Fodcleanuptask что это за программа в автозагрузке
990x.top
Простой компьютерный блог для души)
FaceFodUninstaller.exe — что это за процесс? (FODCleanupTask, WinBioPlugIns)
Приветствую друзья. Сегодня постараемся выяснить предназначение процесса FaceFodUninstaller.exe, что за файл, возможно опасный или компонент полезной программы.
FaceFodUninstaller.exe — что это такое?
Системный компонент OS Windows, отвечает за работоспособность функции разблокировки по лицу.
Сразу можно сделать вывод: данный компонент необходим, если вы используете функцию разблокировки на ПК, для этого необходимо присутствие веб-камеры (может быть встроенной на ноутбуке).
Компонент присутствует в операционке Windows начиная с билда 1803.
Запускаться может также через планировщик задач, а точнее — заданием FODCleanupTask. Кстати, открыть быстро планировщик задач можно так:
FaceFodUninstaller.exe — вирус?
Как выяснили — нет. Однако найдена информация в интернете, существует некий вирус, который внедряется в файл FaceFodUninstaller.exe с целью снизить обнаружение антивирусами. Кроме этого в папку файла, точнее в WinBioPlugins, помещается также вредоносная библиотека WinBio.dll:
Дальнейшие действия
При подозрениях на присутствие вируса:
Кстати вот результат проверки библиотеки WinBio.dll:
9 антивирусов из 68 — видят угрозу, хотя по факту библиотека вирусная.
8 программ, которые можно смело отключить в автозагрузке Windows
Наверняка после установки и определенного времени работы за компьютером мы замечали, что он стал работать медленнее, и хотели бы вернуть его в первоначальное состояние. Но как это сделать? В подавляющем большинстве случаев причина одна – слишком много программ в автозагрузке, которые включаются при старте Windows и висят в системе, занимая ресурсы и замедляя процесс загрузки компьютера (см. также «Как определить программу, которая тормозит работу компьютера«).
Чтобы значительно разгрузить систему от автоматически запускаемых приложений, необходимо отключить все лишнее и ненужное в настоящий момент. Сказать легче, чем сделать. Потому для многих является большой проблемой найти в списке автоматически запускаемых программ те самые ненужные элементы. Чтобы упростить задачу, представляю вашему вниманию 8 программ, которые можно смело отключить в автозагрузке, чтобы ускорить свою систему.
1. iTunes Helper
Наверняка, эта программа будет в списке у тех, кто использует iTunes для прослушивания музыки и/или синхронизации своих гаджетов от компании Apple. Данная программа сидит постоянно в памяти компьютера и ждет, пока подключат iДевайс. Как только это происходит, она запускает iTunes. Собственно, это все, на что она нужна.
Фишка в том, что запустить iTunes можно вручную при подключении устройства. Если же устройства нет, то данная программа вообще не нужна. В обоих случаях ее можно отключить.
2. QuickTime
Это модуль мультимедийного проигрывателя, который может понадобиться для воспроизведения некоторых форматов видео. Но зачем он в автозагрузке? Можно отключить.
3. Apple Push
Продукт также принадлежит яблочной компании и служит для отправки уведомлений для запуска других программ от Apple, которые установлены в системе. По сути, он позволяет взаимодействовать между устройством и приложениями типа iCloud на компьютере. Но опыт показывает, что если отключить данную запись, то синхронизация данных все равно производится. Так что можно отключить.
4. Adobe Reader
Конечно, все знают самую популярную программу для чтения PDF. Если эта программа не используется, то совершенно не нужно держать ее автозагрузке, впустую занимая ресурсы. Можно отключить.
5. Skype
Без общения в Skype многие просто не могут жить. Кто-то делает это постоянно и на протяжении всего дня общается с коллегами по работе. А кто-то общается дома с дальними родственниками раз в несколько дней. Но правда такова, что при установке Skype автоматически прописывается в автозагрузке и включается каждый раз вместе с системой, что также замедляет другие процесс автозагрузки, которые происходят параллельно, так как сам по себе Skype далеко не «легкое» приложение. Можно запускать его вручную по мере необходимости и после запуска системы.
6. Google Chrome
Самый популярный браузер тоже любит посидеть в автозагрузке, прописав туда модули проверки обновлений. Такие модули как Google Update и Google Installer (Установщик Google) можно отключить. При этом браузер Chrome все равно будет сам обновляться.
7. Evernote Clipper
Являясь большим поклонником Evernote, я все же отключил Clipper. И при этом не испытываю никаких неудобств работы с ним на протяжении уже многих лет.
8. Microsoft Office
Офисный пакет от Microsoft весьма хорош и является стандартом почти везде. Но какой толк от него в автозагрузке? Ведь и без автоматического запуска можно открыть любой файл в любой офисной программе. Отключаем.
В большинстве случаев причиной медленной работы ПК является его захламленность различными приложениями, которыми мы пользуемся время от времени, но которые запускаются при каждом включении и компьютера и съедают ресурсы ПК в процессе ожидания, когда же ей воспользуются. Часто в этом просто нет необходимости и такие приложения можно запускать вручную по мере необходимости, не забирая у компьютера ресурсы лишь для того, чтобы какая-то программа ожидала вас в памяти.
Отключать автозагрузку у программ лучше всего в их настройках. Но если таковых нет, то можно воспользоваться утилитой msconfig в Windows XP-7 или Диспетчером задач в Windows 8-10.
А вы знаете, что время перехода операционной системы в рабочее состояние можно сократить до пары секунд? Подробнее об этом я писал в статье «Почему не нужно выключать компьютер».
Если вы отключили какие-то программы в автозагрузке и хотите поделиться ими с читателями, то расскажите об этом в комментариях и я дополню список выше.
Группировка FIN7 использует новый дроппер для установки бэкдора Carbanak
Исследователи вредоносных программ наткнулись на новый инструмент финансово ориентированной киберпреступной группировки FIN7. С помощью этого инструмента злоумышленники загружают свежие версии бэкдора Carbanak.
Загрузчику присвоили имя BIOLOAD, на сегодняшний день его детектирует лишь малый процент защитных решений. Частично он похож на BOOSTWRITE, другую утилиты группы FIN7.
Новый вредонос в процессе своей работы задействует метод Windows, согласно которому операционная система ищет библиотеки DLL для последующей загрузки в программу. В этом случае атакующий может повысить свои права в системе и ещё плотнее внедриться в систему.
Платформа Fortinet enSilo для защиты конечных точек заблокировала вредоносную нагрузку в абсолютно легитимных процессах Windows. Если говорить конкретнее, защитное решение детектировало злонамеренную DLL в FaceFodUninstaller.exe — этот файл присутствует на всех чистых инсталляциях ОС, начиная с Windows 10 1803.
«Что ещё привлекает преступников в этой схеме — исполняемый файл стартует от встроенного запланированного задания под названием FODCleanupTask. Таким образом, детектирование вредоноса существенно затрудняется», — описывает угрозу Fortinet.
Киберпреступники помещают вредоносную библиотеку WinBio.dll в директорию \System32\WinBioPlugIns, в которой обычно хранится легитимная winbio.dll.
В настоящий момент 68 антивирусных программ в сервисе VirusTotal детектирует BIOLOAD в библиотеке WinBio.dll.
Что касается зловреда, который дроппер устанавливает в систему, — это версия бэкдора Carbanak, датируемая январём и апрелем 2019 года.
Хак-группа FIN7 распространяет обновленный бэкдор Carbanak при помощи загрузчика BIOLOAD
Linux для хакера
Специалисты Fortinet заметили, что хак-группа FIN7 с недавних пор использует новый загрузчик, BIOLOAD, похожий на другой загрузчик группы, BOOSTWRITE, однако имеющий более низкую степень обнаружения. С его помощью злоумышленники распространяют обновленные версии бэкдора Carbanak, датированные январем и апрелем 2019 года.
Напомню, что группа FIN7 активна с середины 2015 года. Ее участников подозревают в атаках на американские компании из сегмента ритейла, а также ресторанно-гостиничного бизнеса. FIN7 активно сотрудничает с группой Carbanak: злоумышленники обмениваются инструментами и методами атак, в результате чего между группировками можно поставить своеобразный «знак равенства». Невзирая на арест лидеров FIN7, произведенный в августе 2018 года, атаки группы по-прежнему продолжаются.
Исследователи Fortinet пишут, что BIOLOAD, равно как и BOOSTWRITE, использует технику, которую называют binary planting, то есть он злоупотребляет легитимной функциональностью Windows в поисках DLL, необходимых для загрузки программ. Так, в последнее время вредоносные DLL обнаруживаются в составе FaceFodUninstaller.exe, файла, присутствующего в ОС сразу после установки (в Windows 10 1803 и далее). Этот исполняемый файл привлекает злоумышленников еще и потому, что он запускается из запланированной задачи FODCleanupTask, что позволяет дополнительно снизить степень обнаружения.
Атакующие помещают вредоносный WinBio.dll в папку \System32\WinBioPlugIns, где по идее располагается легитимный DLL winbio.
Согласно анализу Fortinet, образцы BIOLOAD датированы матом и июлем 2019 года, тогда как BOOSTWRITE датирован маем текущего года. Хотя загрузчик существует уже по меньшей мере девять месяцев, согласно VirusTotal, его пока обнаруживают далеко не все защитные решения.
Помимо сходств исследователи обнаружили и некоторые различия между загрузчиками. К примеру, BIOLOAD не поддерживает работу с несколькими пейлоадами, а также для расшифровки полезной нагрузки используется XOR вместо ChaCha. Кроме того, BIOLOAD не обращается к удаленному серверу за ключом дешифрования, так как ключ кастомизируется для каждой системы-жертвы и напрямую связан с ее именем.
В свою очередь, обновленные образцы Carbanak отчаются тем, что проверяют зараженную машину на присутствие большего числа различных антивирусных решений (раньше малварь искала только продукты Kaspersky, AVG и TrendMicro).
Также аналитики отмечаю, что FIN7 активно разрабатывает инструменты для удаления своей малвари с зараженных машин. И если BIOLOAD использовался для загрузки Carbanak, то более BOOSTWRITE также применялся для доставки RDFSNIFFER, инструмента удаленного доступа, который используется для компрометации NCR Aloha Command Center Client и взаимодействия с системами-жертвами в рамках легитимных сессий, защищенных 2ФА.
Странное приложение в автозагрузке
Всё ребята, нашел этого мерзавца: EPSON Stylus T26 Series File not found: C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIEAR.EXE /FU «C:\Windows\TEMP\E_S140D.tmp» /EF «HKCU».exe
Драйвер от принтера, который недавно сыграл в ящик. Всем спасибо. Дальше сам разберусь.
Правой кнопкой мыши на нем и «Открыть расположение файла». А там уже дальше смотри по расположению и названию папок, заодно и удалишь вручную.
Поставь сторонний менеджер процессов.
Раньше vs сейчас
Обновление.
Когда мой компьютер загружает файл
Windows creators fall update. Нам нужно не всё.
Всем добрый вечер. Скорее всего у многих обладателей Windows 10 в скором времени или уже загрузит крупное обновление под названием creators fall update. В этой версии майки добавили ряд «нужных» возможностей вроде второй кнопки «Отправить» и «Редактировать с помощью Paint 3D» в контекстном меню, неудаляемой папки «Объемные объекты» в меню проводника и ещё пары очень полезных приложений.
Для того, чтобы убрать папку «Объемные объекты», музыка и т.п. из проводника
1. Жмём Win+R на клавиатуре, вводим команду regedit и нажимаем OK/Enter.
2. Переходим в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\
3. Находим там раздел и удаляем его.
3.1 Если Windows 64 битный то нужно удалить такой-же раздел ещё и в HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\
1. Качаем файл реестра отсюда.
2. Запускаем, соглашаемся.
3. Перезапускаем проводник.
4. Идём искать завалявшийся на полке пряник и мысленно благодарим ребят которые создали эти файлы.
Что бы убрать OneDrive:
2. Идём в HKEY_CLASSES_ROOT\CLSID\ находим параметр System.IsPinnedToNameSpaceTree и устанавливаем его значение равным 0.
2.1 Если Windows 64 битная, то кроме этого нужно так же изменить значение System.IsPinnedToNameSpaceTree в HKEY_CLASSES_ROOT\Wow6432Node\CLSID\
Что бы убрать пункт «Изменить с помощью Paint 3D» и вторую кнопку «Отправить» которая, к слову у меня даже не работает делаем следующее:
2. Перейти в HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.bmp\Shell
и внутри этого раздела удалить подраздел «3D Edit».
Для удаления второй кнопки «Отправить»:
2. В редакторе реестра переходим HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers и удаляем подраздел ModernSharing