Lawrens Hammond news:44b95505@news.home.net.pl napisal [-a]
> Użytkownik "1634Racine" <1634@Racine.pl> napisał w wiadomości
> news:e9an00$g67$2@nemesis.news.tpi.pl...
>>>> C:\WINNT\system32\services.exe
>>> Mógł zostać zarażony i nie wyleczony
>> "znaczy sie, co?" :)
> Wirus włażąc do kompa mógł się przy okazji przykleić. A co za tym
> idzie, móc trochę sobie popanoszyć.
popanoszyc, popanoszyc... Woda tak :)
Pytalem sie dlaczego na widok procesow:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
piszesz: "Mógł zostać zarażony i nie wyleczony". Dlaczego: mogl ? Chciales
powiedziec, ze to _moga_ byc "podstawione" pliki/procesy? Ale tak mozna
powiedziec na widok (prawie) kazdego procesu i ze to , co widzimy, to
plik zarazony.
>> smss, winlogon,services - wiemy, za co teraz "robia" ? moze to
>> teraz tylko zwyczajne procesy natywne w2k?
> Tak, ale jak to usługi (bo są to usługi) mogą też zostać zarażone, w
> końcu usługa, to też program.
takie zycie.
>>>> C:\WINNT\system32\lsass.exe
>>> Zdarza się.
>> ano; wyrzucilem. Zostawilem tylko Lsass.exe - "Biblioteka DLL pliku
>> wykonywalnego i serwera LSA".
> Winda sama z siebie nie rozróżnia małych i dużych liter w nazwie
> pliku, choć sam NTFS jak najbardziej ma to przewidziane.
wiem. ale po "szukaj" wyrzucilem wszystkie pliki "l", a zostawilem jeden
plik "L". Ryzyk f. A czy to ten wlasnie jest systemowy... Dobre pytanie.
>> Swoja droga ... dlaczego drweb32 ... NIE
>> WYKRYL lsass.exe ? Ani ... brudów: ...
> Jak rootkit, lub inny program wciskający się głęboko w system,
> przechwytujący pewne odwołania do funkcji systemowych... najstarszą
> powszechnie znaną sprawą było ukrywanie sie wirusa przed
> wystąpieniem błędu dyskowego podczas próby zarazenia zabezpieczonej
> dyskietki. Trzeba było przejąć funkcję/przerwanie programowe &24h i
> w razie wystąpienia błędu nie pozwolić na jego zakomunikowanie.
> Usaer mógł więc nie wiedzieć, że mu wirus chciał właśnie dyskietkę
> "rozorać", ukrył się. Tak samo mogło być i tu.
> (svchost.exe)
no niby oczywiste, itp itd, ale: w sumie to od takich banalow powinien byc
drweb, uwazany za jeden z dwoch (3ech ?) najlepszych antywirow.
>>>> DOKUMENTY\DDD\PROGRAMY\zegar\TClock.exe
>>> Zegarek ustawia? :)
>> via serwery ntp.
> To można zostawić, choć OIDP, już w systemie jest wbudowana obsługa i
> odświeżanie zegara systemowego z ntp.
??? w w2k - gdzie to cudo ?
>> mam w2kpro
> Jeśli to ten, co się ustawia w zaawansowanych właściwościach sieci,
> to nie widzę przeszkód, by chodziły oba.
w w2k - gdzie to cudo ?
>>> Jako antywir u mnie jest Avast,
>> u mnie drweb32. do dzisiaj ok, a od dzisiaj zastanawia mnie, ze
>> jednak przepuszcza brudy opisane w watku.
>> A przeciez sa juz - jak widze w sieci - bardzo znane...
(tutaj mialem na mysli owe brudy :))) )
> Przede wszystkim darmowy,
i dlatego: czego nie wkrywa i kiedy ? (poczta?)
Received on Sun Jul 16 13:50:07 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 16 Jul 2006 - 14:42:03 MET DST