powered_by.png, 1 kB
Снова баннеры и порно Версия в формате PDF Версия для печати Отправить на e-mail
Написал KoT   
21.12.2009

После весеннего обострения с порнобаннерами в IE теперь, похоже, началась новая волна  Стыдно

 

Free Image Hosting at www.ImageShack.us


Лично у меня эта хрень вылезла после лазания по варезникам путем имитации необходимости апдейта java.

В папках появились новые файлы C:\Program Files\plugin.exe и C:\Program Files\Internet Explorer\svcnost.exe

Кроме этого в реестре изменилось значение параметра Userinit в ключе

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:

C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe 

 

plugin.exe виден в диспетчере задач, но просто убить его почему-то не получается  Плачу

Метод лечения

- загрузиться в безопасном режиме (жмем F8 при загрузке), найти через поиск эти файлы и удалить.

- в реестре (regedit) проверить значение параметра Userinit  в ключе

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:

C:WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe  - удалить всё, что прописано после userinit.exe

 

Для информации:

Svchost.exe (Generic Host Process for Win32 Services) – системный процесс операционной системы Microsoft Windows, который обрабатывает 32-битные DLL и другие службы.

Файл Svchost.exe расположен в папке %SystemRoot%\System32. В процессе загрузки Svchost.exe составляет на основании записей в реестре список служб, которые необходимо запустить. Одновременно может быть запущено несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe может содержать несколько служб. Таким образом, в зависимости от того, как и где запущен процесс Svchost.exe, могут выполняться несколько отдельных служб. Такая группировка служб обеспечивает более высокий уровень контроля над ними и облегчает отладку.

Группы Svchost.exe определяются в следующем разделе реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
Файл Svchost.exe расположен в папке %SystemRoot%\System32 (c:\Windows\System32)
В случае если процесс Svchost запускается из папки отличной от "%SystemRoot%\System32", скорее всего система заражена вирусом или трояном.

Чаще вирусы маскируются под файл Svchost.exe, используя похожее название, для того что бы визуально их было труднее обнаружить.

Например:
    * Svch0st.exe
    * Svchost1.exe
    * Svcnost.exe
    * Svcnos1.exe
    * Svcn0st.exe
и другие.

 

 

 

Последнее обновление ( 22.12.2009 )
 
< Пред.   След. >
Фонд Развития Интернет
InvitNET © 2018
Страница сгенерирована за 0.016922 секунд