Tmpfile1 в папке temp что это
Перейти к содержимому

Tmpfile1 в папке temp что это

  • автор:

Файл в папке temp

sven74

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

  • Уже зарегистрированы? Войти
  • Регистрация
Сайт
Активность
Магазин
Поддержка
Kaspersky Support Forum
  • Создать.

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.

Подозрительные файлы в папке temp, вопрос по userinit (заявка № 223038)

dima12s вне форума

Репутация

Junior Member Регистрация 20.06.2019 Сообщений 7 Вес репутации 18

Подозрительные файлы в папке temp, вопрос по userinit

Добрый день.
Прошу подсказать по нескольким вопросам.

Началось все после обновления firefox. Он начал при запуске выдавать окно запуска в безопасном режиме, открывал окна при нажатии на любую ссылку. Решил его удалить. В процессе удалял временные файлы из папки temp.
И вот при удалении выскочило окошко что папка ~nsuA.tmp являеться сетевой и общей (примерно не помню точно предложение). В итоге я удалил ее. На следующий день она снова появилась.

Внутри этой папки были два файла Un_A.exe и Un_B.exe
Не подумал их запаковать в архив и сохранить.

Провел полную проверку диска С с помощью Malwarebytes, AVZ, MSE. Результат — все чисто.

Вопрос что это может быть и что делать если снова появиться папка ~nsuA.tmp ?

При проверке DrWeb cureit я получил одно подозрение:
Userinit REG:SUSPICIOUS.UserinitCorrupted Registry\Machine\Software\Wow6432Node\Microsoft\Wi ndows NT\CurrentVersion\Winlogon\Userinit

После своей работы DrWeb удалил запятую после userinit.exe в этом ключе реестра.

Откуда второй вопрос так и оставлять или запятая там нужна, в общем я не понимаю.

У параметра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit, – стоит C:\Windows\system32\userinit.exe,

Зачем DrWeb удалил запятую у параметра из ветки Wow6432Node я не понимаю.

Остальные файлы я все прикрепляю как требуется.

Вложения

Вложения

  • CollectionLog-2019.06.20-20.43.zip (62.0 Кб, 2 просмотров)
  • FRST.txt (22.9 Кб, 1 просмотров)
  • Addition.txt (52.6 Кб, 1 просмотров)
  • hijackthis.log (8.7 Кб, 0 просмотров)

Будь в курсе! Будь в курсе!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

Anti-Malware Telegram

20.06.2019, 21:46 #2

Info_bot вне форума

Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация РепутацияРегистрация 11.05.2011 Сообщений 2,287 Вес репутации 378

Уважаемый(ая) dima12s, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность — пожалуйста поддержите проект.

21.06.2019, 22:06 #3

SQ вне форума

Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация РепутацияРегистрация 18.05.2012 Адрес Searching . Сообщений 12,843 Вес репутации 322

Касаемо работы антивируса DrWeb вам лучше обращаться в тех. поддержку.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O2 - HKLM\..\BHO: (no name) - - (no file) O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = - (no file)

Убедитесь пожалуйста, что в каталогах MySQL не присутствовали постороние библиотеки и файлы exe, иначе говоря, чтобы он не был взломан.

C:\ProgramData\MySQL\MySQL Server 5.6
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Start:: CreateRestorePoint: CloseProcesses: File: C:\Windows\system\HsMgr64.exe BHO: No Name -> -> No File Handler: skype4com - - No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [No File] FF Plugin-x32: @t.garena.com/garenatalk -> C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File] Folder: C:\ProgramData\SecTaskMan Folder: C:\ProgramData\Mozilla File: C:\Program Files (x86)\bb90ca74.tmp AlternateDataStreams: C:\ProgramData:gs5sys [2560] AlternateDataStreams: C:\Users\All Users:gs5sys [2560] AlternateDataStreams: C:\Users\Dima:gs5sys [3074] AlternateDataStreams: C:\Users\Все пользователи:gs5sys [2560] AlternateDataStreams: C:\ProgramData\Application Data:gs5sys [2560] AlternateDataStreams: C:\ProgramData\TEMP:77F07255 [111] AlternateDataStreams: C:\ProgramData\Templates:gs5sys [2560] AlternateDataStreams: C:\ProgramData\Шаблоны:gs5sys [2560] AlternateDataStreams: C:\Users\Dima\Application Data:gs5sys [2048] AlternateDataStreams: C:\Users\Dima\Cookies:gs5sys [3074] AlternateDataStreams: C:\Users\Dima\Local Settings:gs5sys [3074] AlternateDataStreams: C:\Users\Dima\Шаблоны:gs5sys [2048] AlternateDataStreams: C:\Users\Dima\AppData\Local:gs5sys [3074] AlternateDataStreams: C:\Users\Dima\AppData\Roaming:gs5sys [2048] AlternateDataStreams: C:\Users\Dima\AppData\Local\Application Data:gs5sys [3074] AlternateDataStreams: C:\Users\Dima\AppData\Local\History:gs5sys [3074] AlternateDataStreams: C:\Users\Dima\AppData\Local\Temp:$DATA​ [16] AlternateDataStreams: C:\Users\Все пользователи\Application Data:gs5sys [2560] AlternateDataStreams: C:\Users\Все пользователи\TEMP:77F07255 [111] AlternateDataStreams: C:\Users\Все пользователи\Templates:gs5sys [2560] AlternateDataStreams: C:\Users\Все пользователи\Шаблоны:gs5sys [2560] Reboot: End::

CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

Что такое временный файл и как удалить/восстановить TEMP-файлы

Если вы являетесь пользователем компьютера, вы, возможно, слышали о временных файлах. Давайте продолжим и узнаем больше об этих временных файлах, например, как назвать временные файлы, общие местоположения временных файлов, как удалить временные файлы и безопасно ли удалять временные файлы или нет.

В этой статье:

Что такое временные файлы?

что такое временный файл

Временный файл, также известный как файл temp или файл foo, — это тип файла, который создается для хранения любой информации или данных во время создания или изменения файла. Как только программа закрывается, этот временный файл больше не нужен и, следовательно, удаляется. Следовательно, мы можем сказать, что временные файлы используются для перемещения и хранения данных, помогают восстановить любые потерянные данные, управлять несколькими пользователями и управлять различными настройками. Когда вы запускаете или выполняете какую-либо задачу на своем компьютере, эти временные файлы создаются вашей операционной системой.

1. Использование временных файлов

Файл, который был создан самой программой для временной цели, является временным файлом. Существует множество причин для создания временного файла. Вроде, разбивать большие блоки данных или информации, чтобы сделать их управляемыми, выполнять межпроцессное взаимодействие или иметь временную резервную копию любых данных. Благодаря их расширениям «.tmp» эти временные файлы легко распознаются. Но помните, что эти расширения могут различаться в зависимости от программы или операционной системы, в которой они были созданы.

Некоторые хорошие примеры резервного копирования включают приложения Microsoft Office. Например, Microsoft Excel и Word всегда сохраняют временный файл, который связан с документом, открытым в данный момент. Это особенно полезно в случае внезапного сбоя компьютера или отключения питания. Как только компьютер восстанавливается, он спрашивает пользователя, закрыть или загрузить этот файл.

Этот временный файл регулярно обновляется. Временные файлы, сохраняемые некоторыми интернет-браузерами, называются временными интернет-файлами. Эти файлы содержат кэшированные данные о часто посещаемых сайтах. В результате эти сайты загружаются быстрее при повторном открытии.

2. Характеристики временных файлов

  • Временные файлы создаются операционной системой или программой, запущенной в данный момент
  • Эти файлы удаляются при создании постоянного файла
  • Временные файлы регулярно обновляются
  • Временные файлы обычно имеют расширение «.tmp»

Где находятся временные файлы?

расположение временного файла

Расположение временных файлов различается в зависимости от программы и операционной системы, которые их создают. Например, в Microsoft Windows всегда находится временный каталог. Если говорить о старых версиях Windows, то использовался каталог С:\Windows\Temp. Поскольку, в новых версиях Windows есть папка AppData, в которой хранится временный каталог.

На компьютере Mac временные файлы хранятся в папке Cache, доступ к которой можно получить через Finder > Переход > Переход к папке > ~/Library/Caches/.

Некоторые программы не используют временный каталог операционной системы. Вместо этого временные файлы у них хранятся в папке «Programs».

Удалить временные файлы на ПК с Windows

  • Шаг 1: Первым шагом является открытие диалогового окна Выполнить независимо от используемой версии Windows. Для доступа к команде «Выполнить» вы можете использовать сочетания клавиш WIN + R.
  • В Windows 10 выберите окно поиска Cortana, которое находится справа от кнопки «Начните» на панели задач.
  • Если у вас Windows 8.1, нажмите и удерживайте кнопку «Начните» или щелкните правой кнопкой мыши кнопку «Начните». Затем выберите «Выполнить».
  • В версии для Windows 8.0 откройте экран приложений и коснитесь «Выполнить».

открыть временный файл

  • Шаг 2: В диалоговом окне Выполнить введите C:\Users\[имя пользователя]\AppData\Local\Temp команда. Эта команда представляет собой переменную среды.
  • Шаг 3: Теперь выберите папки и файлы в папке Temp, которые вы хотите удалить. Если вы не хотите сохранять никакие файлы, вы можете выбрать все для удаления.

выбрать временный файл

  • Шаг 4: Используйте клавишу Удалить, чтобы удалить все выбранные файлы и папки. Для этого вы можете использовать кнопку «Удалить» из Главного Меню.
  • Шаг 5: Если вы получили предупреждение о том, что файл или папка в данный момент используются, вы можете выбрать параметр Пропустить или закрыть активные файлы и нажать Попробовать еще раз.

пропускать временный файл

  • Шаг 6: Теперь подождите, пока завершится удаление. После завершения процесса вы увидите пустую папку Temp.
  • Шаг 7: Временные файлы отправляются в корзину. Вы можете удалить их навсегда, очистив Корзину.

удалить временный файл в windows

Подтвердите, что вы хотите удалить файлы. Временные файлы будут безвозвратно удалены из вашей системы в мгновение ока.

Удалить временные файлы на Mac OS

Вы можете либо потратить время на удаление временных файлов на вашем Mac вручную, либо использовать программу, такое как MacKeeper или CleanMyMac, чтобы удалить их более эффективно. Вот руководство о том, как вручную находить и удалять временные файлы на Mac:

  • Шаг 1: Закройте все работающие приложения. Должным образом вы можете принудительно завершить все, что не закрылось.

закрыть используемые приложения

  • Шаг 2: Открыть Finder в macOS и в строке меню нажмите Переход >Переход к папке.
  • Шаг 3: Введите ~/Library/Caches/ в папке и нажмите Переход. После этого отобразятся все кэши и временные файлы, хранящиеся на вашем Mac.

перейти в папку кеша Mac

  • Шаг 4: Выберите временные файлы, которые необходимо удалить, и перетащите их в корзину Mac. При желании вы можете щелкнуть выбранные файлы правой кнопкой мыши и выбрать Переместить в корзину.

переместите временные файлы в корзину Mac

  • Шаг 5: Наконец, очистите корзину Mac, чтобы удалить временные файлы с компьютера Mac.

Очистка начинается и завершается в течение нескольких минут, и вы получаете свободное место на своем Mac в мгновение ока.

Насколько безопасно удалять временные файлы?

Да. Временные файлы можно безопасно удалять. Эти файлы предназначены для временного хранения данных и информации. Они не полагаются на хранящуюся в них информацию. Однако если ваша программа все еще работает или находится в процессе создания или изменения, удаление временного файла может привести к ошибкам. Чтобы избежать подобных ошибок, большинство программ блокируют и защищают свои временные файлы, что предотвращает их удаление.

Обычно, когда операционная система или программа создает временный файл, он автоматически удаляется после закрытия программы, которая использует этот временный файл. Однако, если программа была закрыта, а временный файл все еще существует, вы можете безопасно удалить эти файлы, используя описанную выше процедуру.

Кроме того, если вы удалили временный файл и он вам снова понадобится, откройте программу, и временный файл будет воссоздан.

Как восстановить удаленные временные файлы

Будет неприятно, если вы по ошибке удалите временный файл. Его очень легко вернуть, если вы не удалили его из корзины или мусора. А если вы уже очистили корзину? Не волнуйтесь, вы все еще можете восстановить безвозвратно удаленные временные файлы с помощью приложения для восстановления данных, такого как Wondershare Recoverit.

Recoverit Восстановление Данных — это профессиональный инструмент для восстановления систем Windows и Mac, который в 2022 году был удостоен награды G2 как «Лидер программного обеспечения для восстановления данных». С помощью запатентованной технологии он поддерживает восстановление более 1000 типов файлов и обслуживает более 500 реальных сценариев потери данных. Загрузите и установите его, после чего вы сможете быстро восстановить свои временные файлы, выполнив 3 простых шага.

Как определить, каким приложением занят файл

Я просматривал рабочий календарь, когда почтовая программа Outlook 2010 внезапно сообщила об ошибке и закрылась. После перезапуска она не смогла открыть OST-файл, и сегодня я расскажу, как решил эту проблему за три минуты.

При запуске программа выдавала такую ошибку:

Как определить программу, использующую файл

На работе у меня ОС и программы с английским интерфейсом, поэтому я приведу эквивалентный текст ошибки из русской версии Office.

Выполнен выход из Microsoft Outlook без правильного закрытия файла данных Outlook. Необходимо перезапустить Microsoft Outlook. Если ошибка повторится, обратитесь в службу поддержки.

Сообщение не блистало информативностью, а запуск почтового клиента в безопасном режиме, удерживая нажатой клавишу Ctrl , ничего не менял.

Я открыл папку программы и запустил диагностическую утилиту scanpst.exe. Она не смогла исправить проблему, но задала конкретное направление для поиска.

Как определить программу, использующую файл

Суть сообщения сводилась к тому, что OST-файл занят каким-то другим приложением, что и являлось препятствием для Outlook. Вы уже догадались, какую утилиту я запустил дальше?

В Process Explorer я нажал Ctrl + F и ввел в поиск .ost. В результатах немедленно отобразился «захватчик». Щелкнув по нему, я перешел в нижнюю панель Process Explorer и выбрал в контекстном меню команду Close Handle.

Это решило проблему! Почтовая программа запустилась нормально, и я вернулся к работе.

Что делать, если веб-камера используется другим приложением

В комментариях читатель Игорь задал вопрос, можно ли использовать Process Explorer, чтобы определить, какое приложение использует веб-камеру. Да, процесс аналогичный, но искать нужно:

Я в курсе, что существует Unlocker, но его надо было еще скачать, а утилита Process Explorer находилась под рукой. К тому же, мораль записи не только в этих двух программах. Ведь прежде чем применять их, нужно было выйти на причину проблемы.

Upd. 11-Мар-13. Хотелось бы дополнить заметку моментами, всплывшими в ее обсуждении:

  • Если ничего нет под рукой, можно попытаться переименовать файл. Проводник может подсказать программу, использующую его.
  • В Windows 7 и выше можно воспользоваться встроенной программой «Монитор ресурсов» (resmon), где на вкладке CPU есть поиск дескрипторов.
  • Утилита NoVirus Thanks FileGovernor (описание)
  • Утилита NirSoft OpenFilesView (работает с ограничениями на х64).

А вам приходилось использовать Unlocker или Process Explorer в подобных ситуациях? Напишите в комментариях, какую из утилит вы применяли и в чем была проблема!

Метки: sysinternals, диагностика Информация в статье применима к Windows 7 и новее

Об авторе

Вадим — владелец этого блога, и почти все записи здесь вышли из-под его пера. Подробности о блоге и авторе здесь. Поддержать автора вы можете тут.

Вас также может заинтересовать:

  • Как с помощью Process Monitor или аудита отследить приложение, изменяющее параметры реестра
  • Как удалить неудаляемый файл или папку
  • Что мешает Windows уйти в сон
  • Удаление программ из консоли и простой пример мониторинга реестра
  • Как работает история файлов в Windows
  • 10 лучших бесплатных программ для быстрой диагностики Windows
  • [видео] Process Monitor: как отследить приложение, записывающее непонятные файлы на диск

Я в Telegram

Подпишитесь на канал и читайте интересные записи чаще! Есть вопросы? Задайте их в чате.

комментарий 91

Тоже ничего.

Интересная программа. Показала, что процесс System (после бэкапа на внешний жёсткий диск) держит открытыми файлы метаданных из папки \$Extend и \System Volume Information. Однако как закрыть эти файлы и безопасно извлечь диск, непонятно.
»

Попробуйте аккуратно, двумя пальцами 🙂

Попробуйте аккуратно, двумя пальцами 🙂 »

Спасибо за дельный совет! 🙂
Upd: Process Explorer тоже показывает открытые файлы и токены при поиске по имени диска.

Соответственно, корректно завершив данное приложение, или выгрузив его, доступ к файлу имеется.К Process Explorer пока себя только приручаю.
»

К сожалению это поможет только в случаях если приложение использует только этот файл, а если например это тот же проводник или какая-нибудь системная служба… да пусть будет тот же svchost (один из запущенных), в этом случае убивать его, использующего в данный момент еще сотню файлов — слегка неправильно 🙂 Пользуюсь обеими программами, Unlocker когда надо удалить пачку файлов, реже папок, потому что доступен в контекстном меню, соответственно — хоткеи. Когда же надо не столько разблокировать, сколько именно разобраться, что и чем заняло нужный файл/папку, однозначно — Process Explorer.

ЁжЫГ,
да, про заблокированные устройства
а так же… ну там, потоки и прочую метафизику я как-то забыл :-[

Для таких целей мне удобно использовать handle.exe от Sysinternals (
http://technet.microsoft.com/en-us/sysinternals/bb896655.aspx). Правда, в чистом виде утилита не слишком удобна (требуется работать с командной строкой), но вместе с Far Manager, например, меня полностью устраивает. Для достижения этого удобства в пользовательское меню Far Manager (которое вызывается по F2) нужно добавить новый пункт. Например, так:
Горячая клавиша: F2
Метка: Handle — кто посмел файл трогать?
Команды:

handle.exe -u "!\. " > "!\_. handle" notepad "!\_. handle" ping 127.0.0.1 -n 1 > nul del /q "!\_. handle"

Теперь в Far Manager достаточно поставить курсор на нужный файл и дважды нажать F2. В результате в блокноте будет открыт текстовый файл, в котором можно увидеть искомый список процессов. Помимо самих процессов также можно видеть и имена пользователей, от имени которых эти процессы запущены (особенно полезно при работе на серверах терминалов).
Текстовый файл удаляется после небольшой задержки, поэтому никаких следов не остается. Да, забыл упомянуть: сама утилита handle.exe при этом должна находиться в зоне досягаемости (например, можно скопировать ее в системный каталог Windows или прописать путь к ней в переменной среды %PATH%).

В принципе, это консольная вариация использования Process Explorer. Может, это и удобнее, если вы делаете такое каждый день, но для разовой диагностики многовато телодвижений 🙂

Последнее время использую для решения подобных задач утилиту KillSwitch.Производитель-Comodo.Не думаю что это панацея от всех болезней….Но в некоторых моментах,пожалуй,она превосходит,вышеупомянутый Process Explorer.
http://s020.radikal.ru/i713/1304/a6/50c334997f24.jpg

Тоже проблема с камерой (встроенной) -> в скайпе написано «занята другим приложением». Process Explorer выдаёт 12 процессов System [type: SymbolicLink]. Закрыть их не удаётся. Не подскажете, в чём может быть проблема. (При установке системы камера работала помнится.)
Скриншот:
http://i47.fastpic.ru/big/2013/0502/e3/68f4efbd123521023e6843b0b0d228e3.jpg

Двойной щелчок по результату должен показать процесс в нижней панели Process Explorer.

Tут нет сторонних процессов, поскольку все хэндлы в списке относятся к веб-камере, концентратору USB и кард-ридеру Realtek. Попробуйте отключить последний, проверьте работу камеры в Skype в безопасном режиме.

Отключил кард-ридер в диспетчере устройств и
камера заработала сразу без перезагрузки.
Большое спасибо.
Даже в голову не пришло, что под #vid
может быть что-то, кроме камеры.

Рад за вас.

Даже в голову не пришло, что под #vid
может быть что-то, кроме камеры.

Открываете Google, вводите туда VID_xxxx&PID_xxxx, где хххх — цифры из списка. Сразу все станет ясно.

Кир Ермин07.02.2015 в 19:38

Здравствуйте.
Следующий вопрос: не могу переименовать папку, поиск в Process Explorer сначала напомнил мне, что содержимое стоит на раздаче торрентом, но после прекращения раздачи и проверки, что процессов, использующих папку, больше не обнаруживается, ситуация не поменялась.
Не могли бы объяснить, в чём может быть дело? Почему-то приложение не обнаруживает использующий папку процесс, или дело в чём-то другом?

Вы забыли указать ОС и рассказать, что происходит при попытке переименования. Но если РЕ не видит процессов, вопрос не связан с этой статьей. Обратитесь в форум OSZone, например, /режим телепата включен/ в тему Ошибка «Элемент не найден» при переименовании/перемещении папки /режим телепата выключен/

  • Кир Ермин08.02.2015 в 12:34

7ка 32х, происходит именно то, что «папка или файл используется другой программой».
Поскольку я уже перезапустил систему и переименовал, вряд ли удастся проверить, что это могло быть. Но контекст ситуаций был такой: в папке с названием на кириллице находился скачанный образ диска, этот образ был смонтирован в виртуальный привод и запускался оттуда. При этом ничего не происходило (в диспетчере задач тоже никакого процесса, связанного с запуском не заметил) , я связал это с наличием кириллицы в пути к образу. Тогда и попытался переименовать с указанным результатом. После перезагрузки, переименования и установки PhysX дело пошло.

Здравствуйте Вадим! А вот как определить процесс, если этим процессом является драйвер? Unlocer пишет, что процесс не блокирован, но удалить, переместить, переименовать файл можно только при перезагрузке. Ни Process Explorer, ни другие утилиты не пишут каким процессом занят файл, если этим процессом является какой-нибудь драйвер. Я уже знаю, допустим, если файл не удаляется, и никакие утилиты не показывают каким процессом занят файл, значит во всем виноват какой-то драйвер. Я уже по этому поводу хотел писать на форум OSZone, но встретил Вашу статью, правда поздновато, уже 3 года прошло с 2013-го. Так есть или нет какой-нибудь способ определить такой драйвер?

А зачем вам удалять файлы, которые использует драйвер? Kакая в этом практическая необходимость? Что вы пытаетесь удалить и зачем?

Вадим, у меня нет мыслей удалять файлы, которые использует драйвер.
Но вопрос чисто теоретический, как определить, если файл используется драйвером, то какой именно драйвер его использует?
Как вычислить этот драйвер?
Ведь это может быть драйвер, установленный вредоносной программой.

Алексей, я предпочитаю практические вопросы, когда есть от чего отталкиваться. Ваш теоретический пример с вредоносными программами тоже не годится, так никто не лечит.

Извини Вадим, может я не так выразился. Просто методик определить, каким процессом занят файл, если этот процесс *.ехе полно.
Но я не встречал ни одной методики как определить, каким процессом занят файл, если этот процесс драйвер. Неужели никак не определить такой драйвер, который блокирует какой-нибудь файл .

Алексей, в последний раз предлагаю вам привести конкретный пример.

Вадим, извиняюсь, что так долго не отвечал, не было примера, а ты просил конкретно. То, о чем я писал, я писал на память, что такие файлы в папке «C:\Windows\Temp» создает один из драйверов Kaspersky Cristal. Но на тот момент у меня уже стоял Kaspersky Free, который таких файлов не создает. Обратные перестановки ради примера я тогда делать не стал. Но вот появился еще один пример. В папке «C:\Windows\Temp» появился фай «TmpFile1».
Удалить его ничем не возможно.
Определить, какая программа его создает, тоже не получается, потому что его создает не программа, а драйвер. И этот драйвер был найден, но не программными средствами, а методом тыка, путем гугления проблемы, путем проб и ошибок. Это драйвер aksdf.sys:
— Description: Aladdin Data Mini-Filter Driver
— ImagePath: C:\Windows\system32\drivers\aksdf.sys
— Start: 2 — это автозагрузка (0 — загрузочный, 1 — системный, 2 — автозагрузка, 3 — вручную, 4 — отключен) Короче, с какой-то программой, даже не знаю какой, установился алладиновский драйвер защиты (Driver Sentinel HASP). Если проделать операции «Диспетчер устройств >>> Вид >>> Показать скрытые устройства >>> Драйверы несамонастраиваемых устройств >>> aksdf >>> Свойства >>> Драйвер >>> Остановить», то файл «C:\Windows\Temp\TmpFile1» сразу же исчезает, но при включении драйвера он сразу же появляется опять. Вот тогда я и спрашивал Вас Вадим, а как определить каким приложением занят файл, если этим приложением является драйвер?

Спасибо Вадим за совет. Я уже и сам начал думать, что драйвер – это системный процесс, и сторонних утилит, способных копаться в системных процессах, практически нет. Помочь моли бы Microfoft (а оно ей надо) или Марк Руссинович, и тоже подумывал об утилите Process Monitor. Ваше видео (об отслеживание файловой активности) и видео Василия Гусева (о настройке запуска загрузки программы одновременно с загрузкой ядра Windows), помогли грамотно настроить Process Monitor, который быстро выловил виновный драйвер. В стеке оказалось 4 программы: Ntoskrnl.exe, aksdf.sys, fltMgr.sys, ntfs.sys. Получается, что ядро системы Ntoskrnl.exe грузит драйвер защиты Sentinel HASP aksdf.sys, он дает команду на создание файла C:\Windows\Temp\TmpFile1 драйверу фильтра файловой системы fltMgr.sys, а то уже передает эту команду конкретно исполнителю, драйверу файловой системы NTFS ntfs.sys. Еще раз спасибо Вадим, вроде бы с этим вопросом разобрался.

Алексей, рад, что у вас все получилось. И это было несложно 🙂

Навигация по комментариям

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *