Сайт Романа ПарпалакаБлог20080209

Скрытые файлы в проводнике Windows

На мой компьютер напал вирус. Всё началось с того, что перестали отображаться скрытые файлы. В Far'е я заметил исполняемые файлы semo2x.exe в корневых директориях всех дисков. Включить отображение скрытых файлов в проводнике обычным способом, Сервис — Свойства папки — Вид, не получалось. Покопавшись в интернете, я нашел достаточно данных, чтобы удалить вирус, однако проблема со скрытыми файлами осталась.

После небольшого изучения реестра и ряда экспериментов выяснилось следующее. Флажкам на вкладке «Вид» в «Свойствах папки» отвечают разделы реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder и HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced. Первый раздел содержит описания флажков и, в частности, значений, соответствующих отмеченным и снятым флажкам, а текущие положения флажков хранятся в параметрах во втором разделе.

На моей незараженной системе параметр CheckedValue в разделе HKLM\[...]\Explorer\Advanced\Folder\Hidden\NOHIDDEN, соответствующий тому, что скрытые файлы не показываются, оказался равным двойке, а параметр CheckedValue в разделе HKLM\[...]\Explorer\Advanced\Folder\Hidden\SHOWALL, соответствующий отображению скрытых файлов, был равен единице. Эти значения при изменении режима отображения скрытых файлов копируются в параметр Hidden, находящийся в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced. Как показывает практика, все файлы показываются, только если в этом параметре записано значение 1. Вирус же поменял параметры CheckedValue на 0 и 2 (вместо обычных 1 и 2). Нужное значение — единица — в параметр Hidden не попадало, и скрытые файлы не показывались ни при каких настройках.

Всё это можно использовать не только для борьбы с последствиями вирусной атаки, но и чтобы действительно спрятать от кого-нибудь файлы, или чтобы подшутить над кем-нибудь.

Да, кстати, антивирус NOD32 без последних обновлений ничего по поводу данного вируса не сказал. Это еще раз показывает, что антивирус — не главное в деле защиты компьютера.

9 февраля 2008 года, 20:24     софт

Каникулы закончились Ctrl top4top.ru

Поделиться

Комментарии

#1. 7 февраля 2009 года, 17:34. пишет:
и че, при обновлении в SHOWALL он все равно ставит 0. =(
#2. 9 февраля 2009 года, 14:07. пишет:
Значит, вирус всё еще на компьютере. Удалите вирус, потом поправьте значения в реестре.

Оставьте свой комментарий

Ваше имя:

Комментарий:

Для выделения используйте следующий код: [i]курсив[/i], [b]жирный[/b].
Цитату оформляйте так: [q = имя автора]цитата[/q] или [q]еще цитата[/q].
Ссылку начните с http://. Других команд или HTML-тегов здесь нет.

Сколько будет 63+4?

Записи