У меня после надписи добро пожаловать появляется черный екран и маленькое окошко в нем написано:Установка личных параметров для:C\Windows\System32\WinDir\svchost.exe. И так после каждого перезапуска ПК. Помогите пожалуйста решить проблемку!
Sma11, Если у вас W7, то это точно зверушка. У родного svchost.exe адрес другой. Про ХР, кажется так же. В диспетчере задач посмотрите ваш svchost.exe и остановите его. Удалите из автозапуска в реестре. И далее шарьте в инете на предмет троян/svchost.exe
Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог, например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn [1]. Верным признаком наличия такого вируса является запущенный от имени пользователя «svchost.exe». Системный «svchost.exe» никогда не запускается от имени пользователя, а только от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Также системный «svchost.exe» запускается только посредством механизма системных сервисов, никогда — из раздела Run реестра (таким образом, он не должен присутствовать на вкладке Автозагрузка msconfig). Также возможно создание службы, использующей настоящий Svchost, но выполняющей вредные действия, например, так делает вирус Kido.
Попроверяй ею процессы двойным кликом на каждом процессе,в том числе и svchost.exe Автоматически файлы будут передаваться на VirusTotal,может чего и найдёшь.Поустанавливай целую кучу сканеров вредоносного,шпионского ПО и проверяй...
И вот ещё,вроде твой случай:
Компьютерный вирус. Инфицирует PE EXE файлы с сохранением их работоспособности. Имеет размер 36352 байта. Написан на языке C++.
Относится к классу HLLP-вирусов (High Level Language Parasitic Virus). Инсталляция
При запуске зараженного файла вирус копирует себя в корневой каталог Windows с именем svchost.exe:
%WinDir%\svchost.exe
При этом тело вируса модифицируется так, что в конец файла добавляется ресурс VERSIONINFO, частично совпадающий с аналогичным ресурсом в оригинальном системном файле svchost.exe Windows XP, который расположен в %WinDir%\system32 (различие только в номерах версий — созданный файл имеет номер версии 5.1.0.0).
После этого вирус запускает созданный файл, передавая ему в качестве параметров командной строки имя запущенного инфицированного Exe-файла и его параметры командной строки.
Затем выполнение программы завершается. Это делается для лечения запустившегося инфицированного Exe-файла.
Запущенный вирусом файл svchost.exe проверяет тип операционной системы. Если это Windows NT, 2000 или XP, то он регистрирует себя в виде службы с именем «PowerManager» и описанием «Manages the power save features of the computer». Если тип операционной системы другой (Windows 95, 9Cool, то запущенный процесс (svchost.exe) прячется из списка задач с помощью функции RegisterServiceProcess и регистрируется в системном реестре: [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "PowerManager"="%WinDir%\svchost.exe"
Запущенный файл svchost.exe анализирует параметры командной строки; если они есть, то вирус лечит указанный в них файл и запускает его с оригинальными параметрами командной строки. Затем, если одна копия вируса уже выполняется, процесс завершает свою работу. Деструктивная активность
В ходе фонового выполнения файла svchost.exe производится поиск и инфицирование других Exe-файлов. При поиске файлов просматриваются все несъёмные диски, начиная с диска C: до диска Z:. Для каждого диска просматривается дерево подкаталогов и производится поиск файлов с расширением Exe. Найденные файлы инфицируются.
При этом заражение файлов не происходит, если выполняется одно из следующих условий:
* файл импортирует одну из функций: PackDDElParam или StartServiceCtrlDispatcher; * размер файла меньше 100 КБ; * тип пользовательского интерфейса — не GUI; * файл является защищённым (определяется посредством SfcIsFileProtected); * файл уже инфицирован этим вирусом (определяется путём нахождения строки; «Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/» по смещению 610h от начала файла (данная строка является зашифрованной строкой «Hidden Dragon virus. Born in a tropical swamp.»).
Все строковые константы в теле вируса зашифрованы.
При заражении файлов у них на время инфицирования снимается атрибут «Только для чтения». Также не изменяются время создания, записи и последнего доступа к файлу. В ходе инфицирования файлов вирус шифрует и меняет местами некоторые данные файла. Рекомендации по удалению
1. Удалить ключ реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "PowerManager"="%WinDir%\svchost.exe" 2. Остановить службу с именем PowerManager. 3. Удалить файл svchost.exe в каталоге %WinDir% (но не в %WinDir%\system32!). 4. Произвести полную проверку компьютера Антивирусом Касперского для удаления всех копий вирусов в Exe-файлах, которые невозможно обнаружить и вылечить вручную
И вот это: Что делать если вирус поразил файл svchost.exe
Что делать если вирус поразил файл svchost.exe
Симптомы: При работе вылетает ошибка svchost.exe что память не может быть Read. Что делать: Удалить ключ реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "PowerManager"="%WinDir%\svchost.exe" Остановить службу с именем PowerManager. Удалить файл svchost.exe в каталоге %WinDir% (но не в %WinDir%\system32!). При помощи "Диспетчера задач" завершить троянский процесс. Удалить созданные троянцем файлы: %System%\svchostc.exe %System%\svchosts.exe %WinDir%\svchost.exe %WINDIR%\svchost.com %Windir%\SYSHOST.DLL %WinDir%\msrt32.dll % WinDir%\sysini.ini %WinDir%\msin32.dll %WinDir%\nostar.ini %Temp%\c1.txt %Temp%\c2.txt %Temp%\c3.txt %WINDIR%\svchost.com %Windir%\SY SHOST.DLL %WinDir%\msrt32.dll
Удалить ссылку на троянский файл из ключа автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "svchost" = "%WinDir%\svchost.exe" В системном реестре изменить значение следующего ключа: [HKCR\exefile\shell\open\command] c %WINDIR%\svchost.com "%1" %* на "%1" %* Изменить следующий ключ реестра: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon] "Userinit"="%System%\userinit.exe,,%Windir%\svchost.exe%" на [HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon] "Userinit"="%System%\userinit.exe,"
Подскажите еще одну проблему,я хотел обновить вин7 скачал обновление,перезагрузил PC,и пишет "Подготовка к настройке Windows" и висит очень долго,я наверное часа 2 ждал и все без толку. Как ето убрать?
В связи с введением в действие Постановления Правительства Российской Федерации от 14.11.2023 № 1905 т.н. "о запрете популяризации VPN" с 1 марта 2024 года - любое обсуждение способов обхода блокировок и VPN на портале запрещено!
