Після закачування (гіперпосилання на офіційні сайти я дав в таблицях мого попереднього повідомлення) архіву та розпакування бачимо лише 2 файли
Після натискання ОК з'являється діалогове вікно, в якому говориться, що ми можемо або дозволити відображати результати для всіх файлів, або перевіряти кожен з файлів окремо.
Включимо відображення для всіх файлів...
Якщо з'явиться вікно, яке показано на наступному знімку (необхідно погодитись на умови використання Virus Total) то відповідаємо стверджувально на нього.
Запускаємо необхідний нам файл procexp.exe.
Якщо Ваша ОС є Windows 7 (або будь-яка, старша за Windows Vista), то запускаємо файл з правами адміністратора (правий клік мишею по вказаному файлу -> Запуск от имени администратора).
Виглядить він так, як на наступному знімку і може бути знайомим деяким користувачам, тому що часто влаштовувався в "збірки" Windows XP і викликався там замість стандартного диспетчера задач (<Ctrl>+<Alt>+<Delete>).
Не надто інформативно, чи не так?
З допомого Process Explorer ми можемо моніторити дуже багато речей. Необхідно включити відображення додаткових стовпців.
Для цього ПКМ (правий клік мишею) в межах заголовків стовпців -> Select columns...
На вкладці "Process Image" вмикаємо відображення "User Name" (для відображення користувача, від імені якого був запущений процес) та "Image Path" (для відображення місця, звідкіля був запущений процес).
Вже набагато краще...
Примітка: Стопці можна переміщувати вліво-вправо (перетягуючи їх за заголовки), змінювати їх ширину (перетягуючи за границі між заголовками) та сортувати (клікаючи по заголовкам стовпців). Для того, щоб повернути в початковий вигляд після сортування по стовпцях достатньо відсортувати по першому стовпчику "Process".
Але починаючи з 16-ої версії в програмі з'явилась можливість відображення ще одного інформативного стовпця - "Virus Total", який вмикається на тій самій вкладці.
Примітка: Що таке Virus Total я пояснював детальніше в своєму попередньому повідомленні, тому тут це упустимо.
Я перетягнув стовпчик Virus Total вліво і отримав такий вигляд.
Тепер значно простіше зрозуміти що відбувається на Вашому комп'ютері.
В першу чергу слід дивитись на процеси, які запущені від імені поточного користувача комп'ютера. Потім на основі даних стовпчика Path (шлях звідки запущений файл) та стовпчика Virus Total (скільки антивірусів признають даний файл "шкідливим/підозрілим") виносити вердикт.
Що потрібно робити у випадку знаходження підозрілого файла?
В ній можна тільки завершити процес (ПКМ по потрібному рядку -> Kill Process).
Після перезавантаження комп'ютера процес знову з'явиться, якщо Ви його не видалите з допомогою Autoruns, CCleaner чи інших засобів.
Програма Process Explorer тільки відображає всі активні процеси в момент запуску і дозволяє їх примусово завершувати.
Який правильний порядок дій?
1)Запускаємо Process Explorer, налаштовуємо як було описано вище, і дивимось що в нас робиться в системі.
2) Знаходимо поганий процес, (тут і надалі я буду використовувати власну абревіатуру ПП) дивимось звідки він запускається і примусово завершуємо його ("Kill Process").
3) Знаходимо по шляху звідки запускається цей процес в програмі Autoruns чи CCleaner і видаляємо (адже якщо вони працюють в даний момент, то звідкілясь вони запускаються).
4) Перезавантажуємо комп'ютер
5) Запускаємо знову Process Explorer та дивимось чи дійсно процес зник.
6) Робимо те саме для інших ПП.
Чому необхідно "вбивати" процес ("Kill Process") перед тим як намагатися його прибрати з автозавантаження?
Тому що є ПП більш складного рівня, які перезаписуються в автозавантаження, наприклад, щогодини.
Є ПП що складаються з двох файлів, або файлу і служби. В такому разі майже відразу після того як Ви "вбиваєте процес", він знову з'являється.
Є варіації ПП, які відновлюють файл з новим ім'ям та в іншому місці.
Немає коментарів:
Дописати коментар