скрытые файлы и папки

[Fanera]

С чисто технической точки зрения победить енту беду очень даже было бы интересно, да и профессиональная гордость зудит. Но если посмотреть на затраты времени - проще Винду переустановить заново, тем более что данные и документы пользователя в случае с Сергеем Сапрыкиным сохранить можно без проблем.

[Сергей Сапрыкин]

zett,
нет не подключал

Добавлено через 7 минут
Fanera,

Цитата:

Сообщение от Fanera

С чисто технической точки зрения победить енту беду очень даже было бы интересно, да и профессиональная гордость зудит. Но если посмотреть на затраты времени - проще Винду переустановить заново, тем более что данные и документы пользователя в случае с Сергеем Сапрыкиным сохранить можно без проблем.

вот именно что переустановить проще, а вот найти откуда ноги растут дело другое
для общего развития пригодилось-бы

Добавлено через 10 минут

Цитата:

Сообщение от Сергей Сапрыкин

пропустил одну маленькую деталь
у меня 3-и Ж/Д и на каждом установленна WINDOWS (у каждого свои тараканы в голове:)) )
так вот на одном всё в порядке скрытые папки видны?!

и всётаки почему так кто объяснит

[Neb4St]

Тип "Вашего" червья заражает только те папки которые были Вами открыты. Возможно Вы не пользовались второй Виндой после заражения или ею не использовались зараженные папки.

[zett]

Вот такую фигню пишут в инете:
......Отображение скрытых файлов в Explorer включается в этой ветке реестра вручную (значение CheckedValue): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\NOHIDDE N.....;
......Открыл реестр вижу что параметр Hidden в строке реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\ изменяется на REG_DWORD =0, хотя должен быть REG_DWORD=1......

У меня в реестре есть только Explorer и никах ветвей от него. В "Advanced" производится настройка компонентов меню. Я бы грохнул все ветки ниже Explorer, а именно оставил бы Polices -- Explorer и все. Ключ в Explorer у меня один - "NoDriveTypeAutoRan". Если сомневаетесь, то сохраните ветку реестра.
После удаления вышеперечисленного сделайте следующее: Пуск - Выполнить (Win+R), набиваем команду gpedit.msc В открывшемся окне раскрываем меню "Конфигурация пользователя" -- "Административные шаблоны" -- "Компоненты Windows" ( Windows Components) -- нажимаем на "Проводник" (Windows Explorer). Слева в окне находим "Удалить команду «Свойства папки» из меню «Сервис" (Removes the Folder Options menu item from the Tools menu). Затем двойным щелчком (или через свойства) вызываем окно, в котором устанавливаем параметр "отключен". После этих действий в реестре [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer] уберется ключ "NoFolderOptions", и наоборот, если установить "включен" - он появится.
P.S. Вам полюбому нужно очистить вирус, ибо проблема вернется на место.

[commar]

Цитата:

Сообщение от zett

Вот такую фигню пишут в инете

Пробовал на больном компе. Не помогло.

[Neb4St]

Удаление вируса не возвращает возможность включить функцию показа скрытых папок&файлов. Вчера поступил комп где всего один вирус в корне С. Autoran и .вat. И больше нигде. Винда с такими же симптомами. И флешку заражает мгновенно. Прикольно, скопировал только сам Авторан со странной последней строкой с меньше чем в 10 знаков и засунул в папку Вирус. Когда вставил флешку в свой комп, ESET Smart Security убил Avtoran.inf, объявив вирусом!

[time_wind]

Самое страшное что перебивка системы не спасает. Вирус сидит в автозапусках всех дисков.
После устоновки ХР системный диск не заражен до первой перезагрузки. После перезагрузки и системный диск оказывается зараженным. Выход-антивирусник на поиск. После удоления вируса поврежденны автозапуски дисков. Автозапуски востонавливаются быстрым форматированием.
Системный диск вотонавливаем бейкапом. Если кто избовлялся от вируса другим способом, подскажите.

[Neb4St]

С LiveCD. Но надо искать CD, где в комплекте есть антивирусные сканеры. Такие вирусы, как здесь обсуждаются, отлично выдны с WinPE невооруженным глазом. И удаляюся просто. И полное сканирование всех Винтов можно оттуда же, сканерами.

[commar]

я даже и без LiveCD делал. Загрузка в безопасном режиме, запуск drWeb ( свежая утилита launch - без установки), в Total_Commander просмотр всех скрытых файлов на всех дисках, всех папок, удаление (unlocker в помошь) ненужного, просмотр процессов (AutoRuns, ProcessCleaner, Sysinternals Process Explorer - все без установки), удаление подозрительных exeшников (тут от опыта, но все они маленькие, килобайт по 35.. или чуть больше), буде таковые выживут...

Цитата:

Сообщение от time_wind

Вирус сидит в автозапусках всех дисков

Установил систему. Она чистая. Скрытые файлы видны. Ну и бей автораны и exeшники с именами папок при включенном антивирусе.

[zett]

Я забыл добавить к посту №44. Изменения в реестре при использовании "gpedit" происходят в 4-х местах (ни в одном нет ветки "Advanced"):

1. HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer

2. HKEY_USERS\S-1-5-21-1004336348-602162358-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Gro up Policy Objects\{3B8C505E-F631-4242-BAF3-F655AAB40CD6}User\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer

3.HKEY_USERS\S-1-5-21-1004336348-602162358-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer

4.HKEY_USERS\S-1-5-21-1004336348-602162358-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Gro up Policy Objects\{3B8C505E-F631-4242-BAF3-F655AAB40CD6}User\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer

После отключения в этой ветке фиксируется значение "**del.NoFolderOptions":
HKEY_USERS\S-1-5-21-1004336348-602162358-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Gro up Policy Objects\{3B8C505E-F631-4242-BAF3-F655AAB40CD6}User\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer

К сожелению мне не попадался вирус, который скрывает файлы, поэтому остается только фантазировать.
К посту №49 могу добавить справочник по всем существующим процессам:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Там и создаваемые вирусами и системные и прочие. Умение находить и работать с процессами и потоками - залог быстрого поиска дислокации вируса. Но для этого нужны более продвинутые программы нежели диспетчер задач. Для начала нужно выписать системные процессы в правильном написании. Например системный процесс "svchost.exe" и его зараженная разновидность: "svch0st.exe, svchos1.exe, svchosl.exe, svchost32.exe, svchoste.exe, svchosts.exe, svchosts32.exe".
Для примера здесь список сервисов (служб), за которые отвечает svchost.exe:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.