appinit dlls как восстановить

Сегодня вновь повстречался с вирусом расположенном в ветке реестра HKLMSOFTWAREMicrosoftWindows NTCurrent VersionWindowsAppinit_Dlls.

Снова он был не подписан и имел дурацкое название, состоящее из случайных букв — qhrsxxg.dll

Основные действия данного файла были направлены на неправильную работу браузеров — вместо страниц открывались «каракули» с непонятным текстом, либо Сайты открываются в виде HTML кода

В этот раз удалить его сходу не получилось, программа Unlocker никак не могла разблокировать файл.

После отключения данного файла в программе autoruns, и перезагрузки компьютера — файл все-таки был удален.

Браузеры заработали как и положено

А вообще в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows и значение параметра AppInit_DLLs должно быть пустым.

6 комментариев к записи “Вирус в HKLMSOFTWAREMicrosoftWindows NTCurrent VersionWindowsAppinit_Dlls”

Здравствуйте!
У меня сейчас точно такая же проблема. Расскажите поподробней , пожалуйста, как это сделать. Я ничего не понял из вшесказанного. И ещё вопрос: почему антивирусы его не видят и не удаляют?

Добавлю. У меня нет вообще такого файла, проблема есть.

Более подробно прочитайте в статье, там все подробно расписано, правда про другой вирус — но суть одна — как такое удалить — расписано.
Все что вам нужно — воспользоваться программой autoruns
такого прям в точности файла у Вас не будет — так как они «носят» случайное имя -бессмысленное

здраствуйте у меня в компьютере (windows 8)отсутствует APPINIT_DLLs.что делать?

Если в реестре нет параметра Appinit_DLLs, то его надо создать самому вручную по пути HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows. Вот в этой папке Windows надо создать параметр Appinit_DLLs, который не должен иметь никакого значения, и если какое-то значение появится, то это вирус однозначно, его надо просто удалить обычным способом.Можно также в качестве значения создать параметр DWORD( для 32-бит .систем) или QWORD(для 64-бит.систем), значение которого должно быть равно нулю,т.е.0х00000000(0).Аналогично должно быть проделано в подразделе реестра HKCU( подраздел настроек пользователя)

Сегодня вновь повстречался с вирусом расположенном в ветке реестра HKLMSOFTWAREMicrosoftWindows NTCurrent VersionWindowsAppinit_Dlls.

Снова он был не подписан и имел дурацкое название, состоящее из случайных букв — qhrsxxg.dll

Основные действия данного файла были направлены на неправильную работу браузеров — вместо страниц открывались «каракули» с непонятным текстом, либо Сайты открываются в виде HTML кода

В этот раз удалить его сходу не получилось, программа Unlocker никак не могла разблокировать файл.

После отключения данного файла в программе autoruns, и перезагрузки компьютера — файл все-таки был удален.

Браузеры заработали как и положено

А вообще в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows и значение параметра AppInit_DLLs должно быть пустым.

6 комментариев к записи “Вирус в HKLMSOFTWAREMicrosoftWindows NTCurrent VersionWindowsAppinit_Dlls”

Здравствуйте!
У меня сейчас точно такая же проблема. Расскажите поподробней , пожалуйста, как это сделать. Я ничего не понял из вшесказанного. И ещё вопрос: почему антивирусы его не видят и не удаляют?

Добавлю. У меня нет вообще такого файла, проблема есть.

Более подробно прочитайте в статье, там все подробно расписано, правда про другой вирус — но суть одна — как такое удалить — расписано.
Все что вам нужно — воспользоваться программой autoruns
такого прям в точности файла у Вас не будет — так как они «носят» случайное имя -бессмысленное

здраствуйте у меня в компьютере (windows 8)отсутствует APPINIT_DLLs.что делать?

Если в реестре нет параметра Appinit_DLLs, то его надо создать самому вручную по пути HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows. Вот в этой папке Windows надо создать параметр Appinit_DLLs, который не должен иметь никакого значения, и если какое-то значение появится, то это вирус однозначно, его надо просто удалить обычным способом.Можно также в качестве значения создать параметр DWORD( для 32-бит .систем) или QWORD(для 64-бит.систем), значение которого должно быть равно нулю,т.е.0х00000000(0).Аналогично должно быть проделано в подразделе реестра HKCU( подраздел настроек пользователя)

Starting in Windows 8, the AppInit_DLLs infrastructure is disabled when secure boot is enabled.

About AppInit_DLLs

The AppInit_DLLs infrastructure provides an easy way to hook system APIs by allowing custom DLLs to be loaded into the address space of every interactive application. Applications and malicious software both use AppInit DLLs for the same basic reason, which is to hook APIs; after the custom DLL is loaded, it can hook a well-known system API and implement alternate functionality. Only a small set of modern legitimate applications use this mechanism to load DLLs, while a large set of malware use this mechanism to compromise systems. Even legitimate AppInit_DLLs can unintentionally cause system deadlocks and performance problems, therefore usage of AppInit_DLLs is not recommended.

AppInit_DLLs and secure boot

Windows 8 adopted UEFI and secure boot to improve the overall system integrity and to provide strong protection against sophisticated threats. When secure boot is enabled, the AppInit_DLLs mechanism is disabled as part of a no-compromise approach to protect customers against malware and threats.

Please note that secure boot is a UEFI protocol and not a Windows 8 feature. More info on UEFI and the secure boot protocol specification can be found at https://www.uefi.org.

AppInit_DLLs certification requirement for Windows 8 desktop apps

One of the certification requirements for Windows 8 desktop apps is that the app must not load arbitrary DLLs to intercept Win32 API calls using the AppInit_DLLs mechanism. For more detailed information about the certification requirements, refer to section 1.1 of Certification requirements for Windows 8 desktop apps.

Summary

  • The AppInit_DLLs mechanism is not a recommended approach for legitimate applications because it can lead to system deadlocks and performance problems.
  • The AppInit_DLLs mechanism is disabled by default when secure boot is enabled.
  • Using AppInit_DLLs in a Windows 8 desktop app is a Windows desktop app certification failure.

See the following whitepaper for info about AppInit_DLLs on Windows 7 and Windows Server 2008 R2: AppInit DLLs in Windows 7 and Windows Server 2008 R2.

Оцените статью