Svchost.exe é o nome de um processo de host genérico para serviços executados a partir de bibliotecas de vínculo dinâmico (DLLs). O arquivo legítimo - localizado na pasta C:\Windows\System - verifica a parte de serviços do registro do Windows para verificar e listar os serviços que devem ser carregados na inicialização do sistema. Várias sessões do arquivo normalmente são executadas enquanto um sistema está operacional, cada sessão contendo um grupo separado de serviços. Uma variedade de programas de malware de worm espalham um arquivo de nome semelhante - Scvhost.exe - via Yahoo! Messenger que bloqueia o Gerenciador de Tarefas e o Editor do Registro, bem como o uso do prompt de comando.
Instruções
Etapa 1
Se o sistema operacional do computador infectado for o Windows Me ou o Windows XP, desative a Restauração do sistema enquanto essa correção estiver sendo implementada. Para desativar a Restauração do sistema no Windows Me, clique em Iniciar> Configurações> Painel de controle. Dê um duplo clique em “Sistema”. Selecione "Sistema de Arquivos" na guia Desempenho. Clique com o botão esquerdo na guia "Solução de problemas" e marque a caixa "Desativar restauração do sistema". Clique OK." Para desativar a Restauração do Sistema no Windows XP, faça login como Administrador e clique em “Iniciar”. Clique com o botão direito do mouse em "Meu Computador" e selecione "Propriedades" no menu de atalho. Marque a opção "Desativar restauração do sistema" para cada unidade na guia Restauração do sistema. Clique com o botão esquerdo em "Aplicar" e "Sim" para confirmar quando solicitado. Clique OK."
Etapa 2
Reinicie o computador no modo de segurança e faça login como administrador. Pressione “F8″ após o primeiro bipe ocorrer durante a inicialização, antes da exibição do logotipo do Microsoft Windows. Selecione a primeira opção, para executar o Windows no modo de segurança no menu de seleção.
Etapa 3
Acesse o prompt de comando. Clique em Iniciar> Executar. Digite "cmd." Clique em OK> CD (alterar diretório) no prompt de comando, pressione a barra de espaço. Digite o nome do caminho completo do diretório da pasta que contém os arquivos do sistema Windows. Será "C:\Windows\System" ou "C:\Windows\System 32."
Etapa 4
No prompt de comando, digite o seguinte para desproteger os arquivos para remoção:"attrib -h -r -s scvhost.exe" e pressione "Enter;" "attrib -h -r -s blastclnnn.exe" e pressione "Enter;" "attrib -h -r -s autorun.inf" e pressione "Enter".
Etapa 5
Exclua os arquivos digitando o seguinte no prompt de comando:"del scvhost.exe" e pressione "Enter;" "del blastclnnn.exe" e pressione "Enter;" "del autorun.ini" e pressione "Enter".
Etapa 6
Digite “cd” para retornar ao diretório principal do Windows. Desproteja e exclua o arquivo Autorun.inf digitando o seguinte no prompt de comando do diretório do Windows:"attrib -h -r -s autorun.inf" e pressione "Enter;" "del "autorun.inf" e pressione "Enter"; Digite "regedit" e pressione "Enter" para abrir o Editor do Registro.
Etapa 7
Localize a seguinte entrada:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Exclua o Yahoo! Entrada do Messenger com o valor "c:\windows\system32\scvhost.exe."
Etapa 8
Localize a seguinte chave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Dentro da chave, há uma entrada "shell" com o valor de "explorer.exe, scvhost.exe". Edite a entrada para remover a referência a Scvhost.exe, deixando Explorer.exe como o valor restante na entrada do Registro.
Etapa 9
Localize a seguinte chave:HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services> Exclua as seguintes subchaves do painel esquerdo:RpcPatch RpcTftpd Saia do prompt de comando e retorne ao sistema operacional. Digite “Sair” e pressione “Enter”.
Etapa 10
Reinicie o computador. Se o Scvhost.exe ainda estiver no computador, repita essas etapas ou tente usar um programa de remoção automática da McAfee ou Symantec (consulte os links em Referências).
Aviso
A remoção manual do Scvhost.exe pode ser difícil, pois o processo de remoção requer conhecimento do prompt de comando do sistema operacional e do Editor do Registro. Além disso, diferentes versões desse malware renomeiam e realocam vários componentes de arquivo. Se não for executado corretamente, seu sistema de computador pode sofrer danos permanentes. Consequentemente, a remoção manual pode ser melhor para usuários experientes. Usuários menos experientes podem considerar o uso de um aplicativo de remoção automática de spyware, como o oferecido pela Trend Micro.
Este worm se duplica em diferentes locais de pastas compartilhadas. O programa duplicado usa um ícone de pasta com extensão de arquivo .exe. NÃO clique duas vezes em nenhuma dessas pastas.