Где узнать список родных процессов win7, а также убить левые процессы и зачистить программы их инициирующие?

Question

[prDoul]

Какая то аномальная активность на пк под win7 64bit, посмотрел там сотни svchost процессов, читают все подряд. Установлен KAV лицензия, Брандмауэром разрешен только сhrome свежий(обновляю сразу), Как найти программу инициирующее все это безобразие, При включении пк минут 5 непрерывно горит индикатор чтения HDD, такая байда уже неделю.

Answer 1

[Юрий Самойлов]

Диспечер процессов AVZ сверяет по базе контрольные суммы процессов и показывает знакомые ему процессы зеленым. Соответственно все остальное можно подозревать, грабить, убивать.

Comments

[prDoul]

я понял, а как получить цепочку вызовов, то есть допустим есть 100 процессов, а их вызвал определенный кусок кода, который вызвал другой кусок, и т.п. и залоггировать это, может есть какая то утилита уровня Bios, все вызовы отслеживать, чтобы корень проблемы убрать.
удаление процессов не поможет, другие создаются тут же.

[Юрий Самойлов]

prDoul, попробуйте посмотреть Process Explorer'ом.

[prDoul]

Юрий Самойлов, смотрено уже всем, смотри не смотри, куча процессов создается, за 5 мин около 1000, может больше, надо отследить цепочку вызовов, записать лог, такое реально провернуть?

[prDoul]

KAV то молчит не свистит что то.

[Юрий Самойлов]

prDoul, Process Monitor может записывать активность процессов в лог-файл.

[prDoul]

Юрий Самойлов, спасибо за совет, в этом случае мне кажется лог файл будет больше чем мой 1тб жесткий диск в несколько раз, надо ловить только какой процесс какой вызывает, желательно вообще до загрузки ос, тк мне кажется это типа дымовой завесы движуха. К примеру такой лог, cектор диска-handle процесса-> hp-> и т.д. таким образом по дереву можно определить инициатора.
Этот Process Monitor, когда он стартует, когда все службы уже загружены, это фиаско изначально.

[Юрий Самойлов]

prDoul, Options - Enable Boot Logging.

[prDoul]

ну попробую, анализ лога займет время в этом случае немалое, а вообще, ну пишет вредитель прямо в потоки ntfs допустим хардварно, я не очень то в этих вопросах, хотя для такого уровня какое то палево с тысячами процессов.

[Ezhyg]

prDoul,

мне кажется лог файл будет больше чем мой 1тб жесткий диск

тебе кажется, в этом и проблема :P