"доктор веб" своими руками
| Вирус имеет наглость прописываться именно в автозагрузку и его проще всего вычислить таким вот способом. ДАвайте разберемся что у нас должно быть в автозагрузке, а чего быть не должно. Процессы: taskmdr.exe svchost.exe svchost.exe svchost.exe svchost.exe svchost.exe SPOOLSV.EXE lsass.exe ctfmon.exe CSRSS.EXE SMSS.EXE SERVICES.EXE WINLOGON.EXE Это обязательные... они реальные: csrss.exe (сервер подсистемы Windows NT, C:\WINDOWS\system32\csrss.exe) lsass.exe (LSA, \system32) winlogon.exe (Вин логон, там же) services.exe (часть хоста сервисов, там же) smss.exe (там же) svchost.exe (кол-во зависит от кол-ва сервисов) возможно explorer.exe (но это уже не является обязательным) Что очень часто используется "кодерами" в кавычках для того чтобы спрятать их "крутой" (два раза в кавычках) троян: svchost.exe (смотрите чтобы владелец был SYSTEM и процесс БЫЛ ТОЛЬКО ИЗ /system32) csrss.exe (он всегда есть, тоже "прячут" под него) explorer.exe (смело снимайте задачу если он не из \system32) Эти процессы очень часто свидетельствуют о глюках: HelpSvc.exe winhelp32.exe .exe alg.exe wpabaln.exe (активация винды) wmi----,exe по мотивам форумных бесед | |
|
| |
| Просмотров: 4733 | | |