关于如何发现新文件是被哪个进程产生的 锁定幕后黑手

最近遇到点小麻烦  用IS强制删除某个SYS   删除后立即产生  虽然已经禁止创建进程  任然没用?  请教各位达人用什么可以锁定是什么线程产生的文件   好除之而后快  
最近遇到了最恶心的木马   同时进驻启动  服务  svchost explorer winlogon autorun 映像劫持 破坏安全模式 感染host 改变path路径 层层保护  最恶心的还感染exe  替换dll   删除gho  你们见过么？  没什么技术含量  但很恶心  害的老夫帮人装了一个多月的系统  我们院里的人   一看到我手上提个包就要说  谁家的又挂了  尤其遇到autorun 感染exe  替换dll的 一个不小心  头天装完 第二天又去  解释都不好解释   杀毒软件  什么杀毒的  全都是废物  轻易pass   老夫逢人边说  裸奔吧  装了占内存 又没用  裸奔算了  少上点垃圾网  多玩游戏才是出路  
不知道有什么方法可以解决   启动windos之前就把注册表恢复到正常安全的模式可行么？   不知道能先在dos下把安全的注册表或者所有需要改的地方改回去然后在引导windos启动不知道是否可行？ 估计还是不行  exe dll是没办法的   郁闷哦    最近发现is sreng 360 kav是越来越难以应付重任了  把木马搞的越来越聪明了  

用VISTA X64,天下太平了,32位下永无宁日.

或者用GHOST ,备份,然后把文件名改成只有你自己知道的名字,用的时候再恢复GHO,至少目前还没人解析GHO文件来破坏的.

上次遇到一只养马的说,准备删除计算机中所有大于500M的单个文件~来对付GHO改名~

FileMon

请问    regmon在中国容易被pass么   有什么好点的注册表检测软件么   3ks
mj 为什么你的360不能搞个离线注册表还原？或者能够查看的注册表检测？    你的360里的dll好像经常被替换  搞的兄弟们有点怕怕  有些木马好像专门感染你的文件夹  树大招风啊

用linux吧，毒相对少点

windbg+minifilter，在PreCreate里根据文件过滤，下断点。