Процесс svchost загружает систему

Вопрос #6: В последнее время программа svchost.exe постоянно появляется в автозапуске, при этом не работает сетевое окружение, офис и всякие мелкие неприятности, я её убираю постоянно, но она упорно возвращается. Что делать? Программку Fixblast пробовала ничего не находит и Касперский тоже.

Ответ: Данное решение подразумевает исключение автоматической загрузки вредоносной программы при запуске системы. Для этого используются программы ″msconfig″ и ″regedit″. Многое зависит от установленной операционной системы. Например, если у Вас установлена Windows 98 или WindowsXP, то можно воспользоваться сочетанием этих двух программ. В случае, когда у Вас установлена операционная система семейства (Windows95, Windows2000), использование программы ″msconfig″ неактуально и придется обойтись ″regedit″′ом.
Поскольку для нас неизвестен уровень Ваших познаний в структуре реестра, будет описан пошаговый вариант. Перед выполнением ниже указанных действий настоятельно рекомендуем закрыть все используемые приложения.
Вариант 1 (Для Windows98,WindowsXP)
Запуск программы ″msconfig″ осуществляется через ПУСК>ВЫПОЛНИТЬ, где в появившемся окне вводим MSCONFIG и нажимаем ОК. Теперь, когда программа запущена нужно перейти на закладку АВТОЗАГРУЗКА. Вы видите элементы включенные в процесс запуска вместе с оперативной системой (они помечены ″галочкой″) и не включенные (если таковые присутствуют, то они наоборот не помечены). Ваша задача найти элемент, помеченный на автозагрузку где исполняемый файл имеет название svchost.exe. Например: (C:winntsystem32svchost.exe). Когда таковой будет найден следует убрать галку. После выполненной следует закрыть программу ″msconfig″ и согласится с предложенной перезагрузкой. После чего снова запустить ″msconfig″ и удостоверится что, вредоносная программа исчезла из автозагрузки.
Вариант 2 (Для Windows2000,WindowsXP,Windows98,Windows95)
Запуск программы ″regedit″ осуществляется через ПУСК>ВЫПОЛНИТЬ, где в появившемся окне вводим REGEDIT и нажимаем ОК. У Вас загрузится редактор реестра. Перед Вами, в левой верхней части окна отображается ″дерево каталогов реестра:
+HKEY_CLASSES_ROOT
+HKEY_CURRENT_USER
+HKEY_LOCAL_MACHINE
+HKEY_USERS
+HKEY_CURRENT_CONFIG
Нас интересуют второй и третий каталог, так как в ″HKEY_CURRENT_USER″ хранятся настройки пользователя работающего в данный, а ″HKEY_LOCAL_MACHINE″ отвечает за общие настройки. Для примера приведу следующие: ICQ при старте системы загружается у всех пользователей, а какой-нибудь медиа-проигрыватель только у одного.
Чтобы добраться до записей, автоматически загружаемых элементов для данного пользователя, Вам необходимо во втором каталоге найти следующий путь:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] и выделить папку ″Run″. Теперь в верхней части экрана вы видите программы загружаемые для данного профиля. Как и в варианте №1 ищем в поле ″значение″ путь запуска, где исполняемым фалом является svchost.exe.
Чтобы добраться до записей, автоматически загружаемых элементов, для всех пользователей, Вам необходимо во втором каталоге найти следующий путь:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] и выделить папку ″Run″. Теперь в верхней части экрана вы видите программы, загружаемые для всех профилей. Как и в варианте №1 ищем в поле ″значение″ путь запуска, где исполняемым фалом является svchost.exe.