Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Итак дано: пробравшееся в систему KB3035583, плюс желание обратимо от напоминалки избавиться – вдруг передумаю.
Просто откатить KB3035583 может оказаться недостаточно – в Сети уже пишут, что оно возвращается, игнорируя ваше нежелание им обновляться. Живет GWX в Windows\System32\GWX, запускается Планировщиком задач из ветки Microsoft\Windows\Setup\GWX
Процесс GWX.exe прибивается без проблем, но если мы попытаемся отключить ему все задачи (их несколько штук), нас ожидает первый сюрприз – сообщение о недостаточности прав учетной записи. Из под админа, ага. Второй сюрприз – когда попробуем пошаманить папку GWX. «Отказано в доступе.»
Какой нынче стал замечательный Микрософт – уже не гнушается методов, которыми обычно пользуются зловредописатели. А уж для рекламы-то какое золотое дно получается! Тем не менее, на всякую хитрость есть свой винт с нужной резьбой.
Первое, забираем обратно незаконно аннексированную папку Крым Windows\System32\GWX. В свойствах безопасности папки меняем владельца на себя любимого. Включаем галку «подконтейнеры и вложенные объекты». Применяем и сохраняем изменения, игнорируя предупреждения винды.
Второе, возвращаем себе права доступа. В свойствах той же папки даем своей учетке полный доступ. Теперь можно шаманить с переименованием, удалением и т.п.
Третье, ликвидируем задачи в Планировщике. Редактором Реестра открываем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\. Просматриваем содержащиеся в нем ключи, обращая внимание на параметр Path. Значение, соответствующее » Microsoft\Windows\Setup\GWX» означает задачу GWX-а. Найденные таким образом ключи – удаляем. Рекомендуется перед удалением каждого Экспортировать его в файл для бекапа, мало ли.
Далее открываем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup. В ней есть два ключа «gwx» и «GWXTriggers». Аналогично бекапим и удаляем их. Все.
Большое спасибо Igor Ljubuncic за разбор проблемы. Его статья с картинками: http://www.dedoimedo.com/computers/windows-7-to-10-gwx-how-to-remove.html
———- Fascinating!
Всего записей: 599 | Зарегистр. 11-08-2008 | Отправлено:17:24 07-06-2015
silach84
Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А зачем удалять ключи реестра, после ликвидации задач в планировщике? Я сделал так, получил полный доступ к папкам gwx и GWXTriggers, и отключил все задачи в этих папках в планировщике.
Всего записей: 27 | Зарегистр. 11-04-2012 | Отправлено:05:01 08-06-2015
Ключи удаляются, чтобы ликвидировать задачи в планировщике.
Понятно, под словом ликвидируем имелось ввиду удаление задач из планировщика, по моему проще их отключить в планировщике, после получения полного доступа.
Всего записей: 27 | Зарегистр. 11-04-2012 | Отправлено:04:57 09-06-2015
Gwx.exe что за процесс в Windows 7 — вирус или нет?
Если в диспетчере задач вы заметили процесс gwx.exe, то скорее всего вам станет интересно, что это такое и откуда он взялся? Как я понял, то процесс появляется после обновления KB3035583 в семерке или восьмерке, это обновление подготавливает Windows для дальнейшего перехода на десятку, ну, и за компанию уведомляет вас об этом.
В описании этого обновления сказано, что мол оно вносит дополнительные возможности в плане сообщений о новых обновлениях (вот так вот мудрено). На самом деле KB3035583 является загрузчиком новой десятки, вот такие вот дела.
Но о том, что KB3035583 это загрузчик, об этом нигде не сказано. Как только KB3035583 будет установлено, то создается папка GWX в Windows\System32, в этой папке создаются также девять файлов и папка Download. Среди исполняемых файлов, то есть с расширением exe есть GWXUXWorker.EXE, в описании которого так и сказано, что это загрузка Windows 10.
Также в папке можно найти и конфигурационный файл config.xml, в нем содержатся сведения для загрузки изображений и элементов, которые будут информировать вас о новой ОС (будут рекламные сообщения, значок в трее).
Потом появится возможность забронировать для себя копию будущей ОС, уведомление о выходе RTM-версии, информация о апгрейде. То есть как видим, Майкрософт серьезно подошла к вопросу перехода со старых версий Windows на новую.
Если просто удалить обновление, то через некоторое время оно все равно может снова установится. Запускается gwx.exe планировщиком задач (ветка Microsoft\Windows\Setup\GWX).
Сам процесс gwx.exe можно отключить, но задания в планировщике не так просто удалить: нужны права администратора, а сама папка GWX также выдает сообщение Отказано в доступе.
Итак, так что делать будем? Ну, во-первых есть специальная утилита, которая убирает это уведомление, ее можно скачать тут.
Второе, это ручные методы. Как удалить папку GWX? Папку System32\GWX сперва сделаем доступной, заходим в свойства безопасности и делаем себя владельцем данной папки (включая подконтейнеры и вложенные объекты). Предупреждения игнорируем, изменения сохраняем.
Потом снова заходим в свойства этой папки и ставим галочки на полный доступ для нашей учетной записи. Теперь папку можно уничтожить (или просто переименовать, сделать перезагрузку и все, уведомление вас тревожить не будет).
Уничтожаем задачи в планировщике задач — открываем эту ветку реестра:
Теперь смотрим каждый подраздел в этом разделе и обращаем внимание на имя path, если значение содержит путь к папке GWX, то этот подраздел удаляйте. Это более надежнее, чем просто отключить задания в планировщике.
Потом открываем этот раздел:
И там смотрим, если есть ключи gwx, GWXTriggers, то также удалям их.
После этого выполняем перезагрузку, и вроде как вычистили это обновление, но процесс gwx.exe в диспетчере задач может вернутся снова… Конечно, отключить службу центра обновлений, это вариант, и устанавливать нужные обновления вручную. Это первое, а второе — можно вообще обойтись без обновлений, если конечно не лазить по левым сайтам и уметь пользоваться фаерволом, но это мое мнение, я лично лет восемь наверно просидел на Windows XP без обновлений вообще (только SP3).
Также, чтобы одним махом удалить KB3035583, то можете воспользоваться такой командой:
wusa.exe /uninstall /kb:3035583
Команду нужно вставить в окно Выполнить (Win + R) и нажать энтер. Но может и не удалится, тогда попробуйте сделать это в командной строке, запущенной с правами администратора.
Как отключить GWX.EXE
Летом 2015 года многие пользователи Windows увидели в панели задач рядом с часами иконку бесплатного обновления на Windows 10 GWX (Get Windows X). Меня эта иконка бесит, так как я в ближайшее время обновлять операционную систему не собираюсь. В этой статье я расскажу об одном из способов как быстро и безболезненного убрать иконку заманчивого предложения халявного перехода на Windows 10.
Появляется это иконка в области уведомлений панели задач после установки обновления kb:3035583. Это обновление является обязательным для обновления до Windows 10. Наличие этого обновления у себя на компьютере можно проверить в списке установленных обновлений: «Панель управления->Программы и компоненты->Просмотр установленных обновлений», далее Поиск KB3035583.
Если вы установили это обновление, то в папке C:\Windows\System32\GWX будут расположены файлы этого обновления, а в памяти будет постоянно крутиться процесс GWX.exe.
Как убрать иконку GWX.EXE
Так как программа не имеет штатных способов заткнуться и удалиться, то делаем следующее: В диспетчере задач прибиваем процесс GWX.EXE. После чего переименовываем папку Windows\System32\GWX в Windows\System32\GWX2. Больше вас никто не побеспокоит.
Как удалить GWX.EXE
Можно пойти дальше и удалить обновление GWX.EXE. Для этого выполните следующий код в командной строке:
Но будьте готовы к тому, компьютер скачает его вновь! Поэтому лучше сделать его скрытым.
Как скрыть обновление GWX.EXE
Чтобы скрыть какое-либо обновление от установки переходим в Центр обновления Windows, находящийся в Панели управления и открываем по соответствующей ссылке список важных или необязательных обновлений. Далее в списке находим интересующее нас обновление, вызываем контекстное меню, нажав правой кнопкой мыши по нему и выбираем пункт «Скрыть обновление».
Как заблокировать обновление до Windows 10
Если описанные в данной статье решения не работают или вы желаете не только избавиться от иконки в трее и запущенного процесса GWX, но и полностью исключить возможность обновления вашей операционной системы до Windows 10, то прочитайте следующие рекомендации https://moonback.ru/page/block-windows-10-upgrade
Благодарности
При написании статьи были использованы следующие источники:
filecheck .ru
Вот так, вы сможете исправить ошибки, связанные с GWX.exe
Информация о файле GWX.exe
Важно: Некоторые вредоносные программы маскируют себя как GWX.exe, особенно, если они расположены в каталоге c:\windows или c:\windows\system32. Таким образом, вы должны проверить файл GWX.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Комментарий пользователя
Лучшие практики для исправления проблем с GWX
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
GWX сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.
Microsoft использует приёмы зловредов для продвижения Windows 10
Как многие успели заметить, Microsoft применяет настойчивую и постоянно изменяющуюся тактику для повторного запуска на компьютерах приложения «Get Windows 10» или GWX, так что от него довольно трудно избавиться.
Те, кто отклоняет предложение, вскоре снова сталкиваются с ним много раз [что некоторых очень раздражает — прим.пер.]. Для борьбы с GWX больше подходят методы борьбы с вредоносными программами.
GWX действительно похожа на вирус: она использует канал, предназначенный для одной цели (обновления безопасности), c другой целью (реклама); она изменяет «векторы» атаки»; использует «полиморфные» техники для обхода фильтров; постоянно изменяет установленные пользователем настройки и разрешения.
В технической прессе подробно освещали, как убрать обновление KB3035583, которое постоянно появляется в системе даже после удаления. Однако изучение проблемы показало, что KB3035583 — скорее симптом, а не причина повторного инфицирования GWX.
«Нынешние патчи [вроде GWX Control Panel — прим.пер.] не в полной мере исправляют эту ситуацию, и я не думаю, что они когда-либо исправят её, поскольку автор патча GWX изолирует только исполняемый файл GWX и обновление ‘583», — написал читатель, который провёл для нас подробное расследование.
Изучение работы обновления ‘664 объясняет, почему так сложно контролировать GWX. Обновление постоянно «мутирует» — оно часто изменяется и содержит иную нагрузку. Microsoft не документировала его поведение и уже давно отказалась от объяснений, что обновления KB делают на самом деле.
Системные логи содержат хронику частых изменений ‘664.
Windows Update считает каждую новую версию новым обновлением и новым объектом для инсталляции. Так что каждый раз, когда Microsoft изменяет номер версии KB2952664, все предыдущие попытки пользователя заблокировать обновление аннулируются.
Пока вы не избавитесь от ВСЕХ системных обновлений «Get Windows 10», всплывающее окно GWX продолжит появляться. Следует удалить:
KB2952664 KB3035583 C:\Windows\System32\GWX C:\Windows\SoftwareDistribution\Download\*KB2952664* C:\Windows\SoftwareDistribution\Download\*KB3035583* ВСЕ записи реестра с KB2952664 (желательно) KB3035583
Так называемый «патч» для удаления GWX на самом деле только прячет значок с напоминанием «Get Windows 10» из трея, но не отменяет реальную инсталляцию назначенных обновлений Windows 10.
Microsoft крайне затруднила удаление GWX понятным способом. Его нельзя автоматизировать, и если вы пропустите одну из 80 записей в реестре, процесс возобновляется.
Количество записей в реестре зависит от того, какие предыдущие версии KB2952664 устанавливались и в каком количестве. Для изменения некоторых записей в реестре нужно переустановить разрешения, что затрудняет задачу.
Наш местный сисадмин и блогер Тревор Потт (Trevor Pott) советует системным администраторам предпринять три шага. Во-первых, запушить изменения в реестре через Group Policy Object (GPO). Во-вторых, убедиться в отсутствии установленных патчей GWX. В-третьих, заблокировать их в службе Windows Server Update Services (WSUS).
«Отсутствие прозрачности, особенно недостаток документации, создаёт огромные проблемы для корпоративных пользователей. Вероятнее всего, это «ложь через умолчание», сказал Потт, потому что документация многих патчей не описывает их поведение в полной мере.
«Microsoft уменьшает количество версий Windows и устраняет пользовательские функции для удаления, задержки, сокращения, фильтрации или блокирования патчей, — говорит Потт. — Сисадмины хотят получить ясное представление, что содержится в патчах, и контролировать все аспекты своих систем — а получают пакет неопределённой лжи, откровенной лжи и дезинформации».
Официальная позиция Microsoft изложена ниже. Компания сказала нам следующее:
«Потребители могут выбрать вариант не устанавливать обновление Windows 10 или удалить обновление из Windows Update (WU), изменив настройки WU. Приложение Get Windows 10 контролируется через контрольную панель менеджера уведомлений Windows 7 и Windows 8.1, и потребители могут отключить уведомления об апгрейде в системном трее. Значок приложения «Get Windows 10» тоже может быть удалён оттуда.
Для IT-администраторов существует возможность отключить обновление через настройки групповых политик или ключ реестра DisableUpgrade. Все остальные ключи реестра не предназначены для контроля уведомлений или управления процессом апгрейда и не рекомендуются к использованию компанией Microsoft. См. KB3080351 для дополнительной информации».
Но это далеко не полная картина. Совет Microsoft не учитывает того факта, что GWX мутирует и удаление этих апдейтов не избавляет от появления GWX в будущем.
На прошлой неделе админам пришлось избавляться от обновления безопасности IE, которое создало новый вектор атаки для GWX. Похоже, неудобства пользователей не кажутся особой проблемой, так что Microsoft продолжает использовать эту рекламную схему.
В своё время компания Microsoft стремилась подчеркнуть, что облачные сервисы конкурентов не преуспеют, пока пользователи не станут им доверять. Но её сверхагрессивная тактика с приёмами, типичными для вредоносного ПО, и отсутствие прозрачности наталкивают на мысль, что Microsoft хорошо бы прибраться в своём собственном хозяйстве.
Если в диспетчере задач вы заметили процесс gwx.exe, то скорее всего вам станет интересно, что это такое и откуда он взялся? Как я понял, то процесс появляется после обновления KB3035583 в семерке или восьмерке, это обновление подготавливает Windows для дальнейшего перехода на десятку, ну, и за компанию уведомляет вас об этом.
