@Luckie

Angenommen: Du hast einen Virus entdeckt. Der Virenscanner löscht die Datei nicht, bzw. bei Neustart ist dieser wieder vorhanden, wenn Du es überhaupt merkst.

Dafür ist das Programm da: Du hast eine infizierte Datei gelöscht und möchtest wissen, wann sie wieder auftaucht. Das Mistding (Sorry) z.B. kernel32.ime tauchte immer wieder auf und war mit einem Virenprogramm nicht zu beseiteigen.

Also her mit meinem Programm und Eintrag in die Überwachungsliste
a) via Hand in die Watch.ini und den Path\Dateiname eingetragen.
b) Über den Filerequester einlesen oder
c) Suchen und eintragen lassen.

So.
Nun wird die Liste alle 30 Sek. durchlaufen.
Du kannst Programme installieren, surfen, etc. Sobald aber die kernel32.ime erstellt wird,
wird dies Dir gemeldet. Du hast Die Wahl: Löschen oder nicht löschen. Bei der Option Löschen wird versucht zu löschen. Klappt es nicht, wird ONREBOOT gelöscht.

Idealerweise sucht Du den ParentThread mit dem Prozessexplorer von sysinternals und schießt den ab.
Natürlich trägst Du ihn in die Liste ein um zu beobachten, ob er wieder auftritt.
Dies ist, so denke ich eine sinnvolle Alternative zu Format C: und Co. oder neuem Image.

Also kurz:
-Gezielte Überwachung, wenn die Files angelegt werden.
-Meldung an Benutzer
-Option zum Löschen/DeleteOnReboot (gefährlich, wenn Systemdateien gelöscht werden)
-Neueintrag
-Suchfunktion
-und zum Üben den Dummy Notepad.exe

Noch etwas: Du nimmt die Watch0.3.exe und watch.ini auf einen anderen Netzwerkrechner und siehst mal nach, was da so los ist.

Beste Grüße!
GoEITS