Помогите с WinME

[Lacriss]

В Windows ME (v4.90.3) Есть как и в XP восстановление системы. Файлы складируются в c:\_restore. Итак проблема: засел троян, и система успела его кинуть в restore. AntiVir находит последнюю копию трояна (все остальные уже вычищены), а система не даёт его удалить поскольку типа системная защищённая папка. Как эту очень нехорошую службу вырубить? Весь help винды перерыл ничего не нашёл.

[arkasha]

Цитата: Сообщение от Lacriss В Windows ME (v4.90.3) Есть как и в XP восстановление системы. Файлы складируются в c:\_restore. Итак проблема: засел троян, и система успела его кинуть в restore. AntiVir находит последнюю копию трояна (все остальные уже вычищены), а система не даёт его удалить поскольку типа системная защищённая папка. Как эту очень нехорошую службу вырубить? Весь help винды перерыл ничего не нашёл.

Система не дает это сделать антивирусу или тебе самому?

[deepvic]

Она не типа защищённая, а на самом деле защищённая, потому как не позволяет себя удалить. Но можно удалить эти файлы из по ДОСа. Запустись с системной дискеты, и удаляй файлы из этой папки, удалиться и файл с вирусом. Удачи!!!

[Lacriss]

Цитата: Сообщение от arkasha Система не дает это сделать антивирусу или тебе самому?

Ни мне, ни антивирусу.

Цитата: Сообщение от deepvic Запустись с системной дискеты

Точно. Я как-то уже отвык с дискет грузиться, поэтому сразу не сообразил. Спасибо.

Троян я удалил. А саму службу восстановления как отключить-то?

[arkasha]

[IMG]http://img111.**************/img111/1554/capture6eh.jpg[/IMG]

Добавлено через 49 секунд
И еще, если у тебя антивирусник не удаляет файлы из \_restore, то в топку такой антивирусник!!!

[Lacriss]

arkasha, Проблема то с "Милениумом", а ты скриншот из XP вставляешь.
Думаешь я не знаю где в XP отключить восстановление системы?
А в "WinME" данной опции нет (точнее она наверное есть, но где???). А самое плохое, что нельзя поставить XP, потому что прога которой пользуются в организации под XP не фурычит.

[PEHDOM]

На самом деле можно отключить, когда у мя был милениум я ето делал тока не помню точно где. если щас найду где инсталяху поставлю под вмварью и покажу

[Lacriss]

PEHDOM Очень надеюсь на твой совет.

А ещё на этом компе возникла новая проблема: он вдруг стал виснуть (намертво) раз в два-три часа. Это остаточные явления от пребывания трояна? Есть какие-нибудь идеи? Железо проверил в первую очередь - оно в норме. Существуют ли какие-нибудь тесты для выявления неисправностей компа? Пока у меня только один вариант решения - придётся переустанавливать windows.

[PEHDOM]

я тут пока ставил ВинМЕ коечто нарыл у себя в доках помоему Lacriss будет интересно
Компонента System File Protection в Windows Me
(29) В Windows Me компонента System File Protection (SFP) предохраняет важные файлы приложений и операционной системы от несанкционированного изменения и удаления. SFP перед тем, как разрешить перезаписать/удалить отслеживаемый файл, производит его резервное копирование в папки Win\System\sfp\archive и _RESTORE\TEMP, затем проверяет версию и цифровую подпись в специальном каталоге (Win\System\CatRoot\...), и если она неверна, производит автоматическое восстановление.
Для того чтобы получать "всплывающие" уведомления при восстановлении файлов системой SFP, рекомендую в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\SystemFileProtection присвоить параметру "ShowPopups" значение 1.
Для отключения SFP (не желательно) можно в разделе реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\VxDMon
параметру "SystemFileProtection" присвоить значение "N". И не забудьте
перезагрузить ОС.
Полный протокол работы SFP можно найти в файле Win\System\Sfp\Sfplog.Txt.
А полный список защищённых файлов можно получить, если открыть в текстовом редакторе документ Win\System\Restore\FileList.Xml. Защищённые SFP файлы определены в начале списка между тегами <SFP> и </SFP>.

Компонента System Restore в Windows Me
(29) Компонента System Restore (SR) в Windows Me обеспечивает вместе с SFP сохранность не только важных файлов операционной системы, но и установленных приложений. Для этого автоматически каждые 10 часов работы или раз в сутки во время простоя ПК создаются системные "снимки" (restore points), которые представляют собой cab-архивы в каталоге _Restore\Archive, содержащие файлы реестра, системные конфигурационные ini-файлы, протокол Regsnapshot.Log.
"Снимки" также генерируются при авто-апдэйте системы или при выполнении установки ПО, использующего технологию Darwin (например, Office 2000).
Заботливый пользователь может выполнить и самостоятельное создание нового "снимка" (например, перед установкой приложения или редактированием реестра), используя для этого утилиту System Restore.
Кроме этого, Windows Me отслеживает изменения и удаления огромного количества типов файлов (более 500, в т.ч. INI, BAT, DLL, EXE), сохраняя их в каталоге _Restore\Temp, а затем перемещая без сжатия в FSx.CAB-архивы в каталог _Restore\Archive. Список расширений файлов, за которыми ведётся "слежка", можно найти между тегами < EXTENSIONS > в документе Win\System\Restore\FileList.Xml, а список каталогов между тегами < DIRECTORIES >. О назначении других управляющих тегов, таких как < Include > и < Exclude >, думаю, вы легко догадаетесь, заглянув (если знаний не хватает) в англо-русский словарь. Хотелось бы также обратить ваше внимание на упоминания в списке каталогов с указанием параметра PROT="TRUE". При работе в Windows удаление файлов из прописанных с такой опцией папок вообще невозможно. Список отслеживаемых файлов и каталогов можно при необходимости дополнять и модифицировать. Но так как FileList.Xml тоже защищён от изменения, редактировать его можно только загрузившись в "чистом" DOS'е с дискеты или CD. Чтобы внесённые изменения вступили в силу, необходимо также заново
"скомпилировать" файл VxDMon.dat из каталога _RESTORE, для чего в разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\VxDMon
нужно присвоить параметру "FirstRun" значение "Y" и перезагрузиться или
произвести операцию выключения/включения System Restore в Панели управления Системой (вкладка Performance -> File System -> Troubleshooting -> Disable System Restore). Там же, но на вкладке "Hard Disk", можно отрегулировать объём дискового пространства, отводимого под "снимки". Однако, как показывает опыт, необходимость использования System Restore для возвращения системы в стабильное состояние у аккуратных пользователей возникает редко. Во-первых, порча важных системных файлов маловероятна при включенной System File Protection. Во-вторых, восстановление реестра и системных ini-файлов можно произвести средствами утилиты Registry Checker, знакомой нам по Windows 98. В-третьих, сомнительному восстановлению испорченных библиотек нерабочих приложений с помощью SR опытные пользователи
предпочтут обычную переинсталляцию. Кроме всего прочего, System Restore заметно притормаживает систему, забивает "мусором" диски и выполняет свои функции даже в тех случаях, когда это совершенно не требуется. Например, при активной работе в популярном файл-менеджере Windows Commander его конфигурационный файл wincmd.ini, хранящийся на беду в каталоге Windows, будет резервироваться буквально каждую минуту (то же самое творится и со многими другими файлами). Это происходит из-за того, что SR отслеживает изменения любых ini-файлов в каталоге Windows, а wincmd.ini в процессе работы постоянно обновляется файл-менеджером. Если вы решили не отключать SR, то поместите wincmd.ini и подобные ему файлы в Exclude-раздел документа
Filelist.xml.