July 11
Svchost.exe è il nome di un processo host generico per servizi eseguiti da librerie a collegamento dinamico (DLL). La legittima di file - che si trova nella cartella C: \ Windows \ System - controlla la porzione del registro di Windows servizi per verificare ed elencare i servizi che devono caricare sul sistema di start up. Più sessioni del file in genere eseguite mentre un sistema è operativo, ogni sessione contenente un gruppo separato di servizi. Una varietà di programmi malware verme si sviluppa un file dal nome simile - scvhost.exe - via Yahoo! Messenger che blocca il Task Manager e l'editor del Registro, così come l'uso del prompt dei comandi.
1 Se il sistema operativo del computer infetto è o Windows Me o Windows XP, disattivare Ripristino configurazione di sistema durante questa correzione è in corso di attuazione. Per disattivare Ripristino configurazione di sistema in Windows Me, fare clic su Start> Impostazioni> Pannello di controllo. Fare doppio clic su "Sistema". Selezionare "File System" dalla scheda Prestazioni. A sinistra fare clic sulla scheda "Risoluzione dei problemi" e verificare "Ripristino configurazione di sistema Disattiva" casella. Fai clic su "OK".
Per disattivare Ripristino configurazione di sistema in Windows XP, accedere come amministratore e fare clic su "Start". Fare clic destro "Risorse del computer" e selezionare "Proprietà" dal menu di scelta rapida. Check "Ripristino configurazione di sistema Spegnere" l'opzione per ciascuna unità sul sistema scheda Ripristino. Sinistra clic su "Applica" e "Sì" per confermare quando richiesto. Fai clic su "OK".
2 Riavviare il computer in modalità provvisoria ed eseguire il login come amministratore. Premere il tasto "F8", dopo il primo segnale acustico si verifica durante l'avvio, prima della visualizzazione del logo Microsoft Windows. Selezionare la prima opzione, per eseguire Windows in modalità provvisoria dal menu di selezione.
3 Accedere al prompt dei comandi. Fare clic su Start> Esegui. Digitare "cmd". Fare clic su OK> CD (change directory) dal prompt dei comandi, premere la barra spaziatrice.
Digitare il nome del percorso completo della cartella che contiene i file di sistema di Windows. Sarà uno "C: \ Windows \ System" o "C: \ Windows \ System 32"
4 Dal prompt dei comandi, digitare quanto segue per rimuovere la protezione dei file per la rimozione:
"Attrib -h -r -s scvhost.exe" e premere "Invio";
"Attrib -h -r -s blastclnnn.exe" e premere "Invio";
"Attrib -h -r -s autorun.inf" e premere "Invio".
5 Eliminare i file digitando la seguente dal prompt dei comandi:
"Del scvhost.exe" e premere "Invio";
"Del blastclnnn.exe" e premere "Invio";
"Del autorun.ini" e premere "Invio".
6 Digitare "cd \" per tornare alla directory principale di Windows.
Rimuovere la protezione ed eliminare il file Autorun.inf digitando quanto segue dal prompt dei comandi di Windows directory:
"Attrib -h -r -s autorun.inf" e premere "Invio";
"Del" autorun.inf "e premere" Invio ";
Digitare "regedit" e premere "Invio" per aprire l'editor del Registro di sistema.
7 Individuare la seguente voce:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run.
Eliminare la voce di Yahoo! Messenger in modo non corretto con il valore
"c: \ windows \ system32 \ scvhost.exe".
8 Individuare la chiave seguente:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.
All'interno della chiave, c'è una voce "shell" con il valore di "explorer.exe, scvhost.exe". Modificare la voce per rimuovere il riferimento a scvhost.exe, lasciando Explorer.exe come il valore residuo nella voce del Registro.
9 Individuare la chiave seguente:
HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Servizi>
Eliminare le seguenti sottochiavi dal pannello di sinistra:
RpcPatch
RpcTftpd
Uscire dal prompt dei comandi e tornare al sistema operativo. Digitare "Exit" e premere "Invio".
10 Riavviare il PC.
Se scvhost.exe risiede ancora sul computer, ripetere la procedura o provare a utilizzare un programma automatico di rimozione di McAfee o Symantec (vedi link in Bibliografia).