Procby dll что это
Как работает dll файл?
Любая устанавливаемая в Windows программа всегда использует либо свои немногочисленные или имеющиеся в системе dll-ки. Программа обычно загружает свою dll-ку во время автозагрузки через специальную библиотеку Win32 API LoadLibrary или по сигналу с другого dll-файла. Обычно это выглядит так:
- exe-шник запускается, Windows его загружает, проверяя таблицу параметров и величин, в которой написано, что, мол, «мне нужны вот такие функции вот этого dll файла и вон того dll файла». На «околотехническом» языке это называется импортированием функций dll файла в исполнительный exe файл программы.
- код загрузчика ищет обозначенные файлы dll, и обнаружив их, загружает в память
- начинает работать сам файл.dll. В нём есть уже свой список экспортируемых функций, который как телефонный коммутатор объединяет между собой адреса функций внутри самого файла (их в одном файле может быть немало); если это необходимо, функция файла 1 .dll может обратиться и к некоторым функциям файла 2 .dll. Exe-шник запущенной вами программы теперь работает с файлами, просто обращаясь к этим адресам напрямую.
Что такое dll файл?
DLL файл — файл динамически подключаемой библиотеки (библиотеки динамической ссылки)- некий набор кодов и данных для выполнения в Windows конкретного действия в рамках файлу отведённых. К dll-кам часто обращаются приложения (как сторонние так и внутренние — от имени Windows) в конкретный момент и часто на определённый срок. Тяжеловесные приложения (опять же игры) часто сами вместе с установкой пополняют хранилище dll файлов, так как система ими по умолчанию не обладает. Таким образом по типу действия dll файлы чем-то напоминают исполнительные файлы .exe, (и те и другие используют один формат файлов Portable Executable — PE) кроме некоторых моментов:
- сам по себе dll запустить напрямую нельзя
- в то же время к одному набору dll файлов могут обращаться многие приложения, причём одновременно
- а слово « ссылки » в названии файла означает, что, помимо всего прочего, они могут вызывать и друг друга по ситуации: запуск одного такого файла может вызвать запуск десятков других dll-лек. В отличие от статических библиотек .lib, которые уже находятся в модуле и работают только во время этапа компиляции программы (часто файлы .lib обнаруживаются в файлах .exe и .dll) — в виде отдельного файла в Windows такие файлы трудно найти.
Какие dll файлы задействуются программами прямо сейчас, можно узнать, запустив, к примеру, утилиты Autoruns for Windows , пробежавшись по вкладкам программы:
К СВЕДЕНИЮ
Почему нельзя просто его скачать?
Самый первый и самый опасный вариант. Даже если вы уже определились с версией и разрядностью файла. Я бы первым же делом заразил его , подсунув туда что-то типа трояна, замаскировав его под функцию обращения к какому-нибудь процессу. Рассчитывая на то, что пользователь в спешке запустить любимую программу согласится на всё, пропуская мимо глаз свист антивируса. Поверьте, 5-6 из 10 сайтов в сети так и делают. Их основная задача — принять запрос из поисковой выдачи на скачивание подозрительных (а какими ещё могут быть с точки зрения современных антивирусов и даже современных версий браузеров) файлов, и подсунуть вам. Как работает dll файл вы уже примерно знаете, и какую цепочку действий против вас в вашей Windows он создаст, знает только хакер.
Ещё один вариант — в ответ на ваш запрос вы наткнётесь на чаще всего платную, но очень навязчивую и красочную программу по ремонту системных файлов, функции которой крайне бедны (даже если запущенный после её установки «анализ» показал, что в системе «ну всё очень плохо!»).
Но да ладно: скачали, вирусов нет… На популярном и наиболее часто используемом в этих случаях ресурсе:
решения не обнаружилось: всё равно ошибка и ничего не работает. Почему? Ответ для внимательных очевиден: вы никогда не задумывались, что Windows обновляет прежде всего ? Да-да, скачанный вами файл просто морально устарел , и вам в любом случае придётся искать уже обновлённую его версию. Вобщем, действуйте в этом варианте на свой страх и риск.
Напоследок, но крайне важно. С ручным расположением dll всё немного сложнее. Эта тема достойна отдельной статьи, и она связана с функцией Перенаправителя файловой системы File System Redirector. Краткий совет же такой — переустановите службу или программу, но старайтесь избегать прямого вмешательства в директорию С:\Windows\.
-
(плохие секторы) жёсткого диска — нередко уже привычная ошибка компьютера, который подключён к розетке или ноутбука, у которого барахлит блок питания или батарея. Это даже нормально, иначе в Windows не появилась отдельная ремонтная утилита (в составе целого их набора) chkdsk.exe, призванная такие ошибки исправлять. Умение работать с утилитой — первейшая необходимость пользователя. При этом, если имя повреждённого файла вам известно, не обязательно прогонять полномасштабную проверку всего тома на ошибки. Можно начать с конкретной проверки файла, при которой команда проверки, к примеру, примет вид:
Прокатывает не всегда, ибо это инструмент общего действия. Однако попробовать стоит. Внутри побитого файла она ничего изменить не сможет, но системные файлы могут быть подменены. Однако, если задет файл конкретной программы, утилита отрапортует, что всё хорошо и захлопнется. Оставив вас ни с чем.
Советов здесь немного, и главный из них должен решаться ещё на этапе установки машины. Старайтесь не смешивать типы файловых систем самой машины и носителей для них и не разносите по разным томам папку с программой и носителями для неё.
Добрый день. Пару дней назад случайно скачался файлик на вид подозрительный, но я не обратил внимания и забыл про него. Через день ЦП начал на рабочем столе улетать в 70%,понял что хапанул майнер .При запуске диспетчера задач майнер скрывается, ЦП расслабляется. Пересмотрел видосы на ютубе, скачал Anvir task Manager,нашел 'exe' который грузит ЦП. Оказался им fc.exe. Начал удалять совпадения в реестре, не помогло. Скачал malwarebytes, он все проверил, что вызывало подозрения - удалил. Проблема не решилась, скачал DrWeb и после 5 часов сканирования всего что возможно, удалил около 14 файлов среди которых не было майнера, соответственно проблема осталась. Прогнал через HitmanPro,все тщетно, не помогло.
В итоге каким то макаром в Anvir'е уже не находился fc.exe, а ЦП начали жрать файлики из System32 и каждый перезапуск пк они были разные. Но единственное что их объединяло, это то, что в детальной информации во вкладке dll всегда находился файл fc.exe. Если открыть расположение этого fc.exe, перекидывает в AppData и папку RobotDemo где находятся куча dll'ок и само приложение RobotDemo.exe. Удалил эту папку, ребутнул Пк, ЦП все равно нагружается, но уже другим файлом из Systemm 32, в Детальной информации которого, во вкладке dll, все равно присутствует fc.exe, который перекидывает опять в папку RobotDemo все с теме же файлами. Как будто я их не удалял
Что делать? Мне кажется я испробовал все и осталось только форматнуть нафиг диск
P.s. Если открыть RobotDemo.exe можно, открывается игра, в которой можно 'поразвлекаться'
Скрины:
Тут проще систему снести. Открывай через Process Hacker, смотри в свойствах, какие потоки грузят процессор. Ищи и вычищай заразу через Unlocker, если просто так не удаляется.
Выдерни кабель интернета, загрузка на рабочем столе пропадает?
А еще, после ребута вылезло это
Обманул, карта не нагружена, по крайней мере в диспетчере задач она 1%.
Но вот нагрелась до 64 градусов
Лечил костылем: Удалил все из папки "c:\ProgramData\RobotDemo" (Эту папку создаёт эта тварь и она является её рабочей папкой). Потом убрал в безопасности файла все права, т. е. вместо разрешить поставил "Запретить". - Не даем доступ на запись в эту папку ни кому (Вы сами потом не сможете войти в неё). После перезагрузки fc.exe не грузится и всё работает нормально. Еще проверить следует в планировщике что там у вас - подозрительные задачи удалить. Ну и службы без подписей, тоже проверить на подозрительность - если что отключить из автозагрузки. И автозагрузку проверить.
Игорь Вишневский, а если нету в c:\ProgramData\ вот его RobotDemo что делать все гайды посмотрел ничего не помогает
Имя скрыто Искусственный Интеллект (614460) Евгейний Ватрушкин, какая то левая прога. Не стоит называть всё, что грузит процессор майнером, если вообще не в курсе, что это такое!
Алексей Парамонов, У меня то же самое! Как бы нам от него избавиться? я уже все перепробовал, не уходит зараза
Ну, самое сложное - найти источник, а так вы удаляете только последствия.
Проверить все службы, записи в планировщике заданий, также автозагрузку.
В автозагрузке ничего подозрительного, в планировщике какие то странные цифры и иероглифы были, службах ничего не нашлось. Теперь вообще на видеокарту пошло, нагрелась до 60+ градусов при нагрузке 1%
Попробуй Dr.web Curelt. У меня обычный доктор веб ничего не обнаружил, а Curelt обнаружил и обезвредил
он хоть и находит этот вирус, но загрузка не пропадает да и при перезагрузки пк папка и прога появляются снова
систему не сноси у меня такая гадость тоже я разорвал её методом тыка оказывается там 2 файла тот что красный RobotDemo.exe то открывай его расположение и беленький такой ещё в диспетчере задач будет маячить с красным рычажком его тож открывай Transmission удали ещё папку на диске с там потыкай по папкам к какой папке те скажет вы не имеете права доступа ту и удаляй нахрен потом 2 этих то что в диспетчере маячили выше указал какие удаляй папки с ними и этот fc.exe тоже удаляй путём изменения разрешения свойства безопасность меняй тому что там будет владелец TrustedInstaller запрет все галочки убери а всем остальным дай полный доступ все галочки выставь и нажми применить и тогда удалишь этот файл спокойненько и всё без всяких антивирусов ты убиваешь эту гадость у меня токая гадость появлялась как ток диспетчер убираешь грузит цп залазишь в диспетчер опять пропадает ну при перезагрузки компа сразу диспетчер и вылавливаешь на старте их и искореняешь у меня всё получилось и больше нет этого говна удачи тебе если что пиши помогу разобраться подробней что как.
Евгений Андреев Профи (774) саша сучков, в линуксе полным-полно игр, от Valheim до Dying Light, wine уже не требует ритуальных жертвоприношений
Пару дней словил майнер, не обратил внимание на сайт, с которого качал репак, т. е. поздно заметил, что он фейковый
Он запрещал открывать реестр и т. д. Справился с ним GrizzlyPro антивирус, который стоит штатно у меня
можно через командную стоку, или файловый менеджер там нет ограничителя доступа можно даже системные удалить я так случайно языковую панель удалил
в крастце свойства вкладка безопасность изменить если вирус не восстанавливает блокировку то все удаляется, если через файл менеджер то это активная программа готовтесь - критическая ошибка - виндовс вылитает
Найдите службу Transmission Daemon, удалите её. Далее в папке program files(x86) там найдите папку Transmission удалите её. С помощью этой папки и службы
работает этот вирус-майнер. И восстанавливает после перезагрузки эта служба.
На удивление вроде помогло. У меня пк нагружала Утилита Сравнения ФАйлов Dos5. Исходный путь был fc.exe. Начал искать что в службах не так. Посмотрел автозагрузку через AnVir Task Manager. Нашел там непонятный файл автозагрузки и службу toc cow7 отключил нахер. Посмотрел путь откуда она идет. После этого появился процесс Transmission(вылез уродец) , я проверил его путь. Нашел папку Transmission с файлом exe. Попытался удалить, не дает. Окей. Пошел в службы, нашел, отключил вручную. Удалил с пк. Вроде все.
возможно детекторный
реагирует на запуск определеннных приложений типа антивирус касперского
редактор реестра через консоль regedit, , там идёшь по адресу
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
это автозагрузчик проверь лишнее там,
ешо C:\Windows\System32\Tasks
файл с именем компьютера в текстовом редакторе можно просмотреть, внизу адрес вируса
удаляй файл и вирус по адресу внутри
Здравствуйте!
Если DLL-файл просканировать антивирусом без экзешника, который этот файл использует, то антивирус сможет распознать в нем угрозу?
- Вопрос задан более года назад
- 523 просмотра
Возможно, ты путаешь анализ файла и анализ процесса.
DLL и EXE имеют одинаковый формат (PE executable), поэтому на уровне анализа файла DLL практически ничем не отличается от анализа EXE. Ищутся известные сигнатуры - хеши, последовательности байт или поведенческие, например определенная последовательность или сочетание инструкций или системных вызовов. Декомпиляция нужна только для ручного анализа. Сможет или не сможет антивирус распознать угрозу зависит от того, будет ли нужная сигнатура или эвристика в базах. Для анализа поведения на уровне файла может применяться что-то типа псевдо-выполнения кода, но это не то же самое, что анализ процесса, при котором в реальном времени перехватываются и анализируются системные вызовы, в частности к каким файлам и какое обращение идет.
Забыл задать главный вопрос. Не могли бы вы и на него ответить?
Допустим, есть игра, она имеет полный доступ к сети. Потом установили модификации на эту игру в виде нескольких файлов DLL. Если эти файлы имеют в себе инструкции через интернет загрузить ПО, то этому не помешать, коли антивирус будет думать, что все это делается через лицензионную игру (все цифровые подписи + разрешения в брандмауэре имеются)?
Пример
Это опять путаница между контролем файлов и контролем процессов. При подмене DLL на диске и затем при запуске приложения антивирус будет проверять файл DLL, потому что к нему будет обращение. Если вредоноса в нем не обнаружено, то игра запустится, но антивирус будет контролировать активность процесса. Если процесс начнет выполнять действия характерные для мелвари - антивирус может быть сумеет эти действия обнаружить и блокировать, ему не важно каким именно образом мелварь попала внутрь процесса. Если процесс загрузит файл (т.е. создаст новый файл на диске), этот файл опять же будет проверяться как файл. Если и в нем не обнаружено мелвари, то его можно будет запустить и антивирус будет контролировать активность процесса и обнаруживать характерную для мелвари активность процесса. В целом, антивирус обычно ничего не знает о цифровых подписях и лицензионности игры, он ищет известные ему вредоносы, Или антивирус умеет детектить этот вредонос или не умеет (если он новый и не похож на другие по повеению). В случае подмены или заражения файла совершенно все равно что именно заразили - EXE или DLL.
Подмена DLL может обойти инструменты/политики Windows (иногда используемые в корпоративных сетях) для ограничения запуска приложений, при которых контролируется путь и подпись исполняемого файла, антивирусу на нее в общем-то наплевать. Вряд ли эти инструменты используются на тех компьютерах, на которых игры установлены.
Недавно ловил на пк майнер и вирус который блочит установку антивирусов, благодаря вам всё почистили, но недавно обратил внимание что пк зтал загружаться чуть дольше, решил накатить как по стандарту антивирус, и опять ничего, решил проверить ProgramData, и да, там полный сет папок антивирусов, удалить которые является невозможным. В этот раз я не заметил подозрительных процессов, программ, которые бы были в автозагрузке или грузили пк. Скриншот папок и логи приложил.
Вложения
al9love
Пользователь
На моменте повторного просмотра темы, на скриншоте заметил скрытую папку RealtekHD, в принципе как и в прошлый раз, но как и говорилось до этого, в автозагрузке ничего нет
regist
гоняюсь за туманом
после выполнения скрипта компьютер перезагрузится.
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
al9love
Пользователь
al9love
Пользователь
Sandor
al9love
Пользователь
Вложения
Sandor
al9love
Пользователь
Вложения
Sandor
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
В конце января мы анализировали мнение экспертов компании AV-TEST, специализирующейся на защите данных. Тогда они заявили, что ещё два года пользователям Windows 7 не грозят массовые атаки. При этом они призвали всех тех, кто опасается за сохранность своих данных, установить бесплатную антивирусную программу Microsoft Security Essentials. Как выяснилось, угроза существует, мало того она масштабна и несёт потенциальную угрозу миллионам компьютеров.
реклама
Вымогатель по имени Робин Гуд (RobbinHood) впервые был обнаружен в 2018 году. Опасная программа получала полный доступ к компьютеру жертвы, шифровала файлы и требовала выкуп в размере 10 000 долларов. Мало того, если пользователь не оплачивал в указанный срок, сумма выкупа увеличивалась ежедневно на те же 10 000 долларов. Ещё в 2018 году звучали подозрения, что виной всему драйвера Gigabyte, но только сейчас компания признала свою вину. Заражение происходит следующим способом: исполняемый файл Steel.exe, который находится в пакете Gigabyte gdrv.sys, распаковывает файл ROBNR.EXE, который отвечает за установку самого драйвера от Gigabyte и вредоносного ПО.
Первым делом Робин Гуд удаляет антивирус. Эксперты по безопасности Sophos заявляют, что они впервые видят такой уровень атаки. Ещё никогда вредоносная программа не использовала надёжный драйвер для проникновения в систему. По их мнению, это открывает настоящий ящик Пандоры, когда десятки и даже сотни разработчиков подобного ПО будут активно эксплуатировать такой метод.
Наиболее опасной в этом смысле видится позиция Gigabyte. Вместо того, чтобы решить вопрос, выпустив обновлённый драйвер для своих материнских плат, производитель отказался от его поддержки. Что любопытно, в новой операционной системе Windows 10 опасность заражения не столь велика, поскольку универсальные драйвера от Microsoft способны закрыть подобную дыру на большинстве новых материнских плат, не затрагивая только наиболее старые модели. Совсем другая ситуация в Windows 7. Там пользователь оказывается один на один с Робином, спастись от которого невозможно.
Куда они исчезают, или почему в системе отсутствует dll файл ?
попытка снять с регистрации файл для последующей правильной его установки в реестре провалилась
Этот вопрос абсолютно аналогичен вопросу, рассматриваемому в статье «DirectX — для каждой игры свой?» Так что давайте поэтапно, если в системе возникли вопросы по поводу пропажи или повреждения dll. Так вот, основные «неполадки» вокруг проблем с dll-ками крутятся вокруг таких вариантов развития событий:
- файл отсутствует — да, скорее всего, он никуда не пропал: речь идёт о его/их повреждении. Его местонахождение — системная папка, папка с набором специальных библиотек или программа с установленными файлами. А, следовательно, речь может быть идти о программном (или, не дай Бог, физическом) сбое на вашем жёстком диске: просто попробуйте его найти с помощью привычных средств поиска и убедиться в его наличии
- файл действительно отсутствует — антивирусная программа прекрасно распознаёт зловредное действие таких файлов (особенно при запуске в песочнице) и может принять решение на удаление файла. Ну, и оно вам надо — такая программа и последствия от её использования?
- файл отсутствует сразу после первого запуска программы — такая беда часто подстерегает тех, кто при установке программы пренебрегает рекомендациями к установке, пытаясь при этом действовать без оглядки на системные требования. Попробуйте переустановить программу, внимательно устанавливая или обновляя предложенные пакеты библиотек; в противном случае попробуйте найти необходимый файл по названию в сети. НО. Предупреждаю сразу — это очень чревато, так что читайте статью до конца.
Читайте также: