Компьютерное.

[granada-juice.livejournal.com]

Мой антивирус не всегда справляется с инернет-заразой, часть - пропускает. Скажите, а вот когда исполняется процесс instup.exe, есть ли возможность как-то узнать, что именно устанавливается в этот момент на мой комп? То есть прямо в процессе установки где-то посмотреть.
Из комментариев узнала нечто для себя новое:) и переформулирую вопрос: можно ли узнать / понять по косвенным признакам, что в данный момент на комп устанавливается непрошенный исполняемый файл (не обновление, а новая программа)? И если да, то можно ли где-то посмотреть, что именно устанавливается?
Спасибо.

Comments

[tupitochka.livejournal.com]

Есть такое, можно. И даже можно откатить как был до.

[granada-juice.livejournal.com]

Тааак... А поподробнее можно?

[sheremetyeff.livejournal.com]

Сижу без антивируса уже лет семь и ни разу ничего не ловил.. В сети бывает просиживаю много и по порнушным сайтам прогуливаюсь, но по проверенным. Считаю, что все "вирусы" дело кривых рук. У меня винда не переустанавливалась несколько лет. Вообще все симптомы вирусов пропали после того, как я перестал пользоваться твикерами и чистильщиками! Программы ставлю часто. У меня даже брандмауэр отключен. Но раз в год для профилактики устанавливаю тестверсию ав и сканирую полностью систему. Надеюсь вирусофобия у Вас пройдет.

[granada-juice.livejournal.com]

Пару лет назад у меня случился перерыв - не продлила чё-т лицензию. Комп проработал где-то неделю или две, какая-то хрень заблокировала машину. Пришлось переустанавливать. Больше эксперементировать не хочу.
А на днях, скачивая программу через портал, нацепляла с десяток вирусов, причём один из них - установщик, который стал цеплять дополнительные вирусы (которые мой антивирус уже соизволил распознавать/блокировать). Так что нет, не миф. Просто вам везёт.

[ciraelle.livejournal.com]

А зачем вы скачиваете программы с сомнительных порталов?

[granada-juice.livejournal.com]

По глупости, естесственно) Воспользовалась ссылкой не глядя - была уверена почему-то, что ссылка - на официальный сайт производителя программы.
Верить нельзя никому. Мне - можно. (с)

[spelller.livejournal.com]

"Избегайте случайных связей" ;)

[ya-nsky.livejournal.com]

да ему не везет, а он угорает над тобой. теоретически вирусов можно не нахватать только путешествуя по популярным проверенным сайтам, таким как яндек, рамблер и тд

[pomdepmon.livejournal.com]

Поддержу. Стандартного MSE - за глаза хватает. Все вирусы - мы ставим сами, шаловливыми ручёнками. (А порносайтами, я тоже не брезгую.)

[spelller.livejournal.com]

Дайте угадаю, какой антивирус у вас ;) Аваст?

[granada-juice.livejournal.com]

Бинго)

[spelller.livejournal.com]

Просто instup.exe - это "обновлялка" Аваста. Соответственно, узнать, что она устанавливает, просто - апдейты для него. Ну, или ждет, когда апдейты появятся.

[granada-juice.livejournal.com]

Правда?? Упс... А я думала, что это некий универсальный установщик, что любые проги через него устанавливаются... Ну я блондинко, мне можно)

А тогда переформулирую вопрос: можно ли понять, что в данный момент что-то новое и доселе не виданное устанавливается на комп? И если можно, то как узнать, что именно?

[spelller.livejournal.com]

Да, можно. Сейчас винды под рукой нет, но говоря общими словами - виндовый инсталлер (имя зависит от операционки, в "семерке" это, ЕМНИМС, TrustedInstaller.exe), когда устанавливает что-то, в системный лог пишет что-то вроде "Инсталлирую такой-то .msi пакет..." - а потом - "Инсталляция такого-то .msi завершена успешно (или не успешно - с такой-то ошибкой)". Как-то так.
"Вот на эту блесёнку и ловите" - (ц)

[granada-juice.livejournal.com]

Я правильно поняла, что надо заглянуть в системный журнал и там найти сведения об установке чего-либо? А вот в сам момент установки я как-то могу это понять, что нечто сейчас устанавливается на диск? У меня XP, и я не знаю как называется мой инсталлер, может setup.exe - вижу его иногда среди процессов.

[spelller.livejournal.com]

Ну примерно так, общий принцип - если среди процессов запалился инсталлер - идти в ивент лог и смотреть, чего он там пишет.

В ХР, если правильно помню, дело обстоит так (описываю по памяти, могу в именах немного ошибаться): исполняемый модуль Windows Installer'a там называется msiexec.exe - вот это имя среди процессов и надо искать. Если нашли - идем в ивент лог и ищем события от источника MsiInstaller. По содержимому этих событий будет видно, чего он там делает.

setup.exe - так может что угодно называться, так что наличие такого процесса ни о чем особо не говорит.

[granada-juice.livejournal.com]

Исчерпывающе. Спасибо!)

[spelller.livejournal.com]

Не на чем )

Добавлю только, что вирус при своей "вписке" совсем не обязан пользоваться виндовым инстлаллером - по крайней мере, будь я писателем вирусов, не стал бы так делать. Все равно что домушнику при проникновении в квартиру обратиться в ФМС за регистрацией ;)

[granada-juice.livejournal.com]

А, вот так даже... В таком случае вообще нет шансов его заметить. Остаётся молиться кибербогу и надеяться на аваст)

[spelller.livejournal.com]

Ну, против вирусов описанная методика, конечно, не средство, только против относительно безобидной, но самостоятельно встающей на компьютер ерунды. Можно еще UAC было бы включить, но на ХР его вроде еще не было, да и гемора от него больше, чем пользы.

"Затем и щука в пруду, чтоб карась не дремал".

[granada-juice.livejournal.com]

Как страшно жить... (с) :)

[spelller.livejournal.com]

Желаю вам, чтобы это было самое страшное, с чем вам пришлось бы столкнуться в этой жизни ;)

[spelller.livejournal.com]

Ну, я с Авастом крайне мало дела имел, но могу предположить, что дело тут в следующем.

Я уже не раз замечал, что "макака", т.е. McAfree SSP, идет "до кучи" с некоторыми инсталляшками (в частности, с какими-то адобовскими приблудами, с чем-то еще видел вроде...) Может, у Макафи договор с производителем софта для сборки дистрибутивов, не знаю.
Предполагаю, что в данном случае тоже что-то вроде этого. А на следующий день Аваст делает какую-то свою проверку и видит - о! другой антивирус (как известно, антивирусы не любят "соседей") - надо удалить. Что делать - полагаю, убить макаку, чтоб не мешалась.

[spelller.livejournal.com]

Ага. Макафи, конечно, вообще-то контора солидная, веников не вяжет, но вот это вот SSP, которое они таким образом распространяют - бесполезный огрызок антивируса, так что удаляйте смело.

[alfare.livejournal.com]

если вы хотите полностью контролировать установку непрошенных программ, проще, по-моему, запретить установку новых программ вообще, средствами администрирования, и разрешать вручную отдельно под каждый конкретный случай.
Сам так не делал, но вообще это самая жёсткая защита, по-моему. В конце концов, можно даже прописать разрешения программам - каким можно запускаться, все остальные запуститься не смогут.
Но оно того не стоит, мороки много. Только если на вашем компе куча народу балуется.
А ещё можно раз в неделю снимок системы делать например акронисом, чтобы можно было откатить любое изменение.

[granada-juice.livejournal.com]

Спасибо, примерно понятно (кроме снимок системы делать например акронисом - но это я погуглю, разберусь)
И да, оно того не стоит, пожалуй. Засоряют, грузят, но в общем не критично.

[alfare.livejournal.com]

Насчёт акрониса.
Это очень эффективный вариант, если не хотите заморачиваться с антивирусом. Восстановление при крахе занимает минут 5, не больше. Есть только одно "но" - системный раздел не должен быть слишком большим, иначе образ занимает много места и теряется смысл.
То есть, если у вас на компе программы лежат на одном разделе, а все данные - на другом - то хорошо. Если же у вас всё в куче - то этот вариант вам не будет удобен.

[granada-juice.livejournal.com]

Да, диск разделён. Системный загружен на 20 Гб - это не много, я думаю?

[alfare.livejournal.com]

Нормально.
Тогда вот такой вариант страховки на случай, если система подхватит вирус.
Ставите программу Acronis True Image. Надо чтобы место на НЕсистемном разделе было - примерно равное месту занятому вашей системой вместе с программами. Рельно образ займёт несколько меньше, так как сожмёт данные.
Даёте задание на резервное копирование системного раздела. У вас получится образ, из которого можно в случае какого-либо краха вернуть всю систему с программами на момент архивирования. Это занимает примерно минут пять. Кроме того, Акронис умеет обновлять образы, то есть, если у вас в программах что-то изменилось - он допишет это в образ, не делая всё с нуля.
Кроме того, ещё замечу, я обычно исключал из резервного копирования файлы подкачки - они занимают несколько гигабайт, но для копирования совершенно не нужны.
Пользовался этим больше десяти лет, очень удобно, если слетит система, либо надо перенести на другйо винт, либо просто открыть сам образ и откопать какой-нибудь файлик оттуда - как из обычного архива. Кроме того образ можно запаролить.

[granada-juice.livejournal.com]

Спасибо! Кажется, полезная вещь.

UPD: хотя и не бесплатная, как выяснилось :)

[alfare.livejournal.com]

ну, добрые люди об этом тоже заботятся:)

[alfare.livejournal.com]

кстати, чтобы не гуглить
http://www.acronis.com/ru-ru/personal/pc-backup/

[egor-13.livejournal.com]

Кстати, а если ходить в сеть только из-под учетной записи без административных прав, это не самый ли простой способ исключить , по кр.мере, самоустановку того, что само приползло из сети? Или тоже есть некоторые дыры?

[alfare.livejournal.com]

Может и самый простой... Если не считать того, что сперва надо тоже это всё с умом подготовить - профиль пользователя настроить. Насчёт дыр - не могу сказать, сам всегда на всех компах только под админом работал.
А так да - во всяких интернет-салонах это первое дело - запретить пользователю всё, что только можно. Но неудобно - жуть!

[pomdepmon.livejournal.com]

Ежели вам непонятен процесс, введите в поисковик - "что такое (название процесса), узнаете, нужен ли он вам.

[granada-juice.livejournal.com]

Так и делаю, если что-то явно незнакомое вижу. Но хотелось бы в идеале ловить их на лету, сразу при установке.

[pomdepmon.livejournal.com]

Сделайте вторую учётную запись, работайте с неё, и ничего без вашего ведома - не установится.