Forum Mjukvara Microsoft Windows Tråd Inlägg

Hur hitta vad/vilket program som ändrar/skriver en fil?

1
Skriv svar
Permalänk
Medlem

Hur hitta vad/vilket program som ändrar/skriver en fil?

Hur kan man få reda på vad, eller vilket program, som ändrar eller skriver en viss fil?

Bakgrunden är att min Firefox säger "Your browser is being managed by your organization". I mitt fall beror det på att det läggs till en fil:

"C:\Program Files\Mozilla Firefox\distribution\policies.json"

{
  "policies": {
    "Certificates": {
      "ImportEnterpriseRoots": true
    }
  }
}

Attributet ImportEnterpriseRoots andvänds för att få firefox att importera rootcertifikat från Windows och kan bl.a. användas för MTM attacker (blä). Jag är hur som haver inte så glad i detta, varken att "någon" managerar min Firefox eller att rootcertifikaten från windows importeras. Jag har givetvis provat att ta bort filen, men den återkommer ganska snart. Jag har också provat att ta bort "policies" ur json filen, men det är likadant där, den återkommer ganska snart.

Visa signatur

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"

Redigera
Citera flera Citera
Permalänk
Medlem

Process Monitor borde funka:
https://learn.microsoft.com/en-us/sysinternals/downloads/proc...

Redigera
Citera flera Citera
Permalänk
Medlem

Om du läser på denna sida så kanske det kan lösa sig. Enligt Mozillas hjälpforum så kan det vara Avast eller AVG eller något annat program som gör detta.
https://support.mozilla.org/en-US/questions/1264369

Visa signatur

Custom SweC - Optimerar utseendet på Sweclockers. 21 Aug : v0.6.0 Nu kan du dimra bilder på SweC!
Installera Custom SweC UserCSS
Glöm inte att Geeks har en egen Discord-server: discord.geeks.se

Redigera
Citera flera Citera
Permalänk
Medlem

Jag vet att processmonitor kan säga vilket program som har en fil öppen, men kan man verkligen övervaka och "vakta" en fil och typ spela in vilket program som ändrade den?

Visa signatur

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Lagers:

Om du läser på denna sida så kanske det kan lösa sig. Enligt Mozillas hjälpforum så kan det vara Avast eller AVG eller något annat program som gör detta.
https://support.mozilla.org/en-US/questions/1264369

Gå till inlägget

Jo, nåt program är det som gör detta och jag vill hitta vilket det är. Jag har varken Avast eller AVG. Jag har mina misstankar mot Avira, men det kan lika gärna vara nån bloatware som jag missat att ta bort.

Visa signatur

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hurtigbullen:

Jag vet att processmonitor kan säga vilket program som har en fil öppen, men kan man verkligen övervaka och "vakta" en fil och typ spela in vilket program som ändrade den?

Gå till inlägget

Lite osäker på om just det går. Kanske kan detta vara till hjälp:
https://winaero.com/remove-your-browser-is-being-managed-by-y...

Kan vara någon Group Policy som spökar?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hurtigbullen:

Jo, nåt program är det som gör detta och jag vill hitta vilket det är. Jag har varken Avast eller AVG. Jag har mina misstankar mot Avira, men det kan lika gärna vara nån bloatware som jag missat att ta bort.

Gå till inlägget

Här är mer exempel där de misstänker Avira också: https://support.mozilla.org/en-US/questions/1374163

Jag använde Avira Anti-virus i många år, det var helt suveränt.Men sedan så testade jag något annat ett halvår. Köpte sedan Avira Anti-virus (bara antivirus) igen och helt plötsligt när man installerade det fick man en klient för en VPN som dök upp ibland, denna var inte valbart utan inbakad på något vis. De fick mycket kritik på deras forum kom jag ihåg. Så jag avinstallerade den direkt fast jag hade köpt den och kör med Windows egna nu. Provade även Bitdefender men den skapar egna certifikat när man går in på t.ex sin egen router med https: Man-in-the-middle. Det gör inte Windows egna eller någon annan jag provat.

Rätt många Antivirus är inte som de har varit förr, de börjar bli så bloatade i sig själva.

Men testa Malwarebytes och Spybot&Destroy och sök igenom datorn. Glöm inte att uppdatera databasen i dom innan du kör.

Fick du fram något med process monitor?

Visa signatur

Custom SweC - Optimerar utseendet på Sweclockers. 21 Aug : v0.6.0 Nu kan du dimra bilder på SweC!
Installera Custom SweC UserCSS
Glöm inte att Geeks har en egen Discord-server: discord.geeks.se

Redigera
Citera flera Citera
Permalänk
Medlem

Efter en del pyssel med processmonitor så lyckades jag fånga boven Processmonitor kan fånga upp vilket program som meckar med en fil eller bibliotek, men det måste vara igång då (givetvis), så det är lite struligt om det är någon app/service som gör ändringarna vid en omstart.

För att göra en lång historia kort så var det Avira som la dit filen:

endpointprotection.exe	11272	CreateFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	NAME NOT FOUND	Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a	2023-02-28 10:00:40
endpointprotection.exe	11272	CreateFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	NAME NOT FOUND	Desired Access: Generic Read, Disposition: Open, Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive, Attributes: N, ShareMode: Read, Write, AllocationSize: n/a	2023-02-28 10:00:40
endpointprotection.exe	11272	CreateFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	SUCCESS	Desired Access: Generic Write, Read Attributes, Disposition: OverwriteIf, Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive, Attributes: N, ShareMode: Read, Write, AllocationSize: 0, OpenResult: Created	2023-02-28 10:00:40
endpointprotection.exe	11272	WriteFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	SUCCESS	Offset: 0, Length: 93, Priority: Normal	2023-02-28 10:00:40
endpointprotection.exe	11272	CloseFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	SUCCESS		2023-02-28 10:00:40
endpointprotection.exe	11272	CreateFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	SUCCESS	Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened	2023-02-28 10:00:40
endpointprotection.exe	11272	QueryNetworkOpenInformationFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	SUCCESS	CreationTime: 2023-02-28 10:00:40, LastAccessTime: 2023-02-28 10:00:40, LastWriteTime: 2023-02-28 10:00:40, ChangeTime: 2023-02-28 10:00:40, AllocationSize: 1601-01-01 01:00:00, EndOfFile: 1601-01-01 01:00:00, FileAttributes: A	2023-02-28 10:00:40
endpointprotection.exe	11272	CloseFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	SUCCESS		2023-02-28 10:00:40

Nu ska jag fundera på om jag ska byta ut Avira mot något annat och i så fall vad.

Senast redigerat
Visa signatur

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hurtigbullen:

Efter en del pyssel med process monitor så lyckades jag fånga boven Processmonitor kan fånga upp vilket program som meckar med en fil eller bibliotek, men det måste vara igång då (givetvis), så det är lite struligt om det är någon app/service som gör ändringarna vid en omstart.

För att göra en lång historia kort så var det Avira som la dit filen:

endpointprotection.exe	11272	CreateFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	NAME NOT FOUND	Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a	2023-02-28 10:00:40
endpointprotection.exe	11272	CreateFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	NAME NOT FOUND	Desired Access: Generic Read, Disposition: Open, Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive, Attributes: N, ShareMode: Read, Write, AllocationSize: n/a	2023-02-28 10:00:40
endpointprotection.exe	11272	CreateFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	SUCCESS	Desired Access: Generic Write, Read Attributes, Disposition: OverwriteIf, Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive, Attributes: N, ShareMode: Read, Write, AllocationSize: 0, OpenResult: Created	2023-02-28 10:00:40
endpointprotection.exe	11272	WriteFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	SUCCESS	Offset: 0, Length: 93, Priority: Normal	2023-02-28 10:00:40
endpointprotection.exe	11272	CloseFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	SUCCESS		2023-02-28 10:00:40
endpointprotection.exe	11272	CreateFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	SUCCESS	Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened	2023-02-28 10:00:40
endpointprotection.exe	11272	QueryNetworkOpenInformationFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	SUCCESS	CreationTime: 2023-02-28 10:00:40, LastAccessTime: 2023-02-28 10:00:40, LastWriteTime: 2023-02-28 10:00:40, ChangeTime: 2023-02-28 10:00:40, AllocationSize: 1601-01-01 01:00:00, EndOfFile: 1601-01-01 01:00:00, FileAttributes: A	2023-02-28 10:00:40
endpointprotection.exe	11272	CloseFile	C:\Program Files\Mozilla Firefox\distribution\policies.json	SUCCESS		2023-02-28 10:00:40

Nu ska jag fundera på om jag ska byta ut Avira mot något annat och i så fall vad.

Gå till inlägget

Det var ett antivirus som var boven alltså. Som jag skrev har jag kört Microsoft egna och tycker att det fungerar riktigt bra. Det viktiga är ju att man har koll på nedladdningar så man inte får virus därifrån, det har du säkert redan. Jag kör lite Spybot som jag har genom Portable app och kör ibland. Sedan om man kör malwarebyte ibland också. Om jag skulle köra något nu skulle det nog bli Eset, men känner inte alls behov av att köpa/köra något annat än windows egna.

Visa signatur

Custom SweC - Optimerar utseendet på Sweclockers. 21 Aug : v0.6.0 Nu kan du dimra bilder på SweC!
Installera Custom SweC UserCSS
Glöm inte att Geeks har en egen Discord-server: discord.geeks.se

Redigera
Citera flera Citera
1
Skriv svar