ja nortona ne bi deinstalirao,nego samo namjestio da se apdejta ručno,a ne automatski..
U startup-u i procesima po defaultu nema traga tim datotekama i kao takve su mi sumnjive, jasno nisam ih provjeravao na internetu. No to i ovisi tko što ima ili nema instalirano na računalu a između toga i virus.
Samo što nekih programa nema na drugom računalu, ne znači da su virusi, a ukoliko je nešto sumnjivo, dobro je provjeriti o čemu se radi prije nego što se savjetuje brisanje. Na prvi pogled, meni su datoteke izgledale legitimne.
Što se tiče prvog programa, virusi se obično ubace u c:\windows direktorij, a ne u c:\windows\ime\... zato što IME ne mora biti prisutan na računalu. Dodatno, ...mig... dio imena datoteke obično znači migration, potvrđeno sa parametrom /Migration32 (još nisam susreo virus koji se pokreće sa parametrima). BTW, izgleda da je migration vrlo popularna riječ među MS programerima, budući da se često susreće među imenima datoteka.
Za nwprovau.dll ključ je ...prov... - provider - a i nw me asociralo na Netware. Puno značenje imena bi bili Netware Autenthication Provider dll. Dll se ubacuje u listu procesa ukoliko je u postavkama mrežne konekcije odabran Client for Netware networks (ili sličan naziv). Tipično je uključen samo Client for Microsoft Network (u današnje vrijeme Netware je vrlo rijedak), tako da na većini računala nwprovau.dll nije aktivan.
Virusi koji se nasele u windows direktorij često imaju random ime datoteke - npr. gmwgklxc.exe - dok dijelovi imena legitimnih datoteka imaju neki ključ (npr. da nasumce izaberem iz system32 datoteka: prov - provider, mig - migration, mgr - manager, prf - preferences, hlpr - helper, dsk - desktop, lpr - line printer, srv - service (server), schd - scheduler, aux - auxilliary, ...).
Današnji virusi izgledaju kao normalni standardni file-ovi ili procesi koji se podižu uz OS tako da kod većine korisnika ne izazove nikakve sumnje da ih uopće imaju instalirane na računalu. Meni su na prvi pogled bili sumnjivi, naime - nisam rekao da su to virusi.
Današnji virusi izgledaju kao normalni standardni file-ovi ili procesi koji se podižu uz OS tako da kod većine korisnika ne izazove nikakve sumnje da ih uopće imaju instalirane na računalu. Meni su na prvi pogled bili sumnjivi, naime - nisam rekao da su to virusi.
Točno, ali želio sam naglasiti da je prije savjeta o brisanju, ukoliko je nešto sumnjivo, potrebno provjeriti o čemu se radi.
... a ukoliko je nešto sumnjivo, dobro je provjeriti o čemu se radi prije nego što se savjetuje brisanje.
Npr. jedan od znakova da se radi o virusu je taj da se datoteka nalazi u c:\windows direktoriju i ima random 8.3 ime (naravno sa exe ekstenzijom), pokreće se prilikom startanja windowsa i prisutna je u memoriji. Ovo je samo jedan primjer - drugi sam vidio na sestrinom računalu: kernel32.exe u windows direktoriju. Izgleda nevino, ali je veličine 24 kB, nalazi se u windows direktoriju i pokreće se kroz registry (HKEY_LOCAL_MACHINE\...\Run) - prava datoteka je kernel32.dll u windows\system32 direktoriju i veličine je oko 700 kB.
Najzanimljiviji slučaj kojeg sam imao je virus koji je koristio process injection da se ubaci u explorer.exe i pokreće web preglednik. Firefox bi startao, i djelomično se učitao (nekih 7-8 MB), dok bi explorer.exe povremeno trošio oko 90% procesorskog vremena. Pretpostavljam da je pisac virusa želio da se pokrene Internet Explorer (vjerojatno da se injektira u njega i zatim špijunira), ali budući da je Firefox defaultni preglednik, virus nije dobro radio, što mi je svrnulo pažnju na njega.
