WININIT.EXE - тутум жараяны, ал иштөө тутуму башталганда күйгүзүлөт.
Процесстин чоо-жайы
Андан кийин, тутумдагы ушул процесстин максаттары жана милдеттери, ошондой эле анын иштешинин айрым өзгөчөлүктөрү каралат.
Баяндоо
Көрүнбөсө, ал өтмөктө көрсөтүлөт "Иштеп" Task manager. Системалык процесстерге тиешелүү. Ошондуктан, аны таап, кутучаны текшериш керек "Бардык колдонуучулардын процесстерин көрсөтүү".
Сиз чыкылдатуу менен объект жөнүндө маалыматты көрө аласыз "Байкал" менюда.
Процесс сүрөттөлгөн терезе.
Негизги функциялары
WININIT.EXE процесси иштөө тутуму башталганда ырааттуу аткарган тапшырмаларды келтиребиз:
- Биринчиден, ал мүчүлүштүктөрдү оңдоп жатканда, тутумдун кыйрашына жол бербөө үчүн, ага критикалык процесстин статусун берет;
- Кызматтарды башкарууга жооптуу болгон SERVICES.EXE процессине ыйгарым укук берет;
- LSASS.EXE агымынын башталышын билдирет Жергиликтүү Коопсуздук Аутентификация Сервери. Ал тутумдун жергиликтүү колдонуучуларына уруксат берүү үчүн жооп берет;
- Тапшырма менеджеринде LSM.EXE катары көрүнүп турган жергиликтүү сеанс тейлөөчү кызматын иштетет.
Бул процесстин иш-аракеттери папканы түзүүнү да камтыйт TEMP тутум папкасында. Бул WININIT.EXE сынчылдыгынын маанилүү далили - бул Тапшырма Менеджеринин жардамы менен процессти аягына чыгаргыңыз келгенде көрсөтүлөт. Көрүнүп тургандай, WININIT жок, система туура иштей албайт.
Ошентсе да, бул ыкманы туташкан же башка өзгөчө кырдаалдарда тутумду өчүрүүнүн дагы бир жолу менен байланыштырса болот.
Файлдын жайгашкан жери
WININIT.EXE System32 папкасында жайгашкан, ал өз кезегинде Windows тутумдук каталогунда жайгашкан. Муну чыкылдатуу менен тастыктасаңыз болот "Файл сактагыч жайгашкан жерди ачуу" процесстин контексттик менюсунда.
Процесс файлынын жайгашкан жери.
Файлдын толук жолу төмөнкүдөй:C: Windows System32
Файлды аныктоо
Бул процесстин жүрүшүндө W32 / Rbot-AOM вирусун маскировкалоого болот. Инфекция жукканда, ал IRC серверине туташып, ал жерден буйруктарды күтөт.
Эреже катары, вирус файлы өтө активдүү. Чындыгында, реалдуу процесс көбүнчө күтүү режиминде болот. Бул анын аныктыгынын белгиси.
Процессти аныктоонун дагы бир белгиси файлдын жайгашкан жери болушу мүмкүн. Эгерде текшерүү учурунда объект жогоруда айтылгандардан башка жерге таандык экендиги аныкталса, анда ал вирустук агент болушу мүмкүн.
Процессти категорияга таянып эсептесе болот "Колдонуучулар". Бул процесс ар дайым анын атынан башталат "Системасы".
Коркунучту жоюу
Эгерде сиз инфекцияны сезсеңиз, анда Dr.Web CureIt программасын жүктөп алышыңыз керек. Андан кийин бүт тутумду скандоону башташыңыз керек.
Андан кийин, чыкылдатуу менен сыноону жүргүзүңүз "Текшерүүнү баштоо".
Скандоочу терезе мына ушундай.
WININIT.EXE дыкат текшерүүсүнөн кийин, бул тутумду ишке киргизүүдө туруктуу иштөөгө жооп берген маанилүү процесс экендигин билдик. Кээде бул процесстин вирус файлы менен алмаштырылышы мүмкүн жана мындай учурда ыктымал коркунучту тез арада жоюу керек.
