Экспертная система Delphi.int.ru

Сообщество программистов
Общение, помощь, обмен опытом

Логин:
Пароль:
Регистрация | Забыли пароль?

Delphi.int.ru Expert

Другие разделы портала

Переход к вопросу:

#   

Статистика за сегодня:  


Лучшие эксперты

Подробнее »



Вопрос # 4 154

/ вопрос открыт /

Приветствую, уважаемые эксперты!
Вот такой вопрос хочу задать.Подцепил тут рекламный модуль и решил написать програмку для их удаления. Вроде написал - попробовал обнаружил косяк.Дело в том,что путь к обычным екзешникам показывает правильно а вот к рекламным (некоторым)модулям выдает ../explorer.exe. Что не есть хорошо. Кстати еще это касается блокнота и word овских документов- тоесть на них она показывает путь не к самому файлу а к программе которая их открывает.Мудрые люди подскажите как с этим бороться.
Вот кусок кода:

Приложение:
  1. procedure TForm1.SpeedButton1Click(Sender: TObject);
  2. var
  3. ssh1, ssh2 : THandle;
  4. pe32 : TProcessEntry32;
  5. me32 : TModuleEntry32;
  6. TrText,TrText1,a: string;
  7. begin
  8. a:= Edit1.Text;
  9.  
  10.  
  11. ssh1 := CreateToolhelp32Snapshot (TH32CS_SNAPPROCESS, 0);
  12. pe32.dwSize := SizeOf(pe32);
  13. me32.dwSize := SizeOf(me32);
  14.  
  15. if Process32First(ssh1, pe32) then
  16. repeat
  17. ssh2 := CreateToolhelp32Snapshot (TH32CS_SNAPMODULE, pe32.th32ProcessID);
  18. if Module32First(ssh2, me32) then
  19. repeat
  20. if me32.th32ProcessID = ProcessID then
  21.  
  22. until not Module32Next(ssh2, me32);
  23. CloseHandle(ssh2);
  24. until not Process32Next(ssh1, pe32);
  25. CloseHandle(ssh1);
  26.  
  27. Memo1.Lines.Delete(0);
  28.  
  29. end;


igoriy Вопрос ожидает решения (принимаются ответы, доступен мини-форум)

Вопрос задал: igoriy (статус: Посетитель)
Вопрос отправлен: 13 мая 2010, 10:22
Состояние вопроса: открыт, ответов: 0.


Мини-форум вопроса

Всего сообщений: 7; последнее сообщение — 13 мая 2010, 11:42; участников в обсуждении: 2.
Вадим К

Вадим К (статус: Академик), 13 мая 2010, 10:50 [#1]:

Некоторые рекламные модули являются dll, которые живут в процессе Explorer или Winlogon.exe. И тут мало что выявить нужно, нужно ещё вначале закрыть Explorer (а самый первый Explorer - это рабочий стол. если его закрыть, то пропадет кнопка пуск и иконки. пугаться не нужно). потом удалить зловреда и запустить Explorer снова. Первый запущенный снова станет рабочим столом.
Галочка "подтверждения прочтения" - вселенское зло.
igoriy

igoriy (статус: Посетитель), 13 мая 2010, 11:09 [#2]:

Понятно.Но я нашел зловредный модуль вручную в папке темп под именем sjgsgh.exe вручную - но долго искал.А как насчет блокнота и word документов?
А еще да я могу закрыть вредителя но при следующей перезагрузке он вылезет опять потому что я не знаю под каким именем и в какой ключ реестра(автозапуск)он себя прописал.
Вадим К

Вадим К (статус: Академик), 13 мая 2010, 11:24 [#3]:

Вылазит потому, что многие зловреды работают в виде так называемого "пинг-понг сервера". То есть, зловред запускается не сам, а ещё и напарника. И они регулярно проверяют работоспособность друг-дружки каким то способом (например через сокет, сообщения, пайп). Если один упал, то второй его подымет. Либо хорошо окопается (например переименует, добавит записей в реестр и так далее).

Некоторые перехватывают саму функцию удаления и при попытке удалить их, просто себя переименовывают....
Галочка "подтверждения прочтения" - вселенское зло.
Вадим К

Вадим К (статус: Академик), 13 мая 2010, 11:25 [#4]:

А по поводу того, что для txt документов не работает вышеуказанный код - так txt не является исполнимым файлом. и в некоторых случаях, если открыт блокнот к примеру, только перебрав открытые файлы им, можно понять кто и что.
Галочка "подтверждения прочтения" - вселенское зло.
igoriy

igoriy (статус: Посетитель), 13 мая 2010, 11:29 [#5]:

Большое спасибо - значит бороться с ними не так-то просто
Вадим К

Вадим К (статус: Академик), 13 мая 2010, 11:36 [#6]:

Если бы было просто, то думаю на каждом угле боролись. Но бороться реально.
Галочка "подтверждения прочтения" - вселенское зло.
igoriy

igoriy (статус: Посетитель), 13 мая 2010, 11:42 [#7]:

спасибо еще раз

Чтобы оставлять сообщения в мини-форумах, Вы должны авторизироваться на сайте.

Версия движка: 2.6+ (26.01.2011)
Текущее время: 4 июня 2023, 20:28
Выполнено за 0.02 сек.
Рейтинг@Mail.ru