Путеводитель по сайту

Ложный файл подкачки, или «Кто, кто в теремочке живет?»

Netler.ru - Слово о ПК и PC, или Хроника рефлексирующего сисадмина

RSS: новые статьи сайта «Слово»·RSS: новые статьи сайта «Слово»

 

·Статьи

·О ПК и PC

·Страничка Настроения

 

·Find us on Facebook

·ВКонтакте

 

·SAPE.RU – покупка и продажа ссылок





 

 

 

 

***

При лечении зараженных ПК автор статьи часто обнаруживает в корневых директориях дисков C:\ и D:\ странную папку – filesystem.

Значком папки выбран стандартный значок, применяемый для Корзины Windows:

 

Ложный файл подкачки, или «Кто, кто в теремочке живет?»

 

 

В Проводнике Windows (даже при включенной опции Показывать скрытые и системные файлы) папка filesystem при открытии выглядит пустой.

Файловый менеджер Total Commander показывает следующее:

 

Ложный файл подкачки, или «Кто, кто в теремочке живет?»

 

 

Папка filesystem содержит 2 файла:

Desktop.ini (64 байт) с содержимым

[.ShellClassInfo]

CLSID={645FF040-5081-101B-9F08-00AA002F954E}

 

pagefile.exe (125 440 байт).

 

Исследование показало, что файл pagefile.exe является сетевым червем, «косящим» под файл подкачки.

 

Вирус pagefile.exe предназначен для 32-битной платформы ОС Windows с процессором x86.

Вирус распространяется посредством локальной, Глобальной и P2P-сетей, а также с помощью съемных носителей информации (флешек).

 

***

Как ликвидировать вирус и устранить последствия вирусной атаки

– в корневых директориях дисков (включая съемные) удалите папку filesystem (вместе с содержимым);

 

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe);

– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);

– закройте Редактор реестра;

 

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;

 

– для предотвращения повторного заражения отключите восстановление системы (или вручную очистите папку System Volume Information);

– очистите кэш интернет-файлов;

– перезагрузите ПК;

– включите восстановление системы.

 

 

Примечания

1. Настоящий файл подкачки имеет название pagefile.sys (по умолчанию расположен в корневой директории диска с операционной системой; имеет атрибуты Скрытый, Системный).

2. Файл подкачки (swap-file, paging-file) используется операционной системой Windows для хранения частей программ и файлов данных, не помещающихся в оперативной памяти. По мере необходимости Windows перемещает данные из файла подкачки в оперативную память (для их использования программами) и обратно (для освобождения места для новых данных).

Синонимы: своп-файл; свопинг-файл; файл виртуальной памяти.

3. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

4. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

5. Почаще делайте резервное копирование важной информации.

 

Валерий Сидоров

 

 

***

Дело о…

В поисках утраченного, или Как восстановить информацию?

Как восстановить данные с помощью программы WinHex?

Как избежать утраты информации?

Шреддинг, или Как удалить информацию без возможности восстановления?

Статьи о ПК и PC

Вирусы vs. антивирусы

Раскрывая тайны Windows…

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

 

 

Путеводитель по сайту


18+

© Сидоров В.В. 2015. All rights reserved.

При использовании материалов сайта «Слово» прошу указывать источник информации!