Однако создатели вирусов не могли упустить столь удобную возможность, и вот появился вирус, имеющий то же название, в связи с чем неопытному пользователю сложно идентифицировать его в Диспетчере задач и вообще обнаружить его присутствие в системе. Тревожным симптомом присутствия этого вируса в системе может стать лишь сообщение об ошибке, связанное с svchost.exe и сообщающее пользователю о том, что «память не может быть read». В этом случае следует немедленно предпринять шаги, позволяющие удалить svchost:
1. Откройте редактор реестра (введите команду regedit в окне «Выполнить» или командной строке), найдите ключ [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices] "PowerManager"="%WinDir%svchost.exe" и удалите его.
2. Откройте модуль управления службами Windows (Пуск — Панель управления — Администрирование — Службы), найдите службу PowerManager и остановите ее (щелкните по названию службы правой кнопкой мыши и выберите «Остановить» в контекстном меню, или установите курсор на название службы и нажмите ссылку «Остановить» в левой части окна).
3. Откройте Диспетчер задач и завершите процесс троянской программы.
4. Удалите файлы:
- %System%svchostc.exe
- %System%svchosts.exe
- %WinDir%svchost.exe
- %WINDIR%svchost.com
- %Windir%SYSHOST.DLL
- %WinDir%msrt32.dll
- %WinDir%sysini.ini
- %WinDir%msin32.dll
- %WinDir%nostar.ini
- %Temp%c1.txt
- %Temp%c2.txt
- %Temp%c3.txt
- %WINDIR%svchost.com
- %Windir%SYSHOST.DLL
- %WinDir%msrt32.dll
- Будьте внимательны: «настоящий» svchost находится в папке %WINDIR%system32. Его удалять не нужно.
5. Чтобы окончательно удалить svchost, необходимо убрать автоматический запуск троянской программы из реестра. Запустите редактор реестра, найдите ключ [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "svchost" = "%WinDir%svchost.exe" и удалите его.
6. Найдите ключ [HKCRexefileshellopencommand]. Измените его значение с %WINDIR%svchost.com "%1" %* на "%1" %*
7. Найдите ключ [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogon] и измените его значение с "Userinit"="%System%userinit.exe,,%Windir%svchost.exe%" на "Userinit"="%System%userinit.exe,"
8. Найдите ключ [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] и удалите параметры "Systems" = "%WinDir%svchost.exe" и "Online Service"="%WinDir%svchost.exe"