Все выпуски  

RFpro.ru: Windows 2000/XP/Vista пользователю


РАССЫЛКИ ПОРТАЛА RFPRO.RU

Лучшие эксперты в разделе

Megaloman
Статус: Мастер-Эксперт
Рейтинг: 101
∙ повысить рейтинг »
CradleA
Статус: Мастер-Эксперт
Рейтинг: 25
∙ повысить рейтинг »
solowey
Статус: Академик
Рейтинг: 4
∙ повысить рейтинг »

Windows

Номер выпуска:1924
Дата выхода:28.08.2021, 19:15
Администратор рассылки:Андреенков Владимир (Академик)
Подписчиков / экспертов:6 / 77
Вопросов / ответов:3 / 17

Консультация # 172516: Здравствуйте,уважаемые эксперты!Система :Windows 7,антивирус-Norton internet Security.Не могу найти папку обновлений,где она находится? В Program Data смотрел,в самом антивирусе тоже,ничего не могу понять,обновления качаю ежедневно.Помогите,пожалуйста....
Консультация # 174714: Ув. эксперты! Подскажите как определить необходимость (вредность) процесса в диспечере задач и как, при необходимости убить вредный процесс. ОС Win XP SP-2. Для примера процесс wuauclt.exe (что это?) после принудительного завершения возникает снова. Заранее спасибо....
Консультация # 26019: Уважаемые эксперты, Хотелось бы услышать Ваше мнение о проверки лицензионных номеров при получении up-date Microsoft. Впервые столкнулась с этим сегодня, когда хотела сделать обновления на одном из подшефных компьютеров. Любопытство сгубило, и я разрешила проверить номер, о чем сейчас жалею, так как думаю, что что-то обязательно при этом в ...

Консультация # 172516:

Здравствуйте,уважаемые эксперты!Система :Windows 7,антивирус-Norton internet Security.Не могу найти папку обновлений,где она находится? В Program Data смотрел,в самом антивирусе тоже,ничего не могу понять,обновления качаю ежедневно.Помогите,пожалуйста.

Дата отправки: 23.09.2009, 00:19
Вопрос задал: Назаров Игорь Иванович
Всего ответов: 1
Страница онлайн-консультации »


Консультирует Алексеев Владимир Николаевич (Мастер-Эксперт):

Здравствуйте, Игорь Иванович!
Похоже, среди экспертов, которым разослали Ваш вопрос, не нашлось пользователей Windows7 в сочетании с антивирусом Norton internet Security. Предлагаю Вам самому поискать папку с обновлениями, это не трудно. Я расскажу, как я делаю это под своей WindowsXp, а Вы поправите с учётом системных отличий. Ваше "обновления качаю ежедневно" - это Ваш козырь-признак, который позволит Вам быстро добиться успеха.
В моей ОС (ОперСистеме) антивирусные базы Касперского "живут" в \Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases\ . Эксперт Gravesnake в минифоруме посоветовал Вам искать в папке \DocumentsandSettings\AllUsers\ApplicationData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\ . Если предложенный им путь имеется в Вашей ОС, то остаётся лишь проверить факт изменения контента папки VirusDefs после процесса обновления. Для этого скачайте мою программу CreLst.cmd, распакуйте её в папку VirusDefs и запустите ДО очередного обновления. CreLst.cmd создаст файл-список VirusDefs.lst содержимого папки, из которой сам запущен. Переименуйте список в 1.txt (расширение .lst запрограммировано для открывания редактором EditPad с перекодировщиком для просмотра русско-язычных имён).

После обновления снова запустите CreLst.cmd, и переименуйте файл-список в 2.txt. Из Программы \ Стандартные откройте КоманднаяСтрока. В окне КомСтроки назначьте папку VirusDefs текущей с помощью команды
Cd /d \DocumentsandSettings\AllUsers\ApplicationData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs
Затем команда FC 1.txt 2.txt
отобразит Вам отличия между файлами 1.txt и 2.txt
Эти отличия можно запротоколировать в файл dif.txt командой
FC 1.txt 2.txt >dif.txt

Если совет Gravesnake не соответствует Вашей с истеме, то открываете скрытую папку \DocumentsandSettings\AllUsers\ApplicationData , и запустив ПоискФайлов (клавишей F3 или Ctrl+F), задаёте условие "Когда были произведены последние изменения" \ УказатьДиапазон. Если, например, Вы скачали обновления только что, тогда для оптимизации поиска надо ввести диапазон даты от (поза-)Вчера по Сегодня. В "Дополнительные параметры" взведите флаги: "Поиск в системных папках", "Поиск в скрытых…", "Просмотреть вложенные папки".
Найденные в большом количестве файлы удобно отсортировать по Дате (не по алфавиту). Для этого из меню Вид задайте отображение как Таблица, затем левой кнопкой мыши кликните по заголовку столбца "Изменён". Повторный клик инвертирует сортировку "сверху Старые" на "сверху Новые".
В случае неуспеха поищите обновлённые файлы подобным образом в другой папке (Program Data, не забудьте про флаги).
Да поможет Вам Ваша интуиция и стрем ление к успеху!

Консультировал: Алексеев Владимир Николаевич (Мастер-Эксперт)
Дата отправки: 24.09.2009, 16:41 Спасибо!
-----
Дата оценки: 24.09.2009, 21:47

Рейтинг ответа:

НЕ одобряю 0 одобряю!

Консультация # 174714:

Ув. эксперты!
Подскажите как определить необходимость (вредность) процесса в диспечере задач и как, при необходимости убить вредный процесс.
ОС Win XP SP-2. Для примера процесс wuauclt.exe (что это?) после принудительного завершения возникает снова. Заранее спасибо.

Дата отправки: 30.11.2009, 15:41
Вопрос задал: Хиврич Сергей Алексеевич
Всего ответов: 9
Страница онлайн-консультации »


Консультирует Гуревич Александр Львович:

Здравствуйте, Хиврич Сергей Алексеевич.

Для примера процесс wuauclt.exe (что это?) после принудительного завершения возникает снова.



На сайте http://www.securitylab.ru/processinfo/265684.php по поводу wuauclt.exe написано следующее:

Wuauclt.exe – клиент системы автообновления Windows. Программа работает в фоновом режиме и периодически подключается с серверу обновлений Microsoft для обновление операционной системы, приложений и драйверов.

Если вы завершите работу процесса Wuauclt.exe в диспечере приложений, он автоматически запустится снова, если включена система автоматического обновления. Процесс работает под пользователем SYSTEM, однако он также может быть запущен под именем текущего пользователя.

Вирусописатели часто используют имя Wuauclt.exe для распространения злонамеренных программ. В этом случае файл Wuauclt.exe будет расположен вне каталога %SystemRoot%\System32. Например троян Backdoor.Clt (W32.Cult) позволяет получить полный контроль над уязвимой системой. Если Wuauclt.exe пытается подключится к 6667 порту, это означает что ваш компьютер заражен Backdoor.Clt.

Консультировал: Гуревич Александр Львович
Дата отправки: 30.11.2009, 15:52
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует Avadon:

Здравствуйте, Хиврич Сергей Алексеевич.

Предлагаю Вам воспользоваться бесплатной программой AntiVir Task Manager. (ссылка в приложении).
Программа является по своей сути заменой диспетчера процессов MS Windows? при этом обладает большими возможностями.
Некоторые из них:
1) Отображается описание программ автозапуска и анализ их поведения с точки зрения безопасности..
2) Позволяет получать информацию о процессах и управлять ими.
3) Формирует рейтинг безопасности каждого активного процесса, сервиса и программы автозагрузки оценивает вероятность того, что программа является вредоносной. Рейтинг основан на поведении программы, анализе кода и данных из базы программ
4) Уведомления при попытке программ добавиться в автозагрузку
5) Возможность проверить любой подозрительный процесс или файл антивирусами на virustotal.com

С моей точки зрения программа очень полезная, пользуюсь её всегда.

Надеюсь, что помог!!!

Приложение:

Консультировал: Avadon
Дата отправки: 30.11.2009, 16:00
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует sergtv:

Здравствуйте, Хиврич Сергей Алексеевич.

1. Определить необходимость (вредность) процесса можно при помощи программы Process Explorer http://technet.microsoft.com/ru-ru/sysinternals/bb896653.aspx , которая позволит очень наглядно увидеть Вам все процессы запущенные в системе и отметит подозрительные. Так же немного более сложная в освоении, но более полезная - Gmer - Польская утилита предназначенная для поиска и удаления rootkit'ов.
Помимо обнаружения скрытых процессов, файлов, сервисов, ключей реестра и т.д. обладает встроенными средствами мониторинга, - может отслеживать создание процессов, ключей реестра, загрузку драйверов, dll и т.д.

2. wuauclt.exe - Этот процесс проверяет Web сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.

Файл wuauclt.exe всегда расположен в директории C:\Windows\System32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе.

Консультировал: sergtv
Дата отправки: 30.11.2009, 16:08
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует SerKuz:

Здравствуйте, Хиврич Сергей Алексеевич.

Для определения вредности процесса/программы, можно попробовать воспользоваться несколькими способами. Я определяю примерно так:

1. Для начала запускаю программу Process Explorer.
Выбираю нужный мне процесс. Смотрю его свойства(Properties) и если я помню, что эта программа должна находится в папке Windows, а она запускается из другой папки, то вероятность, что это вредоносный процесс высока. Там же можно увидеть описание процесса(description), которое добавил программист.

2. Смотрю в свойствах(в Process Explorer), во вкладке Strings, нет ли перечислений имен файлов антивирусов. Обычно, имена файлов антивирусов присутствуют в троянах отключающих антивирусы. Тут нужно иметь в виду, что в обычных программах, тоже могут быть перечисления имен, например в других антивирусах. Также если присутствуют имена различных асек, FTP, "почтовиков" , то возможно, что это вредоносный процесс, который ворует пароли. Естественно, есть специальные программы, для "вспоминания паролей" - их мы не трогаем.

3. Убить процес можно попробовать в том-же Process Explorer (Kill Process). Либо воспользоваться антируткитами: Gmer, Rootkit UnHooker. Но для работы с ними, нужен опыт и понимание, что делаешь, т.к. если "убить" важный процесс windows, можно получить BSOD (синий экран смерти).

4. Для определения, что загружается вместе с windows, можно воспользоваться программой AutoRuns от тех же авторов. В настройках программы, можно включить "проверять цифроваю подпись" (Verify Code Signatures). AutoRuns начнет проверять подпись через интернет. Что это нам дает? Например, если в Publisher будет написано :"(Verified) Microsoft Windows Publ isher" , то мы можем быть уверены, что файл подписан компанией Microsoft. Но нужно иметь в виду, множество компаний и программистов не подписывают свои программы цифровой подписью, поэтому не стоит удалять все программы подряд, если они не имеют подписи. Также, не на всех библиотеках/программах microsoft ставит цифровую подпись. С чем это связано - не в курсе.

Основные принципы я привел, остальное приходит с опытом :-)

Консультировал: SerKuz
Дата отправки: 30.11.2009, 17:17
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует Чичерин Вадим Викторович:

Здравствуйте, Хиврич Сергей Алексеевич.
Для решения, что за процесс сидит в памяти, проще всего использовать поисковые сервисы. Я просто набираю имя процесса в Google и получаю ответ.
В данном случае получаем такой результат: "Wuauclt.exe is the AutoUpdate Client of Windows Update and is used to check for available updates".
То есть - это клиент автоматического обновления Windows, который определяет доступность обновлений...
Указано также, что файл всегда расположен по адресу: c:/windows/system32/, и в случае расположения файла в другом месте следует немедленно его удалить и принять меры к лечению компьютера...
Отключить клиент через диспетчер проблематично, проще выключить службу Автоматического обновления, что можно сделать через Пуск > Панель управления > Администрирование > Службы...

Консультировал: Чичерин Вадим Викторович
Дата отправки: 30.11.2009, 17:36
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует sn_moskalenko:

Здравствуйте, Хиврич Сергей Алексеевич.
Цитата "Процесс wuauclt.exe проверяет Web-сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса wuauclt.exe не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.
Файл wuauclt.exe всегда расположен в директории C:\Windows\System32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе."
Так что проверяйте на вирусы..

Консультировал: sn_moskalenko
Дата отправки: 30.11.2009, 20:19
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует Kvitenol:

Здравствуйте, Хиврич Сергей Алексеевич.
wuauclt.exe--Этот процесс проверяет Web сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.

Файл wuauclt.exe всегда расположен в директории C:WindowsSystem32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе.

Информация по файлу wuauclt.exe
http://www.filecheck.ru/process/wuauclt.exe.html
http://www.securitylab.ru/processinfo/265684.php

По процессам:
http://www.osblog.ru/process/

По вирусам:
http://www.osblog.ru/virusview/

Консультировал: Kvitenol
Дата отправки: 30.11.2009, 20:28
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует Cosmocat:

Здравствуйте, Хиврич Сергей Алексеевич.
вам необходимо отключить службу автообновления,потом проверить программы прописаные в автозагрузке и снять галки с неизвестных,а также если этот процесс стартует не из директории С:\Windows\System32,то проверить эти ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). и при необходимости удалить из них ключ с таким именем.Удачи,ну и пройтись AVZ-ешником не будет лишним

Консультировал: Cosmocat
Дата отправки: 30.11.2009, 22:31
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует gromik:

Здравствуйте, Хиврич Сергей Алексеевич.

Процесс wuauclt.exe проверяет Web-сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса wuauclt.exe не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.
Файл wuauclt.exe всегда расположен в директории C:\Windows\System32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе.
Про процессы можно прочитать здесь: http://support.microsoft.com/?id=263201

Консультировал: gromik
Дата отправки: 05.12.2009, 10:55
Рейтинг ответа:

НЕ одобряю 0 одобряю!

Консультация # 26019:

Уважаемые эксперты,
Хотелось бы услышать Ваше мнение о проверки лицензионных номеров при получении up-date Microsoft.
Впервые столкнулась с этим сегодня, когда хотела сделать обновления на одном из подшефных компьютеров. Любопытство сгубило, и я разрешила проверить номер, о чем сейчас жалею, так как думаю, что что-то обязательно при этом в систему записали. Версия была корпративная, без активации, sp1, sp2 не устанавливаляся. Ответ был, что ничего мне не положено.
Дома на своем компьютера (та же версия - английская, профессиональная Sp1 c установленной SP2) не смогла выйти на up-date из линка помощи, нашла на интернете вход, было предложено проверить номер. Проверять не стала, посмотрела на интернете, но ничего путного не нашла.
Видела, что вроде при выборе автоматического обновления up-date идут. Но неизвестно, что дальше будет. Мне уже однажды Microsoft вырубал систему (предыдущая версия) после установки SP2. Причем на всех компьютерах, на которую я ее поставила. Пока решила написать и послушать, кто что об этом знает.

Дата отправки: 07.09.2005, 23:59
Вопрос задал: Sakhnovskaja
Всего ответов: 7
Страница онлайн-консультации »


Консультирует Лазуткин Максим Николаевич:

Здравствуйте.
Если у вас стоит легальная операционная система, то вам боятся нечего. А в противном случае вы действуете на свой страх и риск.

Консультировал: Лазуткин Максим Николаевич
Дата отправки: 08.09.2005, 06:28
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует Ron:

Здравствуйте, Sakhnovskaja!
Сейчас в инете есть пач. Где его найти не могу подсказать. Порядок его установки таков, для начало нужно зайти на майкрософт апдат, при этом он должен установить программу для апдатов, затем пач пишется в widndows\system32, запускаешь его и после всего удаляешь. Затем сново идешь на апдат и видем что он не делает проверку на подлиность данной версии и это даёт возможность скачивать или апдейтится через авто-апдат.
Если есть проблема с поиском пиши на мыло вышлю.

Консультировал: Ron
Дата отправки: 08.09.2005, 08:30
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует Almark:

Здравствуйте, Sakhnovskaja!

идешь
свойства обозревателя/программы/надстройки

находишь компонент "windows genuine что-то там" и отключаешь его.
все.
дальше на winupdate он будет ругаться, что требуемый компонент отключен, но будет прекрасно работать

Консультировал: Almark
Дата отправки: 08.09.2005, 10:37
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует Star Wolf:

Здравствуйте, Sakhnovskaja!
Собственно ваш вопрос попадает под категорию "взлом", но поскольку корпорация M$ богатая, а мы нет ... поэтому ваш вопрос я удалять не буду....
.. Almark прав ... его способ самый надежный, до поры до времени конечно но это прокатывает....
Другой вариант более сложный (точнее муторный, но безопасный) нужно с помощью генератора ключей и реактивации windows изменить серийный номер своей системы, и делать это до тех пор пока WGA вас не пропустит... в оконцовке получаем нормальную лицензионную систему ... (кстати я никогда не пользовался кряками/патчами... всегда выхожу из ситуации таком вот способом и активирую винду через интернет)
... третий вариант повысить уровень безопасности IE, и при запросе на установку компонента ActiveX ... отказаться ... вас перекинет (должно во всяком случае) на страничку загрузки другого типа WGA ... далее полученный екзешник запускаем в режиме совместимости с win2000 и полученый номерок впихиваем в запрос на MU ...

Консультировал: Star Wolf
Дата отправки: 08.09.2005, 11:11
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует dreiko:

Здравствуйте, Sakhnovskaja!
Я бы вам не советовал абдатиться с нэта, если у вас винда не лицензионная. Просто напросто, после очередного апдейта, винда может запросить активацию. Если не успеешь активировать, то примерно через месяц она помашет вам ручкой.
Советую следить за софтом на CD, и брать заплатки оттуда.

Консультировал: dreiko
Дата отправки: 08.09.2005, 16:36
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует jonjonni:

Здравствуйте, Sakhnovskaja!
При обновлении windows через интернет вашу винду могут прикрыть, но не бойтесь ни кто за вами не придёт и не посадит вас. Я вобще отключаю обновления и ставлю их локально, т.е. сначала выкачиваю с сети, или же ставлю с дисков (хакер или чип, благо они вылаживают там апдеиты к windows). Ну а если же вас прекроют придётся заново windows переустанавливать.

Консультировал: jonjonni
Дата отправки: 08.09.2005, 21:16
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует Igor V. Lupersolsky:

Здравствуйте, Sakhnovskaja!
Я не совсем улавливаю в чем проблема. Вам надо обновления скачать? Заходите на
up-date , просматриваете список обновлений, выбираете нужные и записываете имена.
Далее начинаете установку каждого обновления, до того момента когда Мicrosoft попытается проверить подлинность. Это надо только для того, чтобы увидеть имя екзешника. На этом общение с Microsoft можно закончить.
Далее поиск в Google , если находитесь в Голандии, временно смените региональные настройки на Россию, потому что искать надо в русских страницах. Через 10 - 15 минут просмотра ссылок набредёте на сайт какого нибудь Тьмутараканского ветеринарного училища на FTP которого будут лежать все ваши обновления. Не получилось так.
Filesearch.com имя екзешника поиск по FTP. Не нашлось сайт перекинет вас на поиск в Web. Там ситуация аналогичная. Снова не вышло. Качаете Bit Torrent клиент - BitLord,
Azureus , Bit Torrent. Заходите сюда
http://isohunt.com/latest.php?mode=bt&smiley
имя обновления и поиск торрента. Учитывая, что Windows Vista уже 2 месяца там во всей красе лежит, что нибудь да найдёте.
Есть ещё KaZaA и eDonkey, Shareaza.
Но прежде чем , всё это делать подумайте, а надо ли вообще все эти обновления?
Почему на сайт up-date ни на чем, кроме IE уже три месяца, попасть невозможно.
А ведь Opera идентифицирует себя по умолчанию как IE 6.
Почему Opera и Firefox занимают в инсталлированном виде намного меньше места , чем IE. И что за исходящий траффик у IE на сайте Microsoft, не оставляет ли он с самого начала какие нибудь данные о вашей системе.
Почему для IE доступна только Web установка. И т.д.
Безопасность? Да даже начинающему хакеру понадобится минут 10, чтобы обойти любой фаервол. И по большому счету вы им просто неинтересны. Защитится от вирусов и шпинов? Не используйте IE и 80% проблемы отпадут. Исправлять ошибки в Office? Поставьте Star Office или Corel Word Perfect. Мне за год не удалось найти глюка в Star Office, а MS 2000 влип с первой же минуты.

Консультировал: Igor V. Lupersolsky
Дата отправки: 11.09.2005, 22:42
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Оценить выпуск | Задать вопрос экспертам

главная страница  |  стать участником  |  получить консультацию
техническая поддержка

Дорогой читатель!
Команда портала RFPRO.RU благодарит Вас за то, что Вы пользуетесь нашими услугами. Вы только что прочли очередной выпуск рассылки. Мы старались. Пожалуйста, оцените его. Если совет помог Вам, если Вам понравился ответ, Вы можете поблагодарить автора - для этого в каждом ответе есть специальные ссылки. Вы можете оставить отзыв о работе портале. Нам очень важно знать Ваше мнение. Вы можете поближе познакомиться с жизнью портала, посетив наш форум, почитав журнал, который издают наши эксперты. Если у Вас есть желание помочь людям, поделиться своими знаниями, Вы можете зарегистрироваться экспертом. Заходите - у нас интересно!
МЫ РАБОТАЕМ ДЛЯ ВАС!


В избранное