Як визначити, яка програма перезаписує файл
Після переустановки системи через деякий час почали довільно відкриватися сайти через певний час. Переглянув всі шляхи автозавантаження які знав - нічого зайвого немає в процесах в диспетчері завдань запущено все що і повинно бути Виріш порівняти файл explorer.exe з оригінальним – і тут облом!
Оригінальний файл explorer.exe важить 978 KB А той що системний у папці Windows - 984 KB, тобто на 6 KB більше! При заміні цього файлу оригінальним, через
5 секунд знову перезаписується вірусним файлом.
Як визначити - яка програма чи DLL перезаписує цей файл?
А якщо антивірус та файрвол поставити?
Що знову, ну скільки ж можна граблями ходити
Це хардварний антивір-файрвол?
> яка програма перезаписує файл explorer.exe?Ти будеш сміятись, але це explorer.exe
крім антивірусів є ще корисні програми (багато чому думають, що антивірус панацея від усього. )
видалення "едеварі" програм http://www.lavasoft.de/ пнкт меню Ad-Aware Personal (безкоштовна версія для особистого використання) завантажити - встановити - запустити - оновити базу шкідливих програм (запропонує) - просканувати всі диски. гарантовано щось та знайде, якщо нічим подібним раніше не користувалися.
ну і під кінець, поправити все, що вам там віруси в системі наробили (або неправильні програми/сетапи і т.д.) програма лікування системи демо версія, лікує обмежену кількість багів.
якщо є, то звичайно варто замінити, і в будь-якому випадку безкоштовне не завадить.
> а стеження за реєстром/етс. в ній є?У ній немає.. але на SysInternals є купа корисностей (деякі навіть з вихідними :).Стеження є окремо
http://www.sysinternals.com/Utilities/Regmon.html ІМХО найкращий фаєрвол для цих цілей - звичайне призначення прав доступу до гілок. І не лазити будь-де під адміністративним обліковим записом :)))
Соррі - ці рядки треба поміняти місцями :)
> файрвол для цих місць
> У ній немає .. але на SysInternals є купа корисностей (деякі навіть з вихідними :). це в курсі, що багато всього, portmon (теж звідти) так взагалі якийсь час була однією з основних програм (писали аналог, простіше і для інших цілей. тобто скан порту було не самоціль. цю використовували за "еталон" ";).
> Спостереження є окремо Regmon, ну це судячи з усього лише за реєстром. тобто. зміну сторінки за промовчанням не відстежить. або відстежить?, Воно теж у реєстрі зберігається. Ну та гаразд, справа звички схожа, до того я вже звик, зручніше здається. не мінятиму.
Прога, взята із сайту http://www.sysinternals.com/utilities/autoruns.html нічого зайвого не показує
Щодо антивірусів: треба опитування провести – хто за якийсь антивірус, а то всі про різні кажуть – очі аж розбігаються.
Так при опитуванні знову всі різне скажуть
До речі, чи є в природі (інтернеті %-) ) набори вірусів та іншої нечисті для тестування антивірусів? Звичайно, бажано не від виробників антивірусів, які цей список можуть на свою користь підредагувати.
P.S. Перепрошую за деякий оффтоп )
Linux став. І жодного explorer.exe :)
CareFree непоганий захист
ще одна порада - використовуй браузер НЕ IE. Т.к. спеціально під ie вже дуже багато різноманітних шкідницьких програм написано, на порядки більше ніж для інших браузерів.
ІЕ використовую тільки, щоб зберігатисторінки. Щоб у одному стилі все було.
Напиши Касперському на техпідтримку. Я якось переписувався з ними, може, і тобі допоможуть.
В основному відкривається цей сайт при першому запуску ІЕ, але через деякий час (15-20 хвилин) цей сайт відкривається знову.
Значить постав Мозіллу і не запускай ІЕ доки не вчистиш вірус.
До речі, а може бути так, що вірус ховається в пам'яті, куди потрапляє після першого запуску ІЕ?
88 КБ) до речі, починаючи з вчорашніх оновлень баз касперич вже його визначає. Швидко спрацювали:) я їм написав ще 7го.
> Сорс (09.05.06 3:13) [30] > До речі, а можливо так, що вірус ховається в пам'яті, куди > потрапляє після першого запуску ІЕ ?Точно не знаю, але може бути все
88 КБ) & gt; до речі, починаючи із вчорашніх оновлень баз касперич уже > його визначає. Швидко спрацювали:) > я їм написав ще 7-го. Точно! Оновив бази каспера - і одразу новий вірус виявився, файл називається vbsys2.dll
Можливо. У 9 версії точно.
Avast.com Постав. Потім погодься на перевірку після перезавантаження і він перевірить тобі всі диски вилікує все що можна :)
угу, а краще образ зі свіжовстановленою системою. Тоді якщо що. Просто Reastore Image та всі справи.