți clic pe „OK”.
Videoclipul zilei
Pasul 2
Reporniți computerul în modul sigur și conectați-vă ca administrator. Apăsați „F8” după ce apare primul bip în timpul pornirii, înainte de afișarea siglei Microsoft Windows. Selectați prima opțiune, pentru a rula Windows în modul Safe din meniul de selecție.
Pasul 3
Accesați promptul de comandă. Faceți clic pe Start > Run. Tastați „cmd”. Faceți clic pe OK > CD (schimbați directorul) din promptul de comandă, apăsați bara de spațiu. Tastați numele căii complete de director a folderului care conține fișierele de sistem Windows. Va fi fie „C:\Windows\System”, fie „C:\Windows\System 32”.
Pasul 4
Din promptul de comandă, tastați următoarele pentru a deproteja fișierele pentru eliminare: „attrib -h -r -s scvhost.exe” și apasa Enter;" „attrib -h -r -s blastclnnn.exe” și apăsați „Enter;” „attrib -h -r -s autorun.inf” și apăsați "Introduce."
Pasul 5
Ștergeți fișierele tastând următoarele din promptul de comandă: „del scvhost.exe” și apăsați „Enter;” „del blastclnnn.exe” și apăsați „Enter;” „del autorun.ini” și apăsați „Enter”.
Pasul 6
Tastați „cd” pentru a reveni la directorul principal Windows. Deprotejați și ștergeți fișierul Autorun.inf tastând următoarele din promptul de comandă al directorului Windows: „attrib -h -r -s autorun.inf" și apăsați "Enter;" "del "autorun.inf" și apăsați "Enter;" Tastați „regedit” și apăsați „Enter” pentru a deschide Registrul Editor.
Pasul 7
Localizați următoarea intrare: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Ștergeți mesajul Yahoo! Intrare Messenger cu valoarea „c:\windows\system32\scvhost.exe”.
Pasul 8
Localizați următoarea cheie: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. În cheie, există o intrare „shell” cu valoarea „explorer.exe, scvhost.exe”. Editați intrarea pentru a elimina referința la Scvhost.exe, lăsând Explorer.exe ca valoare rămasă în intrarea de registry.
Pasul 9
Localizați următoarea cheie: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services> Ștergeți următoarele subchei din panoul din stânga: RpcPatch RpcTftpd Ieșiți din promptul de comandă și reveniți la modul de operare sistem. Tastați „Exit” și apăsați „Enter”.
Pasul 10
Reporniți computerul. Dacă Scvhost.exe încă se află pe computer, repetați acești pași sau încercați să utilizați un program de eliminare automată din McAfee sau Symantec (consultați linkurile din Referințe).
Avertizare
Îndepărtarea manuală a Scvhost.exe poate fi dificilă, deoarece procesul de eliminare necesită cunoașterea promptului de comandă al sistemului de operare și a Editorului de registru. În plus, diferite versiuni ale acestui malware redenumesc și relocați diferite componente ale fișierului. Dacă nu este executat corespunzător, sistemul computerului poate suferi daune permanente. În consecință, eliminarea manuală ar putea fi cea mai bună pentru utilizatorii experimentați. Utilizatorii mai puțin experimentați ar putea dori să ia în considerare utilizarea unei aplicații de eliminare automată a programelor spion, cum ar fi cea oferită de Trend Micro.
Acest vierme se dublează în diferite locații ale folderelor partajate. Programul duplicat folosește o pictogramă de folder care are o extensie de fișier .exe. NU faceți dublu clic pe niciunul dintre aceste foldere.
