Компьютерное.

Feb. 1st, 2015 06:37 pm
[identity profile] granada-juice.livejournal.com posting in [community profile] useful_faq
Мой антивирус не всегда справляется с инернет-заразой, часть - пропускает. Скажите, а вот когда исполняется процесс instup.exe, есть ли возможность как-то узнать, что именно устанавливается в этот момент на мой комп? То есть прямо в процессе установки где-то посмотреть.
Из комментариев узнала нечто для себя новое:) и переформулирую вопрос: можно ли узнать / понять по косвенным признакам, что в данный момент на комп устанавливается непрошенный исполняемый файл (не обновление, а новая программа)? И если да, то можно ли где-то посмотреть, что именно устанавливается?
Спасибо.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2015-02-01 04:12 pm (UTC)
ext_1775189: Bezenchuk (Bezenchuk)
From: [identity profile] spelller.livejournal.com
Дайте угадаю, какой антивирус у вас ;) Аваст?

Date: 2015-02-01 04:34 pm (UTC)
ext_1775189: Bezenchuk (Bezenchuk)
From: [identity profile] spelller.livejournal.com
Просто instup.exe - это "обновлялка" Аваста. Соответственно, узнать, что она устанавливает, просто - апдейты для него. Ну, или ждет, когда апдейты появятся.

Date: 2015-02-01 04:59 pm (UTC)
From: [identity profile] granada-juice.livejournal.com
Правда?? Упс... А я думала, что это некий универсальный установщик, что любые проги через него устанавливаются... Ну я блондинко, мне можно)

А тогда переформулирую вопрос: можно ли понять, что в данный момент что-то новое и доселе не виданное устанавливается на комп? И если можно, то как узнать, что именно?

Date: 2015-02-01 05:11 pm (UTC)
ext_1775189: Bezenchuk (Bezenchuk)
From: [identity profile] spelller.livejournal.com
Да, можно. Сейчас винды под рукой нет, но говоря общими словами - виндовый инсталлер (имя зависит от операционки, в "семерке" это, ЕМНИМС, TrustedInstaller.exe), когда устанавливает что-то, в системный лог пишет что-то вроде "Инсталлирую такой-то .msi пакет..." - а потом - "Инсталляция такого-то .msi завершена успешно (или не успешно - с такой-то ошибкой)". Как-то так.
"Вот на эту блесёнку и ловите" - (ц)

Date: 2015-02-01 06:17 pm (UTC)
From: [identity profile] granada-juice.livejournal.com
Я правильно поняла, что надо заглянуть в системный журнал и там найти сведения об установке чего-либо? А вот в сам момент установки я как-то могу это понять, что нечто сейчас устанавливается на диск? У меня XP, и я не знаю как называется мой инсталлер, может setup.exe - вижу его иногда среди процессов.

Date: 2015-02-01 06:35 pm (UTC)
ext_1775189: Bezenchuk (Bezenchuk)
From: [identity profile] spelller.livejournal.com
Ну примерно так, общий принцип - если среди процессов запалился инсталлер - идти в ивент лог и смотреть, чего он там пишет.

В ХР, если правильно помню, дело обстоит так (описываю по памяти, могу в именах немного ошибаться): исполняемый модуль Windows Installer'a там называется msiexec.exe - вот это имя среди процессов и надо искать. Если нашли - идем в ивент лог и ищем события от источника MsiInstaller. По содержимому этих событий будет видно, чего он там делает.

setup.exe - так может что угодно называться, так что наличие такого процесса ни о чем особо не говорит.

Date: 2015-02-01 07:10 pm (UTC)
From: [identity profile] granada-juice.livejournal.com
Исчерпывающе. Спасибо!)

Date: 2015-02-01 07:38 pm (UTC)
ext_1775189: Bezenchuk (Bezenchuk)
From: [identity profile] spelller.livejournal.com
Не на чем )

Добавлю только, что вирус при своей "вписке" совсем не обязан пользоваться виндовым инстлаллером - по крайней мере, будь я писателем вирусов, не стал бы так делать. Все равно что домушнику при проникновении в квартиру обратиться в ФМС за регистрацией ;)

Date: 2015-02-01 07:56 pm (UTC)
From: [identity profile] granada-juice.livejournal.com
А, вот так даже... В таком случае вообще нет шансов его заметить. Остаётся молиться кибербогу и надеяться на аваст)

Date: 2015-02-01 09:44 pm (UTC)
ext_1775189: Bezenchuk (Bezenchuk)
From: [identity profile] spelller.livejournal.com
Ну, против вирусов описанная методика, конечно, не средство, только против относительно безобидной, но самостоятельно встающей на компьютер ерунды. Можно еще UAC было бы включить, но на ХР его вроде еще не было, да и гемора от него больше, чем пользы.

"Затем и щука в пруду, чтоб карась не дремал".

Date: 2015-02-02 03:59 am (UTC)
From: [identity profile] granada-juice.livejournal.com
Как страшно жить... (с) :)

Date: 2015-02-02 05:06 pm (UTC)
ext_1775189: Bezenchuk (Bezenchuk)
From: [identity profile] spelller.livejournal.com
Желаю вам, чтобы это было самое страшное, с чем вам пришлось бы столкнуться в этой жизни ;)
(deleted comment)

Date: 2015-02-01 07:08 pm (UTC)
ext_1775189: Bezenchuk (Bezenchuk)
From: [identity profile] spelller.livejournal.com
Ну, я с Авастом крайне мало дела имел, но могу предположить, что дело тут в следующем.

Я уже не раз замечал, что "макака", т.е. McAfree SSP, идет "до кучи" с некоторыми инсталляшками (в частности, с какими-то адобовскими приблудами, с чем-то еще видел вроде...) Может, у Макафи договор с производителем софта для сборки дистрибутивов, не знаю.
Предполагаю, что в данном случае тоже что-то вроде этого. А на следующий день Аваст делает какую-то свою проверку и видит - о! другой антивирус (как известно, антивирусы не любят "соседей") - надо удалить. Что делать - полагаю, убить макаку, чтоб не мешалась.
(deleted comment)

Date: 2015-02-01 09:46 pm (UTC)
ext_1775189: Bezenchuk (Bezenchuk)
From: [identity profile] spelller.livejournal.com
Ага. Макафи, конечно, вообще-то контора солидная, веников не вяжет, но вот это вот SSP, которое они таким образом распространяют - бесполезный огрызок антивируса, так что удаляйте смело.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only