Вирус в HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Windows\Appinit_Dlls

Сегодня вновь повстречался с вирусом расположенном в ветке реестра HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Windows\Appinit_Dlls.

Снова он был не подписан и имел дурацкое название, состоящее из случайных букв — qhrsxxg.dll

Основные действия данного файла были направлены на неправильную работу браузеров — вместо страниц открывались «каракули» с непонятным текстом, либо Сайты открываются в виде HTML кода

В этот раз удалить его сходу не получилось, программа Unlocker никак не могла разблокировать файл.

После отключения данного файла в программе autoruns, и перезагрузки компьютера — файл все-таки был удален.

Браузеры заработали как и положено

А вообще в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и значение параметра AppInit_DLLs  должно быть пустым.

Вы можете оставить комментарий.

6 комментариев к записи “Вирус в HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Windows\Appinit_Dlls”

  1. Олег:

    Здравствуйте!
    У меня сейчас точно такая же проблема. Расскажите поподробней , пожалуйста, как это сделать. Я ничего не понял из вшесказанного. И ещё вопрос: почему антивирусы его не видят и не удаляют?

  2. Олег:

    Добавлю. У меня нет вообще такого файла, проблема есть.

    • ak-83:

      Более подробно прочитайте в статье, там все подробно расписано, правда про другой вирус — но суть одна — как такое удалить — расписано.
      Все что вам нужно — воспользоваться программой autoruns
      такого прям в точности файла у Вас не будет — так как они «носят» случайное имя -бессмысленное

  3. Гулим:

    здраствуйте у меня в компьютере (windows 8)отсутствует APPINIT_DLLs.что делать?

    • Dgotto:

      Если в реестре нет параметра Appinit_DLLs, то его надо создать самому вручную по пути HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\. Вот в этой папке Windows надо создать параметр Appinit_DLLs, который не должен иметь никакого значения, и если какое-то значение появится, то это вирус однозначно, его надо просто удалить обычным способом.Можно также в качестве значения создать параметр DWORD( для 32-бит .систем) или QWORD(для 64-бит.систем), значение которого должно быть равно нулю,т.е.0х00000000(0).Аналогично должно быть проделано в подразделе реестра HKCU( подраздел настроек пользователя)

Оставить комментарий

*