Svchost.exe je ime generičnega gostiteljskega procesa za storitve, ki se izvajajo iz knjižnic z dinamičnimi povezavami (DLL). Zakonita datoteka, ki se nahaja v mapi C:\Windows\System, preveri del storitev v registru Windows, da preveri in navede storitve, ki se morajo naložiti ob zagonu sistema. Med delovanjem sistema se običajno izvaja več sej datoteke, pri čemer vsaka seja vsebuje ločeno skupino storitev. Različne zlonamerne programske opreme črvi širijo podobno imenovano datoteko – Scvhost.exe – prek Yahoo! Messenger, ki blokira upravitelja opravil in urejevalnika registra ter uporabo ukaznega poziva.
Navodila
Korak 1
Če je operacijski sistem okuženega računalnika Windows Me ali Windows XP, izklopite obnovitev sistema, medtem ko se ta popravek izvaja. Če želite izklopiti obnovitev sistema v sistemu Windows Me, kliknite Start > Nastavitve > Nadzorna plošča. Dvokliknite "Sistem". Na zavihku Učinkovitost izberite "Datotečni sistem". Levi klik na zavihek »Odpravljanje težav« in potrdite polje »Onemogoči obnovitev sistema«. Kliknite »V redu«. Če želite izklopiti obnovitev sistema v sistemu Windows XP, se prijavite kot skrbnik in kliknite »Start«. Z desno tipko miške kliknite »Moj računalnik« in v priročnem meniju izberite »Lastnosti«. Preverite možnost »Izklopi obnovitev sistema« za vsak pogon na zavihku Obnovitev sistema. Levi klik "Uporabi" in "Da", da potrdite, ko ste pozvani. Kliknite »V redu«.
Video dneva
2. korak
Znova zaženite računalnik v varnem načinu in se prijavite kot skrbnik. Pritisnite "F8" po prvem pisku med zagonom, preden se prikaže logotip Microsoft Windows. V izbirnem meniju izberite prvo možnost, da zaženete Windows v varnem načinu.
3. korak
Dostop do ukaznega poziva. Kliknite Start > Zaženi. Vnesite "cmd." V ukaznem pozivu kliknite V redu > CD (spremeni imenik), pritisnite preslednico. Vnesite ime celotne poti imenika mape, ki vsebuje vaše sistemske datoteke Windows. To bo bodisi "C:\Windows\System" ali "C:\Windows\System 32."
4. korak
V ukazni poziv vnesite naslednje, da odstranite zaščito datotek za odstranitev: "attrib -h -r -s scvhost.exe" in pritisnite "Enter;" "attrib -h -r -s blastclnnn.exe" in pritisnite "Enter;" "attrib -h -r -s autorun.inf" in pritisnite "Vstopi."
5. korak
Izbrišite datoteke tako, da v ukazni poziv vnesete naslednje: "del scvhost.exe" in pritisnite "Enter;" "del blastclnnn.exe" in pritisnite "Enter;" "del autorun.ini" in pritisnite "Enter."
6. korak
Vnesite "cd", da se vrnete v glavni imenik sistema Windows. Odstranite zaščito in izbrišite datoteko Autorun.inf tako, da v ukazni poziv imenika Windows vnesete naslednje: "attrib -h -r -s autorun.inf" in pritisnite "Enter;" "del "autorun.inf" in pritisnite "Enter;" Vnesite "regedit" in pritisnite "Enter", da odprete register Urednik.
7. korak
Poiščite naslednji vnos: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Izbrišite napačno napisano Yahoo! Vnos v Messengerju z vrednostjo "c:\windows\system32\scvhost.exe."
8. korak
Poiščite naslednji ključ: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Znotraj ključa je vnos "lupina" z vrednostjo "explorer.exe, scvhost.exe". Uredite vnos, da odstranite sklic na Scvhost.exe, pri čemer pustite Explorer.exe kot preostalo vrednost v vnosu registra.
9. korak
Poiščite naslednji ključ: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services> Izbrišite naslednje podključi na levi plošči: RpcPatch RpcTftpd Zapustite ukazni poziv in se vrnite na operacijski sistem. Vnesite "Exit" in pritisnite "Enter".
10. korak
Znova zaženite računalnik. Če je Scvhost.exe še vedno v računalniku, ponovite te korake ali poskusite uporabiti program za samodejno odstranjevanje iz McAfeeja ali Symanteca (glejte povezave v Reference).
Opozorilo
Ročna odstranitev Scvhost.exe je lahko težavna, saj postopek odstranitve zahteva poznavanje ukaznega poziva operacijskega sistema in urejevalnika registra. Poleg tega različne različice te zlonamerne programske opreme preimenujejo in prestavijo različne komponente datotek. Če se ne izvede pravilno, se lahko vaš računalniški sistem trajno poškoduje. Zato bi lahko bila ročna odstranitev najboljša za izkušene uporabnike. Manj izkušeni uporabniki bi morda želeli razmisliti o uporabi aplikacije za samodejno odstranjevanje vohunske programske opreme, kot je tista, ki jo ponuja Trend Micro.
Ta črv se podvoji na različnih lokacijah map v skupni rabi. Podvojeni program uporablja ikono mape, ki ima pripono datoteke .exe. NE dvokliknite nobene od teh map.