|
Всех приветствую!
Сразу извинюсь, если пишу не в тот раздел - это и к "безопасности" подходит. Проблема простая: на компе вирус, который, кроме прочих "приятностей", при открытии браузера начинает в большом количестве загружать порно-сайты. Это неприятно (лично мне) всегда, да еще и комп на работе... Доктор Веб (версия, как обычно, криво взломанная, а потому информирует, но не лечит) находит вирусные файлы в TemporaryInternetFiles\Content.IE5\. И все бы, казалось, хорошо, но только в TIF (TemporaryInt...) этой папки нет! Вернее, она там есть (при клике на свойства папки TIF выдается "внутри 27 папок, 6** файлов", объем под 6 метров), но увидеть ни *из проводника, ни из "моего компьютера" папку Content.IE5 и все прочие вложенные не удается... Помогите, плиз! Чем это можно увидеть и как это можно удалить??? (и добавлю: галочки "показать скрытые файлы и папки" я проставила везде, где предлагалось... может, правда, есть еще какое-нибудь супер-секретное место?? ) |
Aurellla
Проще всего сказать эксплореру, что надо очистить временные файлы интернета. Нужно выйти на закладку Internet Options (можно по разному её найти, например запустить IE и сказать в меню Tools->Internet Options.) Там сказать Delete Files. |
Не помогает. Каждое утро товарищ за тем компом чистит все куки, все временные файлы - все! Но все возвращается... Да и у меня на глазах - я только-только почистила ВСЕ файлы (за исключением тех, которые не видны) в Temp.Int.Files, как буквально тут же снова возникли две штуки - явно вирусные.... (один exe-шник, второй htm-файл, к названии которого как раз какой-то из порно-сайтов и значился... удаление их не помогает...) Так все же - как увидеть невидимые папки?
|
Вам не приходит в голову, что надо сначала "выключить" вирус, а потом чистить за ним мусор? Иначе до пенсии временные файлы чистить придётся. Хоть Вы руками будете их давить, хоть через вкладку интернета.
Что касается входа в папки, "которых нет", я просто набиваю их имя в адресной строке IE. |
А вариант что стартовая страница IE снова загружет эти файлы в свой кэш не рассматривается?
"Невидимые папки" включаются через св-ва проводника - показывать скрытые и системные папки. а *насчет drweb *смотрите сюда [s]Исправлено: ilan, 13:19 27-07-2004[/s] |
Приходило... вопрос в том, где его найти.. Антивирусы находят несколько зараженных файлов в тех самых невидимых папках - и все!
Кстати о папках - спасибо Вам за совет! Открыться - открылись, вот только файлы из них не удаляются под предлогом "не удается удалить файл. не удается произвести чтение из файла или с диска". Сразу прошу меня извинить за, скорее всего, глупые вопросы... Но до сих пор, к счастью или, как теперь понимаю, к несчастью, меня вирусы обходили стороной... |
Guest
Надо посмотретьв списке процессов (ctrl-alt-del или ctrl-shift-esc) какие-нибудь подозрительные процессы и их убить.. потом можно будет удалить эти файлы.. Еще можно постмотреть в автозагрузке что запускается при старте системы... |
В общем, guest - это я, Aurellla.... а то пароль не приходит и нет времени с ним еще разбираться....
-> ilan Рассматривается... только, если честно, теоретически я это понимаю, а как практически справиться - не в курсе... Через свойства проводника эти папки тоже не показываются...=0( За ссылочку спасибки! :biggrin: :super: в списке процессов НИЧЕГО подозрительного нет...:weep: спасибо Вам за помощь! Все попробую! если что - вернусь опять сюда с бестолковыми вопросами... :shuffle: |
Это опять я... посмотрела - автозагрузку, запущенные процессы - все чисто... И тем не менее... Доктор Веб вообще ничего не находит - будто на компе вирусов нет. А загадочная папка, с которой все и началось - Temporary Internet Files отображает в проводнике по 30 вложенных папок Content.IE5, в каждой из которых (полагаю, это глюк и папка одна, а остальные что-то типа "галлюцинаций уставшего юзера" ;о) - когда удаляю в одной, удаляется во всех) осталось сейчас по восемь папок, в каждой из которых по файлу.. при попытке удаления каждый из файлов ругается, что либо недоступен сетевой путь, либо не удается произвести чтение - в общем, никакой возможности удалить... Подскажите, что это за висус и чем его лечить? (и как файлы удалить?)
|
Aurellla
Ну может, перегрузиться в сейф-мод и там посмотреть? А вообще, мне по-прежнему не нравится Ваша настойчивая идея-фикс удалять всё вручную. Отсюда и куча папок, которых нет, имхо. |
Я попробую... Вы знаете, если честно, мне она тоже совсем-совсем не нравится... тем более, что вручную оно не удаляется... просто я пока альтернативы не вижу... подскажите, пожалуйста, если можете....
|
Вариант первый: надо узнать название вируса (его вам очень любезно сообщает DrWeb) и найти таковой в хорошей вирусной энциклопедии (я бы порекомендовал Symantec Security Response на SYMANTEC.COM). Там же и будет подробно описано как эта сволочь работает, как его правильно лечить руками и как его правильно лечить с помощью антивируса. Дальше - дело техники.
Вариант второй: safe mode, установка нормально взломанного антивируса :biggrin: , полное сканирование, но это для терпеливых, да и помогает не всегда - в последнее время вирусы все хитрее и хитрее. В любом случае, я бы настоятельно порекомендовал после всего поставить Ad-Aware или что-нить подобное, а лучше NIS (Norton Internet Security), хоть он и жрет много ресурсов, и в настройке не прост, но работает качаственно. Но это уже на ваш вкус, можно обойтись и Ad-Awar-ом. |
Aurellla
Цитата:
насчет кэша IE - я им вообще не пользуюсь, но 5 папок все-таки есть - может это нормально?. не дает удалить скорее всего индексные файлы которые удаляются способом описанным hasherfrog |
->ilan
Может, и нет, только тогда само-вылезание "портал.тетки.ру" объяснить трудно... Стартовую страницу в "Сервис-опции" я менять уже замучалась. Может, есть какой-то более стабильный вариант ее замены?... если это написано в FAQ - не ругайтесь слишком громко... возможно, я это не заметила, когда читала... сейчас еще пойду искать... **************************** Файлы не удаляются и из safe-mode.. Я бы к ним и не приставала, но название "alicelove" одного из них меня настораживает - вряд ли нормальные виндовые файлы будут идти под таким названием... Кстати, а название файла com-arb-subject[1] никому ничего не говорит? Если кто знает - что это за файл? ***************************** ->scream wdk Спасибо за совет... А "жрет много ресурсов" - это реально много? А то просто тут и так компы тормозят как не знаю что (здешний ХР на "четверке" работает куда медленнее, чем домашний WinMe на "двойке") - я боюсь, вообще работать станет невозможно... Добавлено: Насчет стартовой страницы нашла! Так что один вопрос отпадает сам... |
Aurellla
Мне кажется, вот тут обсуждалось нечто подобное. Там есть некое решение (оно мне не очень, но за неимением лучшего...). Посмотрите. |
Вирусов-то может и нет, но вот наличие трояна весьма верятно. В общем, тема для Инф. Безопасности, а не для ХР, и ссылка hasherfrog'а в предыдущем посте вполне по делу. В той теме есть ссылки на ПО для борьбы с подобными проблемами.
Тему не закрываю и не переношу, однако прошу принять к сведению вышесказанное. |
Всем спасибо за советы!
Vadikan, вышесказанное к сведению приняла! :) Последний маленький вопросик: так стоит ли бороться с теми неудаляющимися файлами (с которых все и началось, собственно) или все же они безопасны? (ДокторВеб их как вирусные не определяет) |
эти файлы - место хранения всего что загружает IE из интернета (html странички, java-скрипты, картинки и т.д). А если эта страница уже открывалась - он даже может не качать ее из нета заново, а взять как раз из этого кэша...
если все-таки есть желание "извести" кэш - то можно выставить его размер в 1 мегабайт.. |
Aurellla
Вообще-то эти файлы больше всего смахивают на куки, созданные другими порнушными сайтами при отображение их страниц (на это наталкивает alicelove - это, оказывается один из монстров порноиндустрии). И всё-таки они должны убиваться. А их последующее появление объясняется только повторным заходом на подобный сайт. |
Цитата:
Цитата:
В Винде они не убиваются (см. чуть выше), может их как-нибудь в обход Винды можно? Из доса? или я глупость говорю? а если нет, то как туда попасть? (желательно не "чистый" дос, а нортон коммандер...:shuffle:) Цитата:
|
Вы, девушка, проявляете странное нежелание потратить час времени на проверку всего компа каким-нить KAV-ом, а в данном случае похоже хватит и Ad-Aware :oszone:
Я не в упрек, просто удивляюсь вашему терпению. ИМХО, в данном случае это типичная ситуация, когда нужно применить Ad-Aware, и раз и навсегда забыть про эту гадость, включив в нем Ad-Watch. |
Несколько мыслей по поводу.
1. Файлы из Temporary Internet Files при удалении не попадают в корзину. Нет ли у Вас какого-нибудь установленного Norton Protected Recycled Bin? Может, это он их держит? 2. Интересно, не могли ли как-то файлы попасть в System Volume Information в момент создания какой-нибудь системной контрольной точки. Тогда их как-то можно найти там. Но вообще-то бред. Надо ещё подумать, наверное, "мимо". 3. Скрытые, но "несистемные и нескрытые"папки. Может, Вы всё-таки ещё раз попробуете установить у папки Temporary Internet Files свойства, чтобы видеть системные файлы? Кроме того, Вы точно там смотрите? У каждого юзера свой "Temporary Internet Files". Может глаз "замылился" и Вы смотрите у одного, а удаляете у другого? Кроме того, если свойства папки показывают, что у неё внутри 5 папок, это не значит, что они лежат сразу на "следующем уровне вложенности". Они могут быть глубже, как раз в Content.IE5. 4. Свойства этих файлов. Проверьте, кому они принадлежат. Окройте папку Temporary Internet Files (но не поиском, просто в експлорере) и посмотрите их security-свойства. Может, у них владельцем кто-то с некорректным SID (хотя опять "мимо", наверное). 5. На крайняк. Есть у www.sysinternals.com программа FileMon, отслеживает какой процесс какой файл держит. Может, проверить, кому из работающих процессов/тридов эти файлы принадлежат? |
->scream wdk
Хотите - открою страшную тайну? :wink:*Проверяла! Установила Ad-Aware.. получила приличный список из кучи всяческих файлов типа burgain и пр. - если я не ошибаюсь, *здешний народ пытается таким образом прибавку к зарплате получить... :smile: Сносить не рискнула (задушат на месте!), а *реально подозрительного ничего не обнаружила... Поэтому умерила свои запросы к вам, уважаемые специалисты (я серьезно говорю, не надо, пожалуйста, думать, что издеваюсь...), до двух: надо ли удалять пресловутые файлы и как это сделать..:) -> hasherfrog 1. Нет, такого у нас нет... 2. Не подскажете, где это можно посмотреть? - чтобы уж знать на все 100% 3. Вообще, я уже проверяла и неоднократно, но попробую.. Я проверяла Temp.Int.Files у всех пользователей - так, на всякий случай... Такая бяка только у одного - которым все, в основном, и пользуются.. А насчет "замылился" - это, в принципе, очень возможно, потому что глаза реально - в кучку, но вот два дня подряд... - маловероятно... Да, я понимаю (насчет уровней вложенности), просто d этой папке, в свойствах которой указано "внутри 2* папок и 3* файлов" нет вообще ничего! (т.е. ничего видимого...) ни одной папки.. даже content.IE5... 4. У них в свойствах не сказано вообще ничего только размер - 0 байт. А все остальное неизвестно... 5. Пойду займусь реализацией "крайняка"...=0) Спасибо! Добавлено: ->scream wdk Хотите - открою страшную тайну? :wink:*Проверяла! Установила Ad-Aware.. получила приличный список из кучи всяческих файлов типа burgain и пр. - если я не ошибаюсь, *здешний народ пытается таким образом прибавку к зарплате получить... :smile: Сносить не рискнула (задушат на месте!), а *реально подозрительного ничего не обнаружила... Поэтому умерила свои запросы к вам, уважаемые специалисты (я серьезно говорю, не надо, пожалуйста, думать, что издеваюсь...), до двух: надо ли удалять пресловутые файлы и как это сделать..:) -> hasherfrog 1. Нет, такого у нас нет... 2. Не подскажете, где это можно посмотреть? - чтобы уж знать на все 100% 3. Вообще, я уже проверяла и неоднократно, но попробую.. Я проверяла Temp.Int.Files у всех пользователей - так, на всякий случай... Такая бяка только у одного - которым все, в основном, и пользуются.. А насчет "замылился" - это, в принципе, очень возможно, потому что глаза реально - в кучку, но вот два дня подряд... - маловероятно... Да, я понимаю (насчет уровней вложенности), просто d этой папке, в свойствах которой указано "внутри 2* папок и 3* файлов" нет вообще ничего! (т.е. ничего видимого...) ни одной папки.. даже content.IE5... 4. У них в свойствах не сказано вообще ничего только размер - 0 байт. А все остальное неизвестно... 5. Пойду займусь реализацией "крайняка"...=0) Спасибо! |
По поводу 4-го пункта. Включите показ security (вернее, отключите simple-показ)
Добавлено: Ещё вопрос, не совсем очевидный. У Вас пользователи локальные? Т.е. не получается ли, что тот профиль, который Вы регулярно чистите - "блуждающий", и при перезагрузке перетаскивается заново с домена всесте во всем барахлом. (Хотя этого не должно быть, в принципе-то). |
Извиняюсь за задвоенность предыдущего сообщения - гостевое сообщение исправить не могу. Зато пароль нашла, так что отныне и впредь я Aurella.
Файлы я посмотрю чуть позже (тот комп занят...):( А вот насчет Вашего вопроса... Хмм...Это из разряда "в предложении десять слов, три знаю, остальные - нет". *Если Вы говорите о локальной сети, то домена у нас нет точно. Если нет, то, боюсь, я вас не совсем понимаю... :durak: :weep: Хотя, насколько я понимаю, ответ все равно отрицательный - т.е. пользователи локальные. |
По поводу скрытых, системных и владельцев -
Откройте консоль (Пуск->Выполнить->cmd.exe) и скажите там: Код:
c: |
Удивитесь, наверное.... Сделала....cmd утверждает, что в папке единственный файл - desktop.ini, а глаза говорят обратное... кому верить???? :o :o :durak:
|
Откройте под Администратором "C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files". Уберите временно оттуда файлы (скажем, сделайте им кут, а паст куда-нибудь в c:\temp. Вернитесь в ""C:\Documents and Settings\TEMP\Local Settings\Temporary Internet Files". Спросите у эксплорера свойства папки. Думаю, теперь там будет пусто.
|
Нет, все также...
|
Ха, да тут ещё более запущено...
Выделите "C:\Documents and Settings\User\Local Settings\Temporary Internet Files". Скажите копи. Теперь сделайте паст в c:\temp. Посмотрите, что там лежит, в этой новой папке... Я даже не знаю, что с этим делать, надо подумать... [s]Исправлено: hasherfrog, 17:56 28-07-2004[/s] Добавлено: Вы знаете, Far все эти скрытые папки/файлы прекрасно видит, это эскплорер "маскирует" своё барахло. Судя по содержимому файлов, их не стоит удалять. Но можно попробовать., потому что при создании нового пользователя они же беруться откуда-то? Так что ставьте Far, и вперёд... Добавлено: Far Добавлено: Ёлы-палы, как же я затупил :lol: Просматривать эти файлы - dir /AS а не /AHS !!! И удалять их тоже можно прямо из консоли, указывая del файл /AS И никакого Far не надо :rotate: |
Вчера работой перегрузили - даже зайти сюда не успела...
Сегодня зашла... фар еще поставлю - надо все попробовать, но через cmd проверила - он эти файлы действительно видит, но удалять отказывается, поскольку "файл не найден"... :weep: :lol: :weep: :lol: :weep:.... .. - истерика уже... :smirk: |
охо-хо...
Я эту противную папочку удалял загрузившись в режиме командной строки... Это ещё жёстче, чем безопасный режим. ;) И также рекомендую вам пройтись по веткам реестра на предмет поиска всяких бяк в RUN, RUNONCE, Internet Explorer и т.д. |
| Время: 07:20. |
Время: 07:20.
© OSzone.net 2001-