Архив

Posts Tagged ‘Sysinternals’

Проблема: при включении ноутбука запускается браузер и переходит на какой-то сайт

Принесли на днях ноутбук с такой проблемой: “Пишет, что найден вирус, я ничего не могу сделать, и раньше у меня основной страницей был Google, а теперь… (не важно кто, но другой сайт), и он сам запускается как только я включаю ноут”. Мало понятного да, но опытные коллеги подтвердят, что зачастую пользователи именно так описывают свои проблемы.

Провёл стандартную процедуру лечения: прогнал через пару портативных антивирусов, удалил кучу рекламного софта, и всякие левые “обновлялки”, “защищалки” и прочие “улучшалки”, а также посмотрел через Autoruns. Не найдя больше ничего подозрительного отдал пациента. К слову сказать никаких сообщений про вирус, о которых говорил хозяин ноутбука не увидел.

На следующий день вновь принесли его со словами: “А у меня ничего не поменялось”.

Тег «Далее»

Как подружиться с Procmon

Наверное, каждый уважающий себя ИТ-шник знает (или хотя бы слышал) про Process Monitor (ProcMon) от Sysinternals.

Недавно рассказывал одному юному падавану как пользоваться этим замечательным, а в некоторых случаях незаменимым инструментом. И пока рассказывал пришла в голову мысль написать такую вводную инструкцию для тех, кто только начинает свой тернистый путь админа.

Вообще, по моему мнению всё, что касается ProcMon лучше всего описано в книге от разработчиков, которая так и называется “Утилиты Sysinternals. Справочник администратора”.

Я же не буду лезть в дебри, и постараюсь изложить с минимумом теории, и максимумом практики на конкретном примере.

Тег «Далее»

Рубрики:Заметки Метки:

Как удалённо установить Powershell на Windows XP

Как известно в апреле 2014 года Microsoft отправила на заслуженную пенсию Windows XP. Но пользователи продолжают ею активно пользоваться, не только дома, но и на предприятиях.

Сегодняшняя небольшая заметка будет посвящена тому, как установить Powershell на компьютер под управлением Windows XP (SP3) быстро и с минимальными телодвижениями  (т.е. удалённо) и что самое главное – незаметно для пользователя, работающего за этим компьютером. В принципе ничего нового, просто как небольшая памятка о том, с чем самому на днях пришлось столкнуться 🙂

Тег «Далее»

Рубрики:Заметки Метки: ,

Как подключить SkyDrive как сетевой диск

В последнее время хранение данных в облаках набирает всё больше популярности. У меня как у любого порядочного IT-шника заведено несколько облачных хранилищ. Однако, в основном я использую SkyDrive от Microsoft. По разным причинам, во-первых, это было первое облачное хранилище, которое я попробовал, во-вторых, я регистрировался там, давно в то время, когда ещё трава была зелёная всем пользователям выдавали 25 ГБ (сейчас 7 ГБ, хотя ходили слухи, что Microsoft планирует вернуть в зад 25 ГБ).

Для синхронизации данных между компьютером и облаком SkyDrive есть специальное приложение от Microsoft, которое меня по ряду причин не устраивает. А таскать файлы через браузер не всегда удобно. Поэтому я нашёл для себя способ, как можно подключить SkyDrive как сетевой диск, которым и хочу поделиться.

Тег «Далее»

Рубрики:Заметки Метки: ,

Мониторинг реестра

После статьи где я исследовал вирус получил такой вопрос:

… А можно поподробнее как Вы узнали, что это именно svchost пишет в реестр. Догадка, или как-то это можно проверить? У меня похожая проблема: кто-то постоянно пишет один ключ, я его удаляю, а он снова появляется. Можно это как-то отследить кто именно добавляет записи в реестр? Заранее спасибо.

В том конкретном случае это была догадка, но можно и отследить. Это делается при помощи Process Monitor. Только нужно правильно настроить фильтры.

Тег «Далее»

Рубрики:Заметки Метки: ,

Исследование вируса с помощью инструментов Sysinternals

Принесли мне недавно флешку со словами: “У меня тут всё пропало, ничего не открывается, а там документы очень важные были, можно их как-нибудь восстановить?”. Взглянув на флешку сразу стало понятно, что её всю “изъели” вирусы – куча каких-то ярлыков, ведущих на непонятно какие файлы, и в целом ситуация, похожая на проблему со скрытием каталогов, только если в том случае все файлы стали скрытыми, то в здесь всё, что было на флешке (до заражения) переместилось в скрытый каталог, а в корне, как я уже сказал, была куча ярлыков и скрытый файл под названием gugi.exe.

Тег «Далее»