Что еще, кроме вируса, будет продолжать включать «Показывать скрытые файлы» в WinXP

3391
LachlanG

У меня есть пара машин, на которых недавно были вирусы, и, скорее всего, они сохранились.

Я запускал Norton AV, Radix RootKit Remover, Sophos Rootkit Remover, Spybot, Ad-Aware, CA Antivirus Plus, AVG, AntiVir, SysInternals Rootkit Revealer, и никто из них не может найти больше гадостей на этих машинах.

Я даже вынул жесткие диски, вставил их в корпус USB-накопителя и отсканировал их с другой машины, свободной от вирусов. Еще ничего.

Однако настройка Windows «Показать скрытые файлы / папки» продолжает включаться. Вы выключаете его, нажимаете OK и сразу же снова включаете.

Я отслеживал параметр реестра для параметра с помощью SysInternals RegMon, и это показало, что параметр сбросился с помощью explorer.exe, как только я изменил его вручную.

Как я уже сказал, я вполне уверен, что на этих машинах все еще есть какой-то подлый вирус или руткит, но сейчас я исследую удаленную возможность того, что вирусы исчезли, и что-то еще сбрасывает настройку «Показать скрытые файлы». ,

Какие-либо предложения? Я бы очень хотел избежать переформатирования этих машин.

1
какой ключ реестра? Есть 3, которые занимаются этим. John T 14 лет назад 0
Я наблюдал и увидел, что HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Скрытое изменение вернулось после того, как я изменил его с помощью Dlg «Параметры папки». LachlanG 14 лет назад 0
Вы можете попытаться изменить списки ACL для этих разделов реестра, чтобы запретить доступ, чтобы их нельзя было изменить после того, как они получили свое значение. Лично я сомневаюсь, что вирус когда-нибудь включит этот параметр *. Отключение будет более вероятным выбором для вредоносных программ. Joey 14 лет назад 0

2 ответа на вопрос

3
John T

Вы также можете отслеживать эти записи реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

а также

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Небольшое исследование показывает много вирусов, которые вмешиваются во все 3 записи реестра. Вполне вероятно, что в вашей системе еще что-то есть. Лично я не чувствую себя в безопасности, используя ОС после ее взлома, даже если сканер обнаруживает много вирусов и успешно удаляет их, кто знает, что осталось позади? Если это вариант (даже если вы предпочитаете не делать этого), я бы посоветовал вам выполнить чистую установку. Сразу после установки всех необходимых программ и драйверов создайте резервный образ с помощью Acronis True Image или Norton Ghost, к которому можно вернуться. Я бы также предложил часто обновлять указанные резервные копии.

Ты уверен в этих двух ключах? Я сейчас смотрю на другой незараженный ПК WinXP, а их нет. LachlanG 14 лет назад 0
Если их там нет, вы можете их создать. Но они должны быть, они в моей системе. John T 14 лет назад 0
Все действительные предложения, я желаю, чтобы друзья / члены семьи, которые владеют этими машинами, следовали за ними. LachlanG 14 лет назад 0
1
JFV

Сколько работает файл explorer.exe? Если их больше одного, то я был бы уверен, что в системе все еще есть что-то.

Даже если есть только один файл Explorer.exe, попробуйте убить все файлы Explorer.exe в диспетчере задач и снова запустить его. Тогда посмотрите, случится ли такая же проблема.

-JFV

Похожие вопросы