Однако создатели вирусов не могли упустить столь удобную возможность, и вот появился вирус, имеющий то же название, в связи с чем неопытному пользователю сложно идентифицировать его в Диспетчере задач и вообще обнаружить его присутствие в системе. Тревожным симптомом присутствия этого вируса в системе может стать лишь сообщение об ошибке, связанное с svchost.exe и сообщающее пользователю о том, что «память не может быть read». В этом случае следует немедленно предпринять шаги, позволяющие удалить svchost:

1.    Откройте редактор реестра (введите команду regedit в окне «Выполнить» или командной строке), найдите ключ [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices] "PowerManager"="%WinDir%svchost.exe" и удалите его.



2.    Откройте модуль управления службами Windows (Пуск — Панель управления — Администрирование — Службы), найдите службу PowerManager и остановите ее (щелкните по названию службы правой кнопкой мыши и выберите «Остановить» в контекстном меню, или установите курсор на название службы и нажмите ссылку «Остановить» в левой части окна).

3.    Откройте Диспетчер задач и завершите процесс троянской программы.

4.    Удалите файлы:



  • %System%svchostc.exe

  • %System%svchosts.exe

  • %WinDir%svchost.exe

  • %WINDIR%svchost.com

  • %Windir%SYSHOST.DLL

  • %WinDir%msrt32.dll

  • %WinDir%sysini.ini

  • %WinDir%msin32.dll

  • %WinDir%nostar.ini

  • %Temp%c1.txt

  • %Temp%c2.txt

  • %Temp%c3.txt

  • %WINDIR%svchost.com

  • %Windir%SYSHOST.DLL

  • %WinDir%msrt32.dll

  • Будьте внимательны: «настоящий» svchost находится в папке %WINDIR%system32. Его удалять не нужно.


5.    Чтобы окончательно удалить svchost, необходимо убрать автоматический запуск троянской программы из реестра. Запустите редактор реестра, найдите ключ [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "svchost" = "%WinDir%svchost.exe" и удалите его.

6.    Найдите ключ [HKCRexefileshellopencommand]. Измените его значение с %WINDIR%svchost.com "%1" %* на "%1" %*

7.    Найдите ключ [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogon] и измените его значение с "Userinit"="%System%userinit.exe,,%Windir%svchost.exe%" на "Userinit"="%System%userinit.exe,"

8.    Найдите ключ [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] и удалите параметры "Systems" = "%WinDir%svchost.exe" и "Online Service"="%WinDir%svchost.exe"