Вопросы и ответы
Топ за год Облако тегов  

узнать какой процесс создал файл

программирование windows вирус червь троян

Без имени, 766 просмотров
0
Некая дрянь (предполагаю) создает файлик xkmv85.exe@ в папке C:\WINDOWS\system32. Удаление не помогает, восстанавливается за пять минут. Как отследить родителя?

Примечание:
CureIT ом свежим проверялось, Аваст в дежурном режиме, собственно следы дряньки хлопнул Spyware Terminator. Procmon обозначает родителем Explorer :).

Примечание:
"Лишних" процессов в диспетчере не вижу.

Примечание:
Поиском по сетям всегда выносит на http://www.prevx.com . Может, они его и породили??

Примечание:
Либо их сканер действительно так хорош, что только он фиксанул в "Индонезии от 15 декабря 2010"

Примечание:
Теперь его зовут C:\WINDOWS\system32\xkmq85.exe@ и "родил" его svchost под операции "запись файла" и "запрос инфы об имени" (по procmon-у).

Примечание:
Опосля Новогодья продолжил процесс поиска. В папке C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4CFC2CID обнаружил залежи дерьма с цифровыми именами..
Так же имелся поганец C:\RECYCLER\S-1-5-21-0749145989-2511438401-797061224-0848\csisf.exe , скрытый и выковыряный TotalCom с изменением атрибутов.
Завтра продолжу.

Примечание:
Полагаю, - окончилась борьба с дрянью. После зачистки темпорарных папок всех пользунов с удалением Content.IE5, очистки реестра от следов csisf.exe, установки IE8, SP3 ... два часа .. полет нормальный. Сеть не рвет. До этого при разрыве сети не было возможности отключить соединение (посмотреть состояние) и, соответственно, нельзя было его перезапустить без перезагрузки системы.
Ответы:
Dim_S
лучше загрузись с DrWeb CureIt! LiveCD, прогони проверку, удали всех вшей, потом через ERD Commander (тоже livecd) почисть автозагрузку. Собственно и все
Без имени
Отключи в Диспетчере задач все лишние процессы, и сузь круг подозреваемых.
Dim_S
Часто современные вирусы подменяют файл explorer.exe своей копией. В таком случае нужно удалить и заменить на копию, находящуюся на установочном диске
DarKliNg
Попробуйте заблокировать файл с помощью безопасности для всех (для определения виря лучше создать его копию, чтоб затем с помощью статей можно было полностью удалить). Для попадания на вкладку "Безопасность" нужно открыть окно свойств файла. Если этой вкладки не видно, то в проводнике идете в "Сервис"->"Свойства папки...". Там на вкладку "Вид" и там убираете чекбокс на "Использовать простой общий доступ к фалам (рекомендуется)". Для того чтобы запретить всем пользователям доступ к файлу
1. На вкладке "Безопасность" нажмите кнопку "Дополнительно". Все два следующих действия будут происходить там
2.Станьте владельцем (чтоб потом можно было разлочить файл) (это можно сделать на вкладке "Владелец")
3. На вкладке "Разрешения" удалите права всех пользователей и добавьте права для пользователя "Все", запрещающие все действия.
4. Закройте все окна, с применением настроек.


14 лет назад

RPI.su - самая большая русскоязычная база вопросов и ответов. Наш проект был реализован как продолжение популярного сервиса otvety.google.ru, который был закрыт и удален 30 апреля 2015 года. Мы решили воскресить полезный сервис Ответы Гугл, чтобы любой человек смог публично узнать ответ на свой вопрос у интернет сообщества.

Все вопросы, добавленные на сайт ответов Google, мы скопировали и сохранили здесь. Имена старых пользователей также отображены в том виде, в котором они существовали ранее. Только нужно заново пройти регистрацию, чтобы иметь возможность задавать вопросы, или отвечать другим.

Чтобы связаться с нами по любому вопросу О САЙТЕ (реклама, сотрудничество, отзыв о сервисе), пишите на почту [email protected]. Только все общие вопросы размещайте на сайте, на них ответ по почте не предоставляется.