Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 

Решение проблемы скрытых файлов

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Первый вопрос] >> Решение проблемы скрытых файлов
Имя
Сообщение << Старые топики   Новые топики >>
Решение проблемы скрытых файлов - 2010-01-14 19:18:33.910000   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
ОС:Windows xp sp3
Ставлю галочку отображать скрытые файлы, она скидывается.
Прежде чем создавать тему, порылся в интеренете гашел кучу разных способов не один не помог.
Пытаюсь делать вот ето:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001"
Но к сожалению через 2 секунды скидывает значение снова на 0. Пробывал удалить, создается снова со значением 0.
Post #: 1
RE: Решение проблемы скрытых файлов - 2010-01-14 19:32:40.540000   
SkyLinE215

Сообщений: -986
Оценки: 0
Присоединился: 2007-08-27 10:25:44.570000
вирус такой есть, блокирует значения.. проверь комп антивирусом, а пока вот
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
параметр hidden назначь 1
Post #: 2
RE: Решение проблемы скрытых файлов - 2010-01-14 22:37:54.113333   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
quote:

ORIGINAL: SkyLinE215

вирус такой есть, блокирует значения.. проверь комп антивирусом, а пока вот
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
параметр hidden назначь 1

То что такой вирус есть это я уже тоже понял, сканил вебом ниче не нашел. Это тоже делал так же скидывается на 0.
Post #: 3
RE: Решение проблемы скрытых файлов - 2010-01-14 23:13:28.230000   
SkyLinE215

Сообщений: -986
Оценки: 0
Присоединился: 2007-08-27 10:25:44.570000
проскань чем нибудь другим тогда.. помню у меня каспер их находил, но их же стало больше.. пробуй
Post #: 4
RE: Решение проблемы скрытых файлов - 2010-01-15 00:52:15.473333   
Flint_ta

Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
Запускаем RegMon и мониторим все обращения процессов к реестру, попутно добавляя в фильтры все ненужные ветви реестра. Т.о. при последующей модификации данного ключа реестра вирус его исправит и тут же себя обнаружит. 
Post #: 5
RE: Решение проблемы скрытых файлов - 2010-01-15 00:53:37.540000   
janitor

Сообщений: 100
Оценки: 0
Присоединился: 2009-09-11 15:33:08.426666
quote:

То что такой вирус есть это я уже тоже понял, сканил вебом ниче не нашел. Это тоже делал так же скидывается на 0


Недавно лечил ту же симптоматику на работе. Наглейшим образом висел в процессах под именами ccdrive и jjdrive и стучался лбом об фаервол
Post #: 6
RE: Решение проблемы скрытых файлов - 2010-01-15 02:27:20.193333   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
quote:

ORIGINAL: Flint_ta

Запускаем RegMon и мониторим все обращения процессов к реестру, попутно добавляя в фильтры все ненужные ветви реестра. Т.о. при последующей модификации данного ключа реестра вирус его исправит и тут же себя обнаружит.&nbsp;

RegMoon не качает, только Process Monitor. Как им сделать можеш объяснить желательно подробней.
Post #: 7
RE: Решение проблемы скрытых файлов - 2010-01-15 02:29:07.253333   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
quote:

ORIGINAL: janitor

quote:

То что такой вирус есть это я уже тоже понял, сканил вебом ниче не нашел. Это тоже делал так же скидывается на 0


Недавно лечил ту же симптоматику на работе. Наглейшим образом висел в процессах под именами ccdrive и jjdrive и стучался лбом об фаервол

В диспечере таких не обнаруженно.
Post #: 8
RE: Решение проблемы скрытых файлов - 2010-01-15 08:02:44.993333   
SkyLinE215

Сообщений: -986
Оценки: 0
Присоединился: 2007-08-27 10:25:44.570000
ну так поищи других подозрительных.. в чем проблема то?
хотя он и скрываться мог..
Post #: 9
RE: Решение проблемы скрытых файлов - 2010-01-16 14:56:39.703333   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
Че все предолжения закончились?
Post #: 10
RE: Решение проблемы скрытых файлов - 2010-01-17 11:18:18.703333   
DenisaN

Сообщений: 184
Оценки: 0
Присоединился: 2009-12-25 17:40:45.006666
а что тебе еще надо? ну написали :
quote:

Запускаем RegMon и мониторим все обращения процессов к реестру, попутно добавляя в фильтры все ненужные ветви реестра. Т.о. при последующей модификации данного ключа реестра вирус его исправит и тут же себя обнаружит.&nbsp;

ты пишеш
quote:

не качает
, а что поиск кто-то отменял?Или тебе лень?Найди и проделай что сказано.
Т.к это вирь  установи другой антивирь.


Post #: 11
RE: Решение проблемы скрытых файлов - 2010-01-17 17:18:48.610000   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Расскажу историю.
Был подобный случай. Бился головой о клаву три часа. Т.к. вирь был не у меня, а пользователь не раскрывает профессиональных секретов по заражению компа, пришлось компать. Regmon (aka ProcessMonitor) выдавал много но не поделу. Скрипты и ручная правка реестра ниче не давала, инет не пахал. Флешка autoruns, внимательно вспматриваемся в каждый объект. Переписал всё на листочек и с помощью LiveCD умудрился вылезти в инет. Каждый из сотни файлов на сайте проверил на валидность по имени - мелкософт ор не мелкософт. Вирус оказался драйвером. Неплохой руткит, так бы и жил если бы инет не сломал.
Ну что посоветовать, молись что антивири уже знают о твоей проблеме и скань, или Regmon или как я ручками потихонечку полегонечку.
Post #: 12
RE: Решение проблемы скрытых файлов - 2010-01-17 23:49:09.173333   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
А какой антивир предложите? Avira не дал результатов, Веб тоже не дал результатов. Какой еще можна попоробывать что бы помогло?
Post #: 13
RE: Решение проблемы скрытых файлов - 2010-01-18 00:01:19.800000   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
Скачал RegMonn где посматреть кто последний обращался?
Вот ссылка на картинку. http://i057.radikal.ru/1001/47/74ddf28620fd.jpg
Post #: 14
RE: Решение проблемы скрытых файлов - 2010-01-18 04:35:04.710000   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Отфильтруй по параметру SetValue и сразу всё станет видно.
Ты правильно выыделил строчку и по ней можно сказать что это делает explorer и вирус в нем.
Скачать ProcessExplorer и в нем посмотри список dll и handle.
Сначала handle. Если в списке есть dll, впиши сюда название и путь.
С dll сложнее. если сможешь представь нам список.
В принципе AVZ на максимальной эвристике такие вири палит.
Post #: 15
RE: Решение проблемы скрытых файлов - 2010-01-18 09:23:05.363333   
Flint_ta

Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
Ну вот, что-то прояснилось, как сказал Ltonid нужно искать длл которая присутствует в процессе Explorer. Качаем Autoruns и просматриваем закладку Explorer на предмет подозрительных длл. Также, как видно из скрина, Explorer ниже обратился к ключу реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cdoosoft   мне кажется этот ключик автозапуска подозрительным.

Тут есть немного похожей инфы http://www.greatis.com/appdata/d/h/herss.exe.htm Если это то что у тебя, то флэшки будут заражены тоже!     
Post #: 16
RE: Решение проблемы скрытых файлов - 2010-01-18 18:18:54.440000   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
Вот с помощью процесс експлорер нашел эту вредину, сейчас вопрос как правельно удалить? Если его делит, а потом с диска Д кильнут, нормально будет?
http://i069.radikal.ru/1001/a8/f456f11489a2.jpg
to Flint если ты считаеш что он подозрительный как его проверить?
Update
Удивительно снес процес из эксплорера, полез в реестер менять значение они снова скидываются на 0. И процесса того нету больше. Запустил AVZ на проверку. Отчет позже.
Post #: 17
RE: Решение проблемы скрытых файлов - 2010-01-19 04:14:13.630000   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
Проверил AVZ вредоносных програм 0, жду ещё ваших предложений.
Post #: 18
RE: Решение проблемы скрытых файлов - 2010-01-19 05:59:33.783333   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666

quote:

ORIGINAL: Arxysha

Проверил AVZ вредоносных програм 0, жду ещё ваших предложений.

Ты не понял. Кроме exe который нашел есть ещё dll которая в процессе explorer.exe прячется. Или сделай как я сказал или как Flint_ta.
Что проверить догадку. Щелкни правой кнопкой на процесс и выбери restart. Когда он рестартнется иди и поменяй значение. Если все норм, то догадка на 100% верная. В противном случае ещё подумаем.
Post #: 19
RE: Решение проблемы скрытых файлов - 2010-01-19 16:14:10.400000   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
Воть сделал левого ничего не вижу.
http://s005.radikal.ru/i211/1001/65/db55885801d9.jpg
Post #: 20
RE: Решение проблемы скрытых файлов - 2010-01-19 16:38:56.560000   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Не то ты сделал.
Попробую со скрина сделать.
http://radikal.ru/F/i069.radikal.ru/1001/2f/85873ef939c6.jpg.html - dll
http://radikal.ru/F/s002.radikal.ru/i198/1001/99/906717275e3e.jpg.html - handles

Вот в нижней табличке и надо искать заразу.
Post #: 21
RE: Решение проблемы скрытых файлов - 2010-01-19 16:51:06.816666   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
quote:

ORIGINAL: Ltonid

Не то ты сделал.
Попробую со скрина сделать.
http://radikal.ru/F/i069.radikal.ru/1001/2f/85873ef939c6.jpg.html - dll
http://radikal.ru/F/s002.radikal.ru/i198/1001/99/906717275e3e.jpg.html - handles

Вот в нижней табличке и надо искать заразу.

щас попробую
 
Post #: 22
RE: Решение проблемы скрытых файлов - 2010-01-19 17:02:20.240000   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
quote:

ORIGINAL: Ltonid

Не то ты сделал.
Попробую со скрина сделать.
http://radikal.ru/F/i069.radikal.ru/1001/2f/85873ef939c6.jpg.html - dll
http://radikal.ru/F/s002.radikal.ru/i198/1001/99/906717275e3e.jpg.html - handles

Вот в нижней табличке и надо искать заразу.

Брррррр как это сделать понять не могу все перетыкал.
Post #: 23
RE: Решение проблемы скрытых файлов - 2010-01-19 17:39:36.113333   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Жмешь Ctrl+L. Появиться панель. Щелкаешь на explorer.exe появиться инфа. Сначала это Handles. Щелкаешь на значек View DLLs (под словом Process) появятся dll. Если не разберешься кинь нам скрины. Зараза на 90% там.
Post #: 24
RE: Решение проблемы скрытых файлов - 2010-01-19 18:32:20.820000   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
Я так понимаю вот етот левый так как он выделен да? nmdfgds0.dll
http://s001.radikal.ru/i194/1001/4a/c446e9c25709.jpg
http://s001.radikal.ru/i196/1001/5d/c17f04e79a33.jpg
http://s005.radikal.ru/i212/1001/6a/69f3340e9ff6.jpg
http://s002.radikal.ru/i198/1001/5c/c3f2b1051860.jpg
Post #: 25
RE: Решение проблемы скрытых файлов - 2010-01-19 20:15:57.223333   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Да это он, странно что выделен, но это он, гугл подтверждает.
http://virusinfo.info/showthread.php?t=37593
Удалить можно через тотже autoruns, найти через поиск и снять галочку, потом удалить с диска. Есть и другие способы, но этот попроще.
Post #: 26
RE: Решение проблемы скрытых файлов - 2010-01-20 00:52:32.676666   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
Я опять как то не так ищю?((
http://s004.radikal.ru/i207/1001/83/df7321b12e7a.jpg
Post #: 27
RE: Решение проблемы скрытых файлов - 2010-01-20 07:42:40.020000   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666

quote:

ORIGINAL: Arxysha

Я опять как то не так ищю?((
http://s004.radikal.ru/i207/1001/83/df7321b12e7a.jpg

Нет, ты тут не причем. Ну давай два других метода.
Попроще.
1. Через безопасный режим.
Посложнее.
2. В ProcessExplorer правой кнопкой на explorer.exe выьрать restart. Он перезапуститься и посмотреть есть ли в нем данная dll. Если нет то идти и удалять.
Остались методы Unlocker и ему подобные, но зачем лишние программы.
Post #: 28
RE: Решение проблемы скрытых файлов - 2010-01-20 13:59:22.076666   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
1)Файл скрытый, а у меня даже в безопасном не видно их, так что удалить его не могу(точнее не вижу).
2)Тыкнул рестарт эксплорер перегрузился и снова с ним.
Как с помощью Unloker снести?
Post #: 29
RE: Решение проблемы скрытых файлов - 2010-01-20 14:17:25.443333   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
блин он же не видимый, я забыл извиняюсь.
Попробуй альтернативный просмоторщик типа тоталкомандер. там и скрытые увидишь.
Post #: 30
RE: Решение проблемы скрытых файлов - 2010-01-20 14:27:09.690000   
Onlineresource

Сообщений: 215
Оценки: 0
Присоединился: 2010-01-14 11:38:00.393333
Я бы посоветовал попробовать еще один вариант
Проблему решаем в два этапа.
1 - Скачай с сайта http://www.spywareterminator.com/ бесплатную утилиту и выполни полное spyware сканирование. Если чтонить найдет - хорошо(хотя врядле что то найдет) а если не найдет, нажми вкладку - программы которым эта утилита не доверяет, и просмотри каждую, устонавливал ли ты ее когданибудь или нет(там отображаются все проги даже скрытые) Если найдешь левую, прочти о ней в гугле и удаляй нафиг. Этап один завершен.
2 - Скачай отсюда http://www.kaspersky.ru/kaspersky_internet_security_downloads последнюю версию Kaspersky Internet Security 2010,
установи его, зарегистрируй пробную версию на 30 дней, обнови, проведи поиск уязвимости компьютера(в меню есть раздел), устрани все уязвимости и запусти на полное сканирование.


И еще, если ты используешь какиенибудь полезные кряки, патчи , кейгены и т.д. а терминатор их распознает как опасные, конечно на твое усмотрение, но гарантии что там нет вредоносного кода нет.
Post #: 31
RE: Решение проблемы скрытых файлов - 2010-01-20 18:14:34.850000   
Arxysha

Сообщений: 16
Оценки: 0
Присоединился: 2010-01-13 18:18:40.316666
quote:

ORIGINAL: Onlineresource

Я бы посоветовал попробовать еще один вариант(я совсем недавно столкнулся с подобной проблемой, и этот вариант мне помог)
Проблему я решал в два этапа.
1 - Скачай с сайта http://www.spywareterminator.com/ бесплатную утилиту и выполни полное spyware сканирование. Если чтонить найдет - хорошо(хотя врядле что то найдет) а если не найдет, нажми вкладку - программы которым эта утилита не доверяет, и просмотри каждую, устонавливал ли ты ее когданибудь или нет(там отображаются все проги даже скрытые) Если найдешь левую, прочти о ней в гугле и удаляй нафиг. Этап один завершен.
2 - Скачай отсюда http://www.kaspersky.ru/kaspersky_internet_security_downloads последнюю версию Kaspersky Internet Security 2010,
установи его, зарегистрируй пробную версию на 30 дней, обнови, проведи поиск уязвимости компьютера(в меню есть раздел), устрани все уязвимости и запусти на полное сканирование.

Незнаю, поможет ли это в твоем случае, но в моем подобном случае это помогло.
И еще, если ты используешь какиенибудь полезные кряки, патчи , кейгены и т.д. а терминатор их распознает как опасные, конечно на твое усмотрение, но гарантии что там нет вредоносного кода нет.

Вообщем всем огромное спасибо, скачал терминатор просканил им он нашел, но не удалил так как используется типа. Перезагрузил в безопасном, просканил, снес(отойдя от темы, этот терминатор снес еще и весь regedit и ctfmon, ладно у меня резервные были востановил обратно поставил все отлично стало). Загрузил в нормальном все стало гуд.
ЗЫ Ltonid отдельное спс за потраченное время.
ЗЫЫ Подскажите программу для востановления удаленых файлов с винта, и программу для копирования с дисков которые криво закатались(там говорят на маленькой скорости можно вытянуть с них).
Post #: 32
RE: Решение проблемы скрытых файлов - 2010-01-20 18:55:07.626666   
Onlineresource

Сообщений: 215
Оценки: 0
Присоединился: 2010-01-14 11:38:00.393333
Пожалуйста :) Рад что смог помочь.
Post #: 33
RE: Решение проблемы скрытых файлов - 2010-01-22 09:14:37.310000   
nikson2009

Сообщений: 3
Оценки: 0
Присоединился: 2010-01-21 09:11:49.830000
Мне помог скрипт, копируешь текст ниже, расширение ***.reg и после запуска всегда можно увидеть скрытые файлы, мне помогает:
 
REGEDIT4
;Mikhail Zhilin, aka mwz, MS MVP (2000..2009). Edited 08 Dec 08
 
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
 
[HKEY_CLASSES_ROOT\Folder\shell]
@=""
 
[HKEY_CLASSES_ROOT\Drive\shell]
@="none"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=-
"Hidden"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
  48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
  00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msinfo32.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="%windir%\Explorer.exe"
"Userinit"="%windir%\system32\userinit.exe,"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
"HideFileExt"=dword:00000000
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

Post #: 34
Страниц:  [1]
Все форумы >> [Первый вопрос] >> Решение проблемы скрытых файлов







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.