Svchost.exe je názov všeobecného hostiteľského procesu pre služby, ktoré sa spúšťajú z dynamických knižníc (DLL). Legitímny súbor, ktorý sa nachádza v priečinku C:\Windows\System, kontroluje časť registra systému Windows so službami a overuje a uvádza služby, ktoré sa musia načítať pri spustení systému. Počas prevádzky systému sa zvyčajne spúšťajú viaceré relácie súboru, pričom každá relácia obsahuje samostatnú skupinu služieb. Rôzne červové malvérové programy šíria podobne pomenovaný súbor -- Scvhost.exe -- cez Yahoo! Messenger, ktorý blokuje Správcu úloh a Editor databázy Registry, ako aj používanie príkazového riadka.
Inštrukcie
Krok 1
Ak je operačný systém infikovaného počítača Windows Me alebo Windows XP, počas implementácie tejto opravy vypnite funkciu Obnovovanie systému. Ak chcete vypnúť Obnovovanie systému v systéme Windows Me, kliknite na Štart > Nastavenia > Ovládací panel. Dvakrát kliknite na „Systém“. Na karte Výkon vyberte „Systém súborov“. Kliknite ľavým tlačidlom myši na kartu „Riešenie problémov“ a začiarknite políčko „Zakázať obnovenie systému“. Kliknite na „OK“. Ak chcete vypnúť funkciu Obnovovanie systému v systéme Windows XP, prihláste sa ako správca a kliknite na tlačidlo "Štart". Kliknite pravým tlačidlom myši na „Tento počítač“ a v kontextovej ponuke vyberte „Vlastnosti“. Začiarknite možnosť „Vypnúť Obnovovanie systému“ pre každý disk na karte Obnovovanie systému. Po zobrazení výzvy kliknite ľavým tlačidlom na „Použiť“ a „Áno“ na potvrdenie. Kliknite na „OK“.
Video dňa
Krok 2
Reštartujte počítač v núdzovom režime a prihláste sa ako správca. Stlačte "F8" po prvom pípnutí počas spúšťania, pred zobrazením loga Microsoft Windows. Ak chcete spustiť systém Windows v núdzovom režime, vyberte prvú možnosť z ponuky výberu.
Krok 3
Prístup k príkazovému riadku. Kliknite na Štart > Spustiť. Napíšte „cmd“. Kliknite na OK > CD (zmena adresára) v príkazovom riadku a stlačte medzerník. Zadajte názov celej cesty k priečinku, ktorý obsahuje vaše systémové súbory Windows. Bude to buď "C:\Windows\System" alebo "C:\Windows\System 32."
Krok 4
Z príkazového riadka napíšte nasledovné, aby ste zrušili ochranu súborov na odstránenie: "attrib -h -r -s scvhost.exe" a stlačte Enter;" "attrib -h -r -s blastclnnn.exe" a stlačte "Enter;" "attrib -h -r -s autorun.inf" a stlačte "Vstúpte."
Krok 5
Odstráňte súbory zadaním nasledujúceho príkazu z príkazového riadka: "del scvhost.exe" a stlačte "Enter;" "del blastclnnn.exe" a stlačte "Enter;" "del autorun.ini" a stlačte "Enter."
Krok 6
Ak sa chcete vrátiť do hlavného adresára systému Windows, zadajte „cd“. Zrušte ochranu a odstráňte súbor Autorun.inf zadaním nasledovného z príkazového riadka adresára Windows: "attrib -h -r -s autorun.inf" a stlačte "Enter;" "del "autorun.inf" a stlačte "Enter;" Napíšte „regedit“ a stlačením „Enter“ otvorte register Editor.
Krok 7
Nájdite nasledujúcu položku: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Vymažte nesprávne napísané Yahoo! Položka Messenger s hodnotou "c:\windows\system32\scvhost.exe."
Krok 8
Nájdite nasledujúci kľúč: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. V rámci kľúča sa nachádza položka „shell“ s hodnotou „explorer.exe, scvhost.exe“. Upravte položku, aby ste odstránili odkaz na Scvhost.exe, pričom v položke databázy Registry ponechajte zostávajúcu hodnotu Explorer.exe.
Krok 9
Nájdite nasledujúci kľúč: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services> Delete the following podkľúče z ľavého panela: RpcPatch RpcTftpd Ukončite príkazový riadok a vráťte sa do operačného systém. Napíšte „Exit“ a stlačte „Enter“.
Krok 10
Reštartujte počítač. Ak sa Scvhost.exe stále nachádza v počítači, zopakujte tieto kroky alebo skúste použiť program na automatické odstránenie od spoločnosti McAfee alebo Symantec (pozrite si odkazy v časti Referencie).
Pozor
Manuálne odstránenie Scvhost.exe môže byť náročné, pretože proces odstránenia vyžaduje znalosť príkazového riadka operačného systému a editora databázy Registry. Okrem toho rôzne verzie tohto malvéru premenovávajú a premiestňujú rôzne súčasti súborov. Ak sa nevykoná správne, váš počítačový systém sa môže trvalo poškodiť. V dôsledku toho môže byť pre skúsených používateľov najlepšie manuálne odstránenie. Menej skúsení používatelia možno budú chcieť zvážiť použitie aplikácie na automatické odstránenie spywaru, akú ponúka napríklad Trend Micro.
Tento červ sa duplikuje do rôznych umiestnení zdieľaných priečinkov. Duplicitný program používa ikonu priečinka s príponou .exe. Neklikajte dvakrát na žiadny z týchto priečinkov.
