Svchost.exe เป็นชื่อของกระบวนการโฮสต์ทั่วไปสำหรับบริการที่ทำงานจากไดนามิกลิงก์ไลบรารี (DLL) ไฟล์ที่ถูกต้องซึ่งอยู่ในโฟลเดอร์ C:\Windows\System จะตรวจสอบส่วนบริการของรีจิสทรีของ Windows เพื่อตรวจสอบและแสดงรายการบริการที่ต้องโหลดเมื่อระบบเริ่มทำงาน โดยทั่วไป ไฟล์หลายเซสชันจะทำงานในขณะที่ระบบกำลังทำงาน โดยแต่ละเซสชันจะมีกลุ่มบริการแยกต่างหาก โปรแกรมมัลแวร์เวิร์มต่างๆ แพร่กระจายไฟล์ที่มีชื่อคล้ายกัน นั่นคือ Scvhost.exe ผ่านทาง Yahoo! Messenger ที่บล็อก Task Manager และ Registry Editor รวมถึงการใช้พรอมต์คำสั่ง
คำแนะนำ
ขั้นตอนที่ 1
หากระบบปฏิบัติการของคอมพิวเตอร์ที่ติดไวรัสคือ Windows Me หรือ Windows XP ให้ปิด System Restore ในขณะที่กำลังดำเนินการแก้ไข หากต้องการปิด System Restore ภายใน Windows Me ให้คลิก Start > Settings > Control Panel คลิกสองครั้งที่ "ระบบ" เลือก "ระบบไฟล์" จากแท็บประสิทธิภาพ คลิกซ้ายที่แท็บ "การแก้ไขปัญหา" และทำเครื่องหมายที่ช่อง "ปิดใช้งานการคืนค่าระบบ" คลิก "ตกลง" หากต้องการปิด System Restore ภายใน Windows XP ให้เข้าสู่ระบบในฐานะผู้ดูแลระบบ แล้วคลิก "Start" คลิกขวาที่ "My Computer" และเลือก "Properties" จากเมนูทางลัด เลือกตัวเลือก "ปิดการคืนค่าระบบ" สำหรับแต่ละไดรฟ์บนแท็บการคืนค่าระบบ คลิกซ้าย "ใช้" และ "ใช่" เพื่อยืนยันเมื่อได้รับแจ้ง คลิก "ตกลง"
วีดีโอประจำวันนี้
ขั้นตอนที่ 2
รีสตาร์ทคอมพิวเตอร์ในเซฟโหมดและเข้าสู่ระบบในฐานะผู้ดูแลระบบ กด "F8" หลังจากเสียงบี๊บแรกเกิดขึ้นระหว่างการเริ่มต้นระบบ ก่อนที่โลโก้ Microsoft Windows จะแสดง เลือกตัวเลือกแรก เพื่อเรียกใช้ Windows ในเซฟโหมดจากเมนูการเลือก
ขั้นตอนที่ 3
เข้าถึงพรอมต์คำสั่ง คลิกเริ่ม > เรียกใช้ พิมพ์ "cmd" คลิก ตกลง > ซีดี (เปลี่ยนไดเร็กทอรี) จากพรอมต์คำสั่ง กดแป้นเว้นวรรค พิมพ์ชื่อพาธไดเร็กทอรีแบบเต็มของโฟลเดอร์ที่มีไฟล์ระบบ Windows ของคุณ มันจะเป็น "C:\Windows\System" หรือ "C:\Windows\System 32"
ขั้นตอนที่ 4
จากพรอมต์คำสั่ง ให้พิมพ์ข้อความต่อไปนี้เพื่อยกเลิกการป้องกันไฟล์สำหรับการลบ: "attrib -h -r -s scvhost.exe" และ กดปุ่มตกลง;" "attrib -h -r -s blastclnnn.exe" แล้วกด "Enter" "attrib -h -r -s autorun.inf" แล้วกด "เข้า."
ขั้นตอนที่ 5
ลบไฟล์โดยพิมพ์คำสั่งต่อไปนี้จากพรอมต์คำสั่ง: "del scvhost.exe" แล้วกด "Enter" "del blastclnnn.exe" และกด "Enter" "del autorun.ini" แล้วกด "Enter"
ขั้นตอนที่ 6
พิมพ์ "cd" เพื่อกลับไปยังไดเร็กทอรีหลักของ Windows ยกเลิกการป้องกันและลบไฟล์ Autorun.inf โดยพิมพ์ข้อความต่อไปนี้จากพรอมต์คำสั่งไดเรกทอรี Windows: "attrib -h -r -s autorun.inf" แล้วกด "Enter" "del "autorun.inf" แล้วกด "Enter" พิมพ์ "regedit" แล้วกด "Enter" เพื่อเปิด Registry บรรณาธิการ.
ขั้นตอนที่ 7
ค้นหารายการต่อไปนี้: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ลบ Yahoo! รายการ Messenger ที่มีค่า "c:\windows\system32\scvhost.exe"
ขั้นตอนที่ 8
ค้นหาคีย์ต่อไปนี้: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ภายในคีย์ จะมีรายการ "เชลล์" ที่มีค่า "explorer.exe, scvhost.exe" แก้ไขรายการเพื่อลบการอ้างอิงถึง Scvhost.exe โดยปล่อยให้ Explorer.exe เป็นค่าที่เหลืออยู่ในรายการรีจิสทรี
ขั้นตอนที่ 9
ค้นหาคีย์ต่อไปนี้: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services> ลบสิ่งต่อไปนี้ คีย์ย่อยจากแผงด้านซ้าย: RpcPatch RpcTftpd ออกจากพรอมต์คำสั่งและกลับไปที่ operation ระบบ. พิมพ์ "ออก" และกด "Enter"
ขั้นตอนที่ 10
รีบูตเครื่องพีซี หาก Scvhost.exe ยังคงอยู่ในคอมพิวเตอร์ ให้ทำซ้ำขั้นตอนเหล่านี้หรือลองใช้โปรแกรมลบอัตโนมัติจาก McAfee หรือ Symantec (ดูลิงก์ในเอกสารอ้างอิง)
คำเตือน
การลบ Scvhost.exe ด้วยตนเองอาจทำได้ยากเนื่องจากกระบวนการลบต้องใช้ความรู้เกี่ยวกับพรอมต์คำสั่งของระบบปฏิบัติการและตัวแก้ไขรีจิสทรี นอกจากนี้ เวอร์ชันต่างๆ ของมัลแวร์นี้จะเปลี่ยนชื่อและย้ายส่วนประกอบต่างๆ ของไฟล์ หากดำเนินการไม่ถูกต้อง ระบบคอมพิวเตอร์ของคุณอาจได้รับความเสียหายอย่างถาวร ดังนั้น การลบด้วยตนเองอาจดีที่สุดสำหรับผู้ใช้ที่มีประสบการณ์ ผู้ใช้ที่มีประสบการณ์น้อยอาจต้องการพิจารณาใช้แอปพลิเคชันการลบสปายแวร์อัตโนมัติ เช่นที่ Trend Micro นำเสนอ
เวิร์มนี้ซ้ำกับตำแหน่งต่างๆ ของโฟลเดอร์ที่ใช้ร่วมกัน โปรแกรมที่ซ้ำกันใช้ไอคอนโฟลเดอร์ที่มีนามสกุลไฟล์ .exe อย่าดับเบิลคลิกที่โฟลเดอร์ใด ๆ เหล่านี้
