Скрытые файлы в проводнике Windows
На мой компьютер напал вирус. Всё началось с того, что перестали отображаться скрытые файлы. В Far я заметил исполняемые файлы semo2x.exe в корневых директориях всех дисков. Включить отображение скрытых файлов в проводнике обычным способом, Сервис — Свойства папки — Вид, не получалось. Покопавшись в интернете, я нашел достаточно данных, чтобы удалить вирус, однако проблема со скрытыми файлами осталась.
После небольшого изучения реестра и ряда экспериментов выяснилось следующее. Флажкам на вкладке «Вид» в «Свойствах папки» отвечают разделы реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder и HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced. Первый раздел содержит описания флажков и, в частности, значений, соответствующих отмеченным и снятым флажкам, а текущие положения флажков хранятся в параметрах во втором разделе.
На моей незараженной системе параметр CheckedValue в разделе HKLM\[...]\Explorer\Advanced\Folder\Hidden\NOHIDDEN, соответствующий тому, что скрытые файлы не показываются, оказался равным двойке, а параметр CheckedValue в разделе HKLM\[...]\Explorer\Advanced\Folder\Hidden\SHOWALL, соответствующий отображению скрытых файлов, был равен единице. Эти значения при изменении режима отображения скрытых файлов копируются в параметр Hidden, находящийся в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced. Как показывает практика, все файлы показываются, только если в этом параметре записано значение 1. Вирус же поменял параметры CheckedValue на 0 и 2 (вместо обычных 1 и 2). Нужное значение — единица — в параметр Hidden не попадало, и скрытые файлы не показывались ни при каких настройках.
Всё это можно использовать не только для борьбы с последствиями вирусной атаки, но и чтобы действительно спрятать от
Да, кстати, антивирус NOD32 без последних обновлений ничего по поводу данного вируса не сказал. Это еще раз показывает, что антивирус — не главное в деле защиты компьютера.
Комментарии
Оставьте свой комментарий