Заметки сисадмина » %fystemroot% или “Где мой Windows Update?”

Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

%fystemroot% или “Где мой Windows Update?”

2012-02-28 · Posted in Windows - XP, Антивирусы

Какой-то из популярных нынче вирусов повадился курочить системные службы, отвечающие за обновление Windows: “Автоматическое обновление” (wuauserv) и “Фоновая интеллектуальная служба передачи” (BITS).

Для обеих служб строка запуска в реестре выглядит одинаково:
%SystemRoot%\system32\svchost.exe -k netsvcs

Зловред меняет первую букву S на f и получается
%fystemRoot%\system32\svchost.exe -k netsvcs
что делает запуск службы невозможным.

Исправить это вручную можно так:

1. Нажмите Пуск – Выполнить, введите regedit и нажмите ОК.

2. Раскрывая “плюсиками” структуру в левой части окна, найдите подраздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\BITS

3. Щелкните его правой кнопкой мыши и выберите Разрешения… Убедитесь, что группе администраторов разрешен полный доступ. Если не разрешен – включите его.

4. Выделив данный подраздел, найдите в правой части окна параметр ImagePath, который содержит приведенную выше строку запуска, и исправьте его значение.

5. То же самое проделайте с подразделом
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\wuauserv

6. Вышеописанные действия следует также произвести во всех ветках
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetnnn\…
(nnn может принимать значения 001, 002,…; обычно их две или три).

Внимание! Работая с regedit, будьте предельно внимательны и аккуратны. Внесенные изменения сохраняются сразу, а возможность автоматического отката отсутствует!

2 Responses

  1. nikit says:

    %fystemroot% – очепятка в заголовке

    • nikit says:

      тьфу ты! очень извиняюсь! прошу удалить оба моих ответа! ))

Leave a Reply for nikit