Скрытые файлы

Все темы, касающиеся администрирования и работы с Windows/Windows Server.

Модератор: Sebas

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Скрытые файлы

Сообщение Proxy » 28.07.2008 (Пн) 20:25

Не устанавливается радиобатон Показывать скрытые файлы и папки в Свойствах папки. Точней устанавливается, но не применяется. После повторного открывания свойств видно, что радиобатон не изменил положение. С чем это связано?
Как иначе можно сделать, чтобы в проводнике отображались скрытые файлы?
ЗЫ. Юзер с правами админа.
Follow the white rabbit.

nekeda
Постоялец
Постоялец
 
Сообщения: 710
Зарегистрирован: 10.04.2005 (Вс) 23:20

Сообщение nekeda » 28.07.2008 (Пн) 20:51

это троян.

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Сообщение Proxy » 28.07.2008 (Пн) 20:58

Как замониторить? На обращении к чему? Где живёт?
ЗЫ. Нод обновлён сегодня (БД), ничего не нашёл. Унылый антивирь, больше половины нечисти всякой самому удалять приходится, т.к. неоткуда базу нормально обновить( Даже на то, что всякая зараза себя в Currentversion\Run прописывает не реагирует(
Follow the white rabbit.

Williams
Гуру
Гуру
Аватара пользователя
 
Сообщения: 1280
Зарегистрирован: 06.05.2008 (Вт) 18:35
Откуда: System.Reflection.Williams (увидел себя в зеркале :))

Сообщение Williams » 28.07.2008 (Пн) 21:20

Proxy

Autoruns Руссиновича или Security Task Manager. Большинство антивирусов со своей примитивной эвристикой не способны распознавать даже простейшие модификации троянских коней.

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Сообщение Proxy » 28.07.2008 (Пн) 21:52

Как Autoruns мне поможет? Там вроде и нет ничего подозрительного в автозапуске. В сервисах ничего нового, в порождаемых Explorer`ом тоже ничего (хотя тут трудно понять, много всего). Подскажите что бы вы сделали в такой ситуации плз. Монитор реестра не отображает ничего подозрительного в момент сохранения/восстановления свойств. Там только Explorer.exe и Svchost.exe мелькают и всё. Может это баг самого explorer`a а не троян?
Вобщем я не силён в данном вопросе, поэтому прошу помощи.
Follow the white rabbit.

Williams
Гуру
Гуру
Аватара пользователя
 
Сообщения: 1280
Зарегистрирован: 06.05.2008 (Вт) 18:35
Откуда: System.Reflection.Williams (увидел себя в зеркале :))

Сообщение Williams » 28.07.2008 (Пн) 22:03

лол... svchost подозреваемый номер 1 - излюбленое имя авторов Malware... Включи фильтр Майкросовтских сигнатур и отключи все лишнее на общей странице. Перезапустись и проверь, будет ли этот косяк, если не будет - включай по одному. Но учти, большинство троянов свои ключики регулярно ремонтируют... Так что в случае с Autoruns эффект не гарантируется, т.к. надо завершить процесс, прежде чем удалять из автозапуска.

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Сообщение Proxy » 28.07.2008 (Пн) 22:09

Вот так выглядит Диспетчер задач.
svchost 5 раз заюзан. Завершаешь - комп уходит в ребут сам.
Вложения
PrMngr.JPG
Вот
PrMngr.JPG (58.33 Кб) Просмотров: 6533
Follow the white rabbit.

ACiD
Бывалый
Бывалый
Аватара пользователя
 
Сообщения: 261
Зарегистрирован: 10.12.2005 (Сб) 2:29
Откуда: г. Санкт - Петербург

Сообщение ACiD » 28.07.2008 (Пн) 23:19

Proxy писал(а):svchost 5 раз заюзан
Так и должно быть :)
я бы обратил внимание на ekrn.exe и equi.exe

nekeda
Постоялец
Постоялец
 
Сообщения: 710
Зарегистрирован: 10.04.2005 (Вс) 23:20

Сообщение nekeda » 29.07.2008 (Вт) 0:23

Я бы обратил внимание на файлы autorun.inf в корне локального диска.

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Сообщение Proxy » 29.07.2008 (Вт) 7:39

ekrn.exe и egui.exe это процессы порождаемые антивирем (egui.exe - графическая оболочка, ekrn.exe ядро антивиря), autorun.inf в корне нет. Мои дальнейшие действия?
Follow the white rabbit.

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Сообщение alibek » 29.07.2008 (Вт) 7:58

Загрузись с LiveCD и прогони диск нормальным антивирусом. Не NOD-ом.
Lasciate ogni speranza, voi ch'entrate.

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Сообщение Proxy » 29.07.2008 (Вт) 8:02

Например? Просто у меня 64Кб/с, поэтому качать не один день и ошибиться в выборе антивиря нельзя. Есть ещё каспер на болванке. Базу могу обновить. Не подойдёт?
Follow the white rabbit.

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Сообщение alibek » 29.07.2008 (Вт) 8:08

Образ Hiren's Boot CD занимает около 50Мб и его вполне можно скачать за один день. Но я имел ввиду, не скачать, а купить или одолжить у знакомых.
Из антивирусов могу посоветовать Symantec, Dr.Web, Касперского (естественно, со свежими базами). Все трое отлавливают данный вид вирусов (при условии тестирования из незараженной системы).
Lasciate ogni speranza, voi ch'entrate.

nekeda
Постоялец
Постоялец
 
Сообщения: 710
Зарегистрирован: 10.04.2005 (Вс) 23:20

Сообщение nekeda » 29.07.2008 (Вт) 9:52

У меня НОД прекрасно ловил и убивал эту заразу.

autorun.inf в корне нет


Ты учёл что он, естественно, скрытый, а у тебя сейчас скрытые файлы не отображаются?

Денис
Доктор VB наук
Доктор VB наук
Аватара пользователя
 
Сообщения: 2734
Зарегистрирован: 07.11.2006 (Вт) 13:55
Откуда: Ейск, Краснодарский край

Сообщение Денис » 29.07.2008 (Вт) 9:59

Госсподи, установите файловый менеджер, e.g. Total Commander. Он показывает скрытые файлы отдельной настройкой (своей); и тут троян схлопочет в лоб.
Программирование — богоизбранная дисциплина! Если бог и есть, то вселенную он скомпилировал, не иначе.

Williams
Гуру
Гуру
Аватара пользователя
 
Сообщения: 1280
Зарегистрирован: 06.05.2008 (Вт) 18:35
Откуда: System.Reflection.Williams (увидел себя в зеркале :))

Сообщение Williams » 29.07.2008 (Вт) 11:04

Денис писал(а):Госсподи, установите файловый менеджер, e.g. Total Commander. Он показывает скрытые файлы отдельной настройкой (своей); и тут троян схлопочет в лоб.




Тогда уж накатать маленькую VB-утилиту, юзающую DIR с vbHidden ) Это по-нашему будет..

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Сообщение Proxy » 29.07.2008 (Вт) 15:36

Ты учёл что он, естественно, скрытый, а у тебя сейчас скрытые файлы не отображаются?

Я похож на идиота? Я через тотал и смотрел. Нету авторана в корне. И в реестре в ...\Currentversion\run этой заразы нету. А в Autoruns Руссиновича страшно всё подряд непонятное исключать.
Follow the white rabbit.

Saturn.65
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 543
Зарегистрирован: 13.10.2006 (Пт) 18:46

Re:

Сообщение Saturn.65 » 06.06.2009 (Сб) 8:30

nekeda писал(а):Я бы обратил внимание на файлы autorun.inf в корне локального диска.

Это и есть вирус авторан. Был у меня недавно. Правда я его убил с загрузочного Live CD. Он себя так не дает удалить, а вот переименовать запросто. Переименовал я его в JPG. Ну а после убил для приличия. Вот вам файлик реестра для показа скрытых папок, чтоб OptionButton фиксировался.
Код: Выделить всё
* Найдём следующий ключ:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
* Удалим параметр CheckedValue в правом окне. (тип REG_SZ; значение, скорее всего, 2.)
* Теперь щёлкаем правой кнопкой мыши в этом же окне и выбраем "создать параметр DWORD". Называем его CheckedValue. Поставим значение на 1 (0x00000001) и нажимаем "ОК" или "Enter".

После, чтоб такой вирус, который антивири не ищут не цеплять, я содержимое дисков D и других перенес в папку, а сами диски под Shadow User. Теперь и инфа будет сохраняться и в корне диска ничего появиться не может.
Главное, ребята, сердцем не стареть...

black_raven
Начинающий
Начинающий
 
Сообщения: 5
Зарегистрирован: 11.02.2010 (Чт) 16:10

Re: Скрытые файлы

Сообщение black_raven » 17.02.2010 (Ср) 8:00

А никто не рассматривает такой вариант, что вирь может быть не только в EXe-шнике, но и в Dll-ке?

В рееестре есть раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Там прописаны Dll-ки, которые подключаются при старте системы и функции в этих Dll-ах, которые выполняются в зависимости от событий системы(вход в систему,выход из системы и т.д). Обрати внимание на этот раздел, может что найдёшь подозрительное.

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Скрытые файлы

Сообщение Хакер » 17.02.2010 (Ср) 8:51

Человек, а ты рассматриваешь такой вариант, что прошло уже 1,5 года с момента проблемы, и её решили уж точно, рассмотрев все возможные варианты?
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.


Вернуться в Windows (администрирование)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 37

    TopList  
cron