приветствую уважаемые. в общем такая ситуация, есть один авер и я убиваю все его процессы (все-все), но он встаёт через определённое время 5с-10мин, куда смотреть? почему он продолжает жить?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
AV\EDR убить процесс наверняка
- Автор темы Player_1
- Дата начала
Сними список сервисов и драйверов, допустим, через WMI, ищи того, кто может ребутать авера. У одного авера могут быть десятки разных сервисов и дров в системе. А так тут вариантов может быть куча, вплоть до какого-то условного шелл-кода, запрятанного в каком-то системном процессе.
- Автор темы
- Добавить закладку
- #3
принял, буду смотреть туда, спасибо
Любой авер имеет службу / драйвер, причем с самозащитой, т.е. с юзермода ты так просто его не убьешь. Завершай сначала службы, а потом убивай процессы.
- Автор темы
- Добавить закладку
- #5
да я решил проблему,спасибо
там был просто "скрыт" один процесс, он не относился, не помечался как аверский по признакам, ни в названии службы, но по аргументам запуска выявил его и тоже убил, авер не вставал.
там был просто "скрыт" один процесс, он не относился, не помечался как аверский по признакам, ни в названии службы, но по аргументам запуска выявил его и тоже убил, авер не вставал.