Есть такая замечательная программа, как Process Monitor, которая позволяет отследить различные непонятные телодвижения в вашей системе. Например, если вы нашли странные файлы, которые непонятно откуда взялись, то с помощью Process Monitor можно найти ту программу, что их создает.

Именно этот пример мы и рассмотрим. В первую очередь, скачаем и запустим программу.

• Скачать Process Monitor

Программа следит за разнообразной активностью в системе, анализируя события в системном реестре, сети, системных процессах и файловой системе. В данном случае нам нужна только файловая система.

Чтобы убрать лишнее на панели инструментов активируйте значок Show File System Activity, а вот значки Show Registry Activity, Show Network Activity, Show Process and Tread Activity, Show Profiling Events отключите нафик, щелкнув на них один раз мышкой.

Теперь нажмите комбинацию клавиш <Ctrl+L> и активируйте фильтр для поиска нужных значений.

Настроим фильтр. В первом списке следует выбрать значение Path – это путь к нужному файлу.

В следующем списке выберите значение contains – так мы укажем условие, по которому будет осуществляться фильтрация. Впрочем, можно выбрать и значения begins with (начальное значение) либо ends with (конечное значение).

Следующий шаг – текстовое поле, в котором нужно указать либо имя файла, либо название папки, в которой постоянно появляются странные файлы.

Осталось выбрать в последнем списке значение Include – так мы выбираем, что все указанные условия будут использоваться в результате работы.

Наконец, щелкните на кнопке Add – фильтр появится в списке. Щелкнем на кнопке ОК и фильтр будет активирован.

Конечно Process Monitor может показать слишком много лишней информации. Чтобы с ней справится можно использовать дополнительные фильтры либо конкретные действия, что следует анализировать. Кроме того, порой достаточно отключить отслеживание определенных процессов, что нас не интересуют.