Отправлено Maxi 12 марта 2005 г. 22:22 В ответ на: дак я догадывался, что часть ОС, - в том-то и удивительно, - как он инфицируется и порождает ДЛЛ, - должен быть еще один независимый файл самого червя... отправлено alpha7 12 марта 2005 г. 22:13

Часть ядра - svchost32.exe
не часть ядра - svhost32.exe !
Чтоб ловить троянов нужно эти мелочи знать. Троянописатели не дураки и знают как замутить голову обычному юзеру.

Хорошо помагают не антивирусы, а обычные файловые-сетевые мониторы. Которые показываают какой процесс куда лезет, и чего хочет.

DLL - это одна из популярных но малоизвестных методик автозапуска. Основанная она на том, что к explorer можно притянуть некую дополнительную функциональность, например если мы левой кнопкой мыши с установленными winzip,winrar кликаем на документ то нам предлагается "добавить в архив" и все такое. Троянописатели тоже используют это - принцип простой, в реестр по определенному пути прописывается ДЛЛ которая безусловно автостартует вместе с explorer.exe, она может делать что угодно (в часности запускать трояна или быть им).

• а, блин.... я букву не заметил... — alpha7   (12.03.2005 22:26, пустое)
  • хотя стоп! ну нет с системе WINXP файла svchost32.exe - сами проверьте!!! svchost.exe есть, svchost32.exe - нету! у меня нету! вирусов у меня может, нету... :)))))))) — alpha7   (12.03.2005 22:29, пустое)
    • Ответ: Вирус — Deman   (29.07.2006 16:05 82.207.119.19, 83 байт)