1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Свойства папки

Тема в разделе "Софт", создана пользователем Everwesss, 08.02.08.

  1. Everwesss

    Everwesss Активный участник

    7.833
    196
    ездил в гости в Волга-раст, и там поймал очень хитрый вирусок, называется Worm.Win32.AutoRun.clb

    состоит из файла amvo.exe и библиотеки amvo.dll, которую он кладет в винде в папку system32.
    еще один файл нашел в темпе.

    используя часто обновляемого касперя как лукарство, быстро расправился с этой напастью.

    однако ветка в реестре
    HKEY_USERS/../software/microsoft/windows/current version/explorer/advanced содержит параметр Hidden, отвечающий за отображение скрытых папок и файлов. И параметр этот ни через regedit ни через Свойства папки - показывать скрытые папки и файлы "не хочет" сохранять то, что мне нужно - то есть показывать.

    Так как вируса уже нет, я убрал его тело из автозагрузки, удалил его файлы, прошерстил комп в поисках прочих его кусков, то налицо дело в реестре, а конкретно - в политиках разрешения пользователям менять свойства проводника.

    Учетная запись на компе одна. одмина. да, каюсь.

    Подскажите, где найти эту ветвь реестра, которая отвечает за такой вопрос, как разрешение изменить свойства проводника.

    Благодарю.
     
  2. IvUs

    IvUs Активный участник

    13.197
    965
    Everwesss,
    А system restore не помогает?
     
  3. OpenBoy

    OpenBoy Активный участник

    21.849
    142


    Если в:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

    наидете СТРОКОВЫЙ параметр CheckedValue=1 удалите его и создаите там же параметр dword с тем же именем.
    После этого - проделаите то же самое с
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    Параметр hidden - удалите и заместо нег осоздаите такои же но nbg dword.

    Должно быть чтото вроде в результате: "Hidden"=dword:00000001

    Ну и перезагрузитесь после этого.

    добавлено через 1 минуту
    Обобщая - надо недопустить чтобы вышеописанные параметры были несвоиственных им типов СТРОКА, а были dword. Ну и соответсвенно - числовые значения должны быть после этого отредактированы.
     
  4. Everwesss

    Everwesss Активный участник

    7.833
    196
    вот тут как раз и была проблема. тут был в параметре DWORD значение 2. что значит не показывать.
    а через свойства папки меняется параметр в вестке реестра HKCU.

    поменяв эти оба параметра на 1, восстановил возможность свойств папки скрывать/отображать значки.

    Тему можно закрывать, однако она пригодится многим - я часто встречал жалобы людей на последствия вирусной атаки и невозможность менять отображение скрытых файлов после чистки системы.
     
  5. Litron

    Litron Активный участник

    26.121
    638
    хе, такая же трабла была, пока не увидел эту тему)
     
  6. reset

    reset Участник

    460
    23
    а на вид,там вроде солидные дяденьки-админы )))
     
  7. Everwesss

    Everwesss Активный участник

    7.833
    196
    не, я общался с менеджерами продаж Porsche.
     
  8. Ralf

    Ralf Активный участник

    9.190
    467
    еще частенько вирус может заблокировать редактирование реестра при этом. лечится так:
    1) пуск - выполнить - gpedit.msc
    2) конфиг пользователя - административные шаблоны - система
    3) находим параметр "Сделать недоступны редак-е реестра" - поставить "Отключено"

    готово.
     
  9. Litron

    Litron Активный участник

    26.121
    638
    ну вы хакеры блин :)
     
  10. Plus

    Plus Активный участник

    31.841
    3.554
    Everwesss,
    Скачиваешь антивирусную утилиту AVZ: http://z-oleg.com/secur/avz/
    Открываешь с помощью какого-нибудь Волкова Командера или ФАРа свои диски. Особенно хорошо это заметно по сменным дискам, (флэшкам). Смотришь, как называется файлы с заразой (типа uxdeiect.com) и идёшь в гугль с запросом вида: имя файла AVZ скрипт. Находишь текст скрипта (как правило, на форуме http://virusinfo.info/forum.php ) и выполняешь его в AVZ. Очень хорошо помогает - радикально. Полезно ещё раз проверить сменные носители - на них не должно быть не только этих файлов, но и мусорных корзин.
    Если не помогает эта утилита, то отсылаешь по адресу, указанному на http://virusinfo.info/forum.php свой карантин, и тебе присылают текст скрипта, который тебе поможет.
    Но, самой главное - предохраняйся! Отключи автозапуск сменных носителей. Чужие диски просматривай Волковым или ФАРом (найдёшь много интересного, поверь! Лично я на работу всяким му@@кам запарился чистить флэшки, да и компы. Откуда только заразу цепляют?
     
  11. Гость

    Гость Гость

    [ Отключи автозапуск сменных носителей. ]
    А как его отключить?
     
  12. Plus

    Plus Активный участник

    31.841
    3.554

    В текстовом редакторе (блокноте) набираешь или тупо копируешь текст:
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
    "AutoRun"=dword:00000000

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun]
    "NoDriveTypeAutoRun"=dword:000000FF

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoDriveTypeAutoRun"=dword:000000FF

    Сохраняешь файл под любым именем, но обязательно с расширением .reg например, antiautorun.reg Запускаешь его, перезагружаешь машину. Всё.
     
  13. OpenBoy

    OpenBoy Активный участник

    21.849
    142


    Можно в качестве альтернативы - отключить службу "Определение оборудования оболочки" (Правои кнопкои на "мои компьютер", выбрать управление в открывшемся меню, заити в управление службами , наити вышеописанную и двоиным шелчком вызвать окно настройки, тип щапуска - выключено, следом - кнопка СТОП.). После этого автозагрузка исчезнет совсем, как таковая.
     
  14. Everwesss

    Everwesss Активный участник

    7.833
    196
    Plus,
    эээээ, дружище, а что понимать под фразой "очень хорошо помогает" в контексте, когда мы запускаем в авз текст скрипта?..
     
  15. Plus

    Plus Активный участник

    31.841
    3.554
    Одновременно чистится реестр, убирается вся кака-бяка с дисков.
     
  16. Гость

    Гость Гость

    Еще необходимо почистить в корне дисков (вкл. съемные) файлы скрытые autorun.inf, это надо делать через проводник, отображающий скрытые файлы, причем открывать диски только в корне дерева ( а не нажатием на иконки).
    Потом выполнить отображение скрытых файлов (выше были рекомендации по рессетру) плюс не забыть удалить вирус из автозапуска (в HKLM/..../RUN)