|
Вопрос # 4 154/ вопрос открыт / |
|
Приветствую, уважаемые эксперты!
Вот такой вопрос хочу задать.Подцепил тут рекламный модуль и решил написать програмку для их удаления. Вроде написал - попробовал обнаружил косяк.Дело в том,что путь к обычным екзешникам показывает правильно а вот к рекламным (некоторым)модулям выдает ../explorer.exe. Что не есть хорошо. Кстати еще это касается блокнота и word овских документов- тоесть на них она показывает путь не к самому файлу а к программе которая их открывает.Мудрые люди подскажите как с этим бороться.
Вот кусок кода:
Приложение: Переключить в обычный режим- procedure TForm1.SpeedButton1Click(Sender: TObject);
- var
- ssh1, ssh2 : THandle;
- pe32 : TProcessEntry32;
- me32 : TModuleEntry32;
- TrText,TrText1,a: string;
- begin
- a:= Edit1.Text;
-
-
- ssh1 := CreateToolhelp32Snapshot (TH32CS_SNAPPROCESS, 0);
- pe32.dwSize := SizeOf(pe32);
- me32.dwSize := SizeOf(me32);
-
- if Process32First(ssh1, pe32) then
- repeat
- ssh2 := CreateToolhelp32Snapshot (TH32CS_SNAPMODULE, pe32.th32ProcessID);
- if Module32First(ssh2, me32) then
- repeat
- if me32.th32ProcessID = ProcessID then
-
- until not Module32Next(ssh2, me32);
- CloseHandle(ssh2);
- until not Process32Next(ssh1, pe32);
- CloseHandle(ssh1);
-
- Memo1.Lines.Delete(0);
-
- end;
 |
Вопрос задал: igoriy (статус: Посетитель)
Вопрос отправлен: 13 мая 2010, 10:22
Состояние вопроса: открыт, ответов: 0.
|
Мини-форум вопроса
Всего сообщений: 7; последнее сообщение — 13 мая 2010, 11:42; участников в обсуждении: 2.
|
Вадим К (статус: Академик), 13 мая 2010, 10:50 [#1]:
Некоторые рекламные модули являются dll, которые живут в процессе Explorer или Winlogon.exe. И тут мало что выявить нужно, нужно ещё вначале закрыть Explorer (а самый первый Explorer - это рабочий стол. если его закрыть, то пропадет кнопка пуск и иконки. пугаться не нужно). потом удалить зловреда и запустить Explorer снова. Первый запущенный снова станет рабочим столом.
Галочка "подтверждения прочтения" - вселенское зло.
|
|
igoriy (статус: Посетитель), 13 мая 2010, 11:09 [#2]:
Понятно.Но я нашел зловредный модуль вручную в папке темп под именем sjgsgh.exe вручную - но долго искал.А как насчет блокнота и word документов?
А еще да я могу закрыть вредителя но при следующей перезагрузке он вылезет опять потому что я не знаю под каким именем и в какой ключ реестра(автозапуск)он себя прописал.
|
|
Вадим К (статус: Академик), 13 мая 2010, 11:24 [#3]:
Вылазит потому, что многие зловреды работают в виде так называемого "пинг-понг сервера". То есть, зловред запускается не сам, а ещё и напарника. И они регулярно проверяют работоспособность друг-дружки каким то способом (например через сокет, сообщения, пайп). Если один упал, то второй его подымет. Либо хорошо окопается (например переименует, добавит записей в реестр и так далее).
Некоторые перехватывают саму функцию удаления и при попытке удалить их, просто себя переименовывают....
Галочка "подтверждения прочтения" - вселенское зло.
|
|
Вадим К (статус: Академик), 13 мая 2010, 11:25 [#4]:
А по поводу того, что для txt документов не работает вышеуказанный код - так txt не является исполнимым файлом. и в некоторых случаях, если открыт блокнот к примеру, только перебрав открытые файлы им, можно понять кто и что.
Галочка "подтверждения прочтения" - вселенское зло.
|
|
igoriy (статус: Посетитель), 13 мая 2010, 11:29 [#5]:
Большое спасибо - значит бороться с ними не так-то просто
|
|
Вадим К (статус: Академик), 13 мая 2010, 11:36 [#6]:
Если бы было просто, то думаю на каждом угле боролись. Но бороться реально.
Галочка "подтверждения прочтения" - вселенское зло.
|
|
igoriy (статус: Посетитель), 13 мая 2010, 11:42 [#7]:
спасибо еще раз
|
Чтобы оставлять сообщения в мини-форумах, Вы должны авторизироваться на сайте.
|