1 раз сталкиваюсь с такой проблемой !! комп пишет Файлы нужные для правильной работы Windows были заменены неизвестными версиями !! Кнопка отмена недает результата( окошко опять появляется ) Подскажите Пожалуйста как избавиться от зловредного ОКОШКА !!! |
|
Не надо только отключать систему защиты файлов. |
|
неисключен что прог всяких наставил, они любят системники менять |
|
Ага пользуясь темой, задаю вопрос у типа ком виснуть стал не схуя, игры * него тормозят и так далее , нет лишних процесов антивирь и спайвере молчит что делать? винду менять напряг |
|
а команда SFC будет заменять файлы если да то будет ли она спрашивать заменить или нет.и второе возможно ли такое что она что нить там заменит что все пойдет по 3.14зде.то есть слетят все предыдущие настройки или просто винда не запустица |
|
абсолютно согласен с Patri0t на компьютере у eminem происходит какая-нить ерунда связанная с возможными исполнениями вирями а вдоль дороги мертвые с косами стоят!!! ‘:D’ |
|
Dimentor Guest |
#7 Это нравится:0Да/0Нет 21.02.2006 10:21:38
Винда запустится точно, а вот программы, которые изменили системные файлы, не гарантировано. |
||
patri0t писал неисключен что прог всяких наставил, они любят системники менять Да так и есть !! СТОИТ Windows XP на нее поставлен OFFICE 97 !!!! ( так как машина слабая ( 300 Mh )) короче на ХП поставил все старые проги!!! !!!! Вирус ИСКЛЮЧЕН !!! антивирь все проверил !! Как быть |
|
проблемы решатся ЕСЛЕ я файлик sfc.exe удалю !!???? |
|
Прежде чем удалять почитай здесь |
|
вообще это окошко, то что ты в начале писал, это впринципе я так понимаю предупреждение, |
|
КТо подскажет как найти в реестре это предупреждение??? и удалить |
|
Удалил файлик SFC.EXE а он гад тут же воспроизводится !!! |
|
patri0t Guest |
#15 Это нравится:0Да/0Нет 24.02.2006 17:54:39
это системная утилита. удалять ее небезопасно |
||
По-моему, все дело в кривом кряке! |
|
komun1st Guest |
#17 Это нравится:0Да/0Нет 28.02.2006 18:43:02 В хрени есть такая замечательная функция как восстановление. Вставляешь в привод win. Грузишься с него. Он у тебя находит уже восстановленную винду и жмешь R. Он прогоняет тебе все файлы винды заново (восстанавливает) и сохраняет ностройки винды и усстановленные проги |
#1
Denis Nikolayev
-
- Posters
- 461 Сообщений:
Member
Отправлено 21 Сентябрь 2010 — 07:57
Здравствуйте. Последнее время на нескольких компах в сети выскакивает сообщение «Файлы, нужные для работы Windows, были заменены неизвестными версиями». Причем выскакивает часто, даже если жмешь сохранить неизвестные версии файлов. Отключение параметра в реестре SfcDisable (нашел в инете, что для этого параметр ему нужно установить ffffff9d)не помогло, т.е. после перезагрузки сообщение выскакивает снова. Может вирус какой? Если кто сталкивался, буду рад помощи
- Наверх
#2
Hizhin Maxim
Hizhin Maxim
-
- Posters
- 15 Сообщений:
Newbie
Отправлено 21 Сентябрь 2010 — 08:24
Поддерживаю! Проблема актуальна. С самого утра началось такое.
- Наверх
#3
Ko6Ra
Ko6Ra
-
- Posters
- 3 308 Сообщений:
Supporter
Отправлено 21 Сентябрь 2010 — 09:35
Что может объединять эти события? Апдейта винды не было?
ыЫ
- Наверх
#4
drago_782
drago_782
-
- Posters
- 23 Сообщений:
Newbie
Отправлено 21 Сентябрь 2010 — 09:38
+1. С утра. вылезло даже на неперезагружаемых машинах.
Подозрения что это натворил сам доктор веб, потому что вылезло только на компах с ним. На компьютерах на которых антивирь агент не стоит (и инета тоже нет, под фарволом), данного косяка не наблюдается.
сеть 20 компов с антивирусным сервером, лицензия сервер+15 компов.
- Наверх
#5
drago_782
drago_782
-
- Posters
- 23 Сообщений:
Newbie
Отправлено 21 Сентябрь 2010 — 09:46
Винда не обновляется НИГДЕ, никогда. были после их обновлений проблемы, давно. Обновления отключаю всегда сразу.
обновляется только антивирус, и фарфокс (где ему разрешено).
- Наверх
#6
Ko6Ra
Ko6Ra
-
- Posters
- 3 308 Сообщений:
Supporter
Отправлено 21 Сентябрь 2010 — 09:46
Ждем всех в техподдержке.
Сразу приложите логи с агентов и архив после Sysinfo
ыЫ
- Наверх
#7
Silver_klop
Silver_klop
-
- Posters
- 442 Сообщений:
Member
Отправлено 21 Сентябрь 2010 — 09:48
Какие файлы виндовс считает замененными (должен же выводить название)? какая версия виндовс?
- Наверх
#8
drago_782
drago_782
-
- Posters
- 23 Сообщений:
Newbie
Отправлено 21 Сентябрь 2010 — 09:53
XP SP3. названия не выводит. просто пишет что системные файлы изменены. хотите их оставить….? если да, то окно временно закрывается. если нет, повторяется заного.
ща сервак проверю…
На win 2008 сервере, данного сообщения не выскочило (хотя антивирь агент стоит).
- Наверх
#9
mrbelyash
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 21 Сентябрь 2010 — 09:55
XP SP3. названия не выводит. просто пишет что системные файлы изменены. хотите их оставить….? если да, то окно временно закрывается. если нет, повторяется заного.
ща сервак проверю…
скриншот окна
- Наверх
#10
Ko6Ra
Ko6Ra
-
- Posters
- 3 308 Сообщений:
Supporter
Отправлено 21 Сентябрь 2010 — 09:59
winlogon.exe на XPSP3.
ыЫ
- Наверх
#11
drago_782
drago_782
-
- Posters
- 23 Сообщений:
Newbie
Отправлено 21 Сентябрь 2010 — 09:59
Ну стандартное окно о замене файлов… вроде. ща подожду пока появится, бухгалтеров предупредил чтобы не закрывали.
дополнительно приложить данный файл?
- Наверх
#12
Denis Nikolayev
Denis Nikolayev
-
- Posters
- 461 Сообщений:
Member
Отправлено 21 Сентябрь 2010 — 10:03
Ух сколько ответов Винда xp sp2, обновления отключены, на машинах стоит 5-я версия DrWeb, обновляется регулярно, т.к. инет есть на всех компах. Но что интересно, сообщение данное появляется не на всех компах в сети, а только на некоторых. Что их объединяет пока не установил
Да, кстати, имена заменяемых файлов действительно не показывает, когда выскочит опять — сделаю скрин. Ну и логи соответственно.
- Наверх
#13
mrbelyash
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 21 Сентябрь 2010 — 10:03
Киньте и мне в личку лог DrwebSysInfo
- Наверх
#14
drago_782
drago_782
-
- Posters
- 23 Сообщений:
Newbie
Отправлено 21 Сентябрь 2010 — 10:24
- Наверх
#15
drago_782
drago_782
-
- Posters
- 23 Сообщений:
Newbie
Отправлено 21 Сентябрь 2010 — 10:27
Киньте и мне в личку лог DrwebSysInfo
Я не нашел данного файла на компутере.
- Наверх
#16
Valery Ledovskoy
Valery Ledovskoy
-
- Posters
- 1 367 Сообщений:
Poster
Отправлено 21 Сентябрь 2010 — 10:34
- Наверх
#17
drago_782
drago_782
-
- Posters
- 23 Сообщений:
Newbie
Отправлено 21 Сентябрь 2010 — 10:34
Это окно вылазило при формировании данного отчета. закрыл.
второй файл скрины
Прикрепленные файлы:
- Наверх
#18
Hizhin Maxim
Hizhin Maxim
-
- Posters
- 15 Сообщений:
Newbie
Отправлено 21 Сентябрь 2010 — 10:42
А как долго DrwebSysInfo собирает инфу? А то он у меня на стадии «Ожидание завершения работы программы» уже 10 мин стоит
- Наверх
#19
drago_782
drago_782
-
- Posters
- 23 Сообщений:
Newbie
Отправлено 21 Сентябрь 2010 — 10:43
А как долго DrwebSysInfo собирает инфу? А то он у меня на стадии «Ожидание завершения работы программы» уже 10 мин стоит
На каждом компе минуты по 3-5. двухядерные, 2 гига оперы.
- Наверх
#20
mrbelyash
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 21 Сентябрь 2010 — 10:45
Это окно вылазило при формировании данного отчета. закрыл.
второй файл скрины
В отчете KADR_________210910_113006.zip зараза
<RegistryValue Name=»Userinit» Type=»REG_SZ» Value=»C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\19e153e9.exe,C:\WINDOWS\system32\hquxlq.exe,» />
Там же куча левых статических маршрутов(если конечно сами не настраивали).
- Наверх
Ошибка «Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями» выскочила на сервере в весьма важный момент, поэтому человек, отвечающий за его работу, боялся, что нажмет что-нибудь не то, и позвонил мне, чтобы проконсультироваться.
Полностью в окне с ошибкой был следующий текст:
Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы Windows необходимо восстановить исходные версии этих файлов.
Теперь вставьте Windows Server 2003, Enterprise Edition.
Так же в окне ниже этого текста были расположены три кнопки:
- Повторить
- Подробнее
- Отмена
Поскольку у сервера и рядом никогда не лежало DVD, а уж тем более CD привода, то при нажатии на кнопку «Повторить», появлялось сообщение:
«Предоставлен неправильный компакт-диск.
Вставьте в компакт-дисковод диск Windows Server 2003, Enterprise Edition CD-ROM»
Обычно в таких случаях есть хотя бы кнопка «Обзор», при нажатии на которую можно указать, где лежат потерявшиеся недостающие файлы помимо DVD привода. Но тут такой возможности не было.
При нажатии на кнопку «Подробнее», появлялось сообщение следующего содержания:
Возможные причины возникновения этой проблемы:
- Вставлен неправильный компакт-диск. (Например, диск другого производителя)
- Привод компакт-дисков на этом компьютере не работает
Ну что же, спасибо, Капитан Очевидность, как говорится.
При нажатии кнопки «Отмена», появляется сообщение, которое и напугало человека, который мне звонил, больше всего. Сообщение в диалоговом окне гласило следующее:
Вы отказались от восстановления исходных версий файлов. Это может нарушить стабильность работы Windows.
Вы действительно хотите сохранить эти нераспознанные версии файлов?
Всё, что нужно было сделать — это просто ответить «Да» в этом диалоговом окне.
После этого абсолютно ничего страшного не произошло. После перезагрузки сервера все системы и службы запустились в штатном режиме и более эта ошибка не появлялась. По крайней мере, пока…
Аннотация
В данной статье приведено описание механизма защиты файлов Windows (WFP).
Дополнительная информация
Защита файлов Windows (WFP) служит для предотвращения перезаписи программами важных файлов операционной системы. Такие файлы нельзя перезаписывать, поскольку они используются как самой операционной системой, так и другими программами. Защита таких файлов необходима для предупреждения возможных неполадок в работе операционной системы и установленного программного обеспечения.
Механизм WFP отвечает за защиту важных системных файлов, устанавливаемых вместе с Windows (например, файлы с расширениями dll, exe, ocx и sys, а также некоторые шрифты True Type). Проверка правильности версии защищенных системных файлов производится с помощью подписей файлов и файлов каталога, созданных в процессе подписывания. Замена защищенных файлов операционной системы возможна только посредством следующих механизмов.
-
При установке пакетов обновления для Windows с помощью программы Update.exe.
-
При установке исправлений с помощью программ Hotfix.exe и Update.exe.
-
При обновлении операционной системы с помощью программы Winnt32.exe.
-
При использовании веб-узла Windows Update.
Если для замены защищенного файла используется другой способ, функция WFP восстанавливает исходные файлы. При установке важных системных файлов установщик Windows не устанавливает и не заменяет их самостоятельно, а всегда использует механизм WFP, обращаясь к нему с запросом установки или замены защищенных файлов.
Принцип работы механизма защиты файлов Windows
Для защиты файлов операционной системы в WFP предусмотрены два механизма. Первый механизм работает в фоновом режиме и активируется после того, как WFP получает уведомление об изменении папки для файла из защищенной папки. После получения этого уведомления WFP определяет, какой файл был изменен. Если был изменен защищенный файл, WFP находит в файле каталога подпись защищенного файла для проверки правильности версии нового файла. Если версия является неправильной, новый файл заменяется исходным из папки кэша (если он там имеется) или источника установки. Поиск файла допустимой версии производится в следующем порядке.
-
Папка кэша (по умолчанию %systemroot%\system32\dllcache).
-
Путь к сетевому источнику установки, если он был использован для установки операционной системы.
-
Компакт-диск Windows, если он был использован для установки операционной системы.
Если файл удается найти в папке кэша или выполняется автоматическое обнаружение источника установки, файл заменяется без уведомления пользователя. Если WFP не удается автоматически найти файл ни в одном из этих местоположений, пользователь получает одно из следующих сообщений, в которых имя_файла — это имя замененного файла, а продукт — это используемый продукт Windows.
-
Защита файлов Windows
Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Вставьте компакт-диск продукт. -
Защита файлов Windows
Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Сетевая папка, из которой необходимо скопировать эти файлы, \\сервер\общий_ресурс, недоступна. Обратитесь к системному администратору или вставьте компакт-диск продукт.
Примечание. Если вход в систему был выполнен с учетной записью, которая не дает прав администратора, описанные выше диалоговые окна не отображаются. В таком случае эти диалоговые окна отображаются только после входа в систему с правами администратора. WFP ждет входа в систему администратора в следующих ситуациях.
-
Запись реестра SFCShowProgress отсутствует или содержит значение 1, а сервер настроен на проверку при каждом запуске компьютера; в таком случае WFP ждет входа с консоли, поэтому сервер RPC не запускается, пока не будет выполнена проверка. В течение этого времени компьютер не защищен.
Примечание. При этом сохраняется возможность подключения сетевых дисков и использования системных файлов, и для входа на сервер можно использовать службы терминалов. WFP не считает эти операции консольным входом и находится в состоянии ожидания неограниченно долго.
-
WFP должен восстановить файл из общего сетевого ресурса. Такая ситуация может возникнуть в случае, если в папке Dllcache нет требуемого файла или он поврежден. В этом случае у WFP может не быть требуемых учетных данных для доступа к общему ресурсу на носителе для установки по сети.
В качестве второго механизма защиты, обеспечиваемого WFP, используется средство проверки системных файлов (файл Sfc.exe). В конце работы режима графического интерфейса программы установки это средство проверяет, не были ли защищенные файлы изменены программами, установленными автоматически. Кроме того, программа Sfc.exe проверяет все файлы каталога, используемые для отслеживания правильных версий файлов. В случае отсутствия или повреждения любого из файлов каталога он переименовывается и восстанавливается из папки кэша. Если в папке кэша файл найти не удается, WFP запрашивает установку соответствующего носителя с новой копией файла каталога.
Средство проверки системных файлов предоставляет администратору возможность проверить версии всех защищенных файлов. Кроме того, это средство проверяет и повторно заполняет папку кэша (по умолчанию — %SystemRoot%\System32\Dllcache) Если папка кэша повреждена или стала непригодной для использования, для восстановления ее содержимого используется команда sfc /scanonce или sfc /scanboot.
Параметр SfcScan из раздела системного реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon может принимать три значения. Возможные значения параметра SfcScan:
-
0x0 — не проверять защищенные файлы после перезагрузки системы (по умолчанию);
-
0x1 — проверять все защищенные файлы после каждой перезагрузки системы (устанавливается после запуска команды sfc /scanboot).
-
0x2 — проверить все защищенные файлы после перезагрузки системы (устанавливается после запуска команды sfc /scanonce).
По умолчанию резервные копии всех системных файлов хранятся в папке кэша, размер которой составляет 400 МБ (по умолчанию). Хранение резервных копий всех системных файлов не всегда желательно с точки зрения наличия свободного места на диске. Для изменения размера кэша измените значение параметра SFCQuota в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. WFP хранит проверенные версии файлов на жестком диске в папке Dllcache. Количество хранимых файлов определяется значением параметра SFCQuota (по умолчанию 0xFFFFFFFF или 400 Мбайтов). Администратор может увеличивать или уменьшать значение параметраSFCQuota по своему усмотрению. Обратите внимание, что если для параметра SFCQuota установлено значение 0xFFFFFFFF, WFP хранит все защищенные файлы (приблизительно 2700 файлов).
Отсутствие в папке кэша копий некоторых системных файлов (независимо от значения параметра SFCQuota) возможно по двум причинам.
-
Недостаточно места на диске.
На компьютере под управлением Windows XP запись в папку Dllcache прекращается, когда на жестком диске объем оставшегося свободного места меньше суммы (600 МБ + максимальный размер файла подкачки).
На компьютере под управлением Windows 2000 запись в папку Dllcache прекращается, когда на жестком диске остается менее 600 МБ свободного места. -
Сетевая установка.
Если ОС Windows 2000 или Windows XP установлена по сети, файлы из папки i386\lang не заносятся в папку Dllcache.
Кроме того, все драйверы в файле Driver.cab являются защищенными, но в папку Dllcache не записываются. WFP восстанавливает эти файлы непосредственно из файла Driver.cab без вывода пользователю запроса на предоставление носителя исходных файлов, однако при выполнении команды sfc /scannow файлы, содержащиеся в файле Driver.cab, записываются в папку Dllcache.
Если WFP обнаруживает изменение файла, не входящего в папку кэша, выполняется проверка версии измененного файла, используемой операционной системой в текущий момент. Если используемый в текущий момент файл имеет допустимую версию, он копируется в папку кэша. Если версия файла не является допустимой или файл отсутствует в папке кэша, WFP выполняет поиск источника установки. Если его найти не удается, WFP предлагает администратору установить соответствующий носитель для замены версии файла, находящегося в папке кэша.
Местонахождение папки Dllcache указывается параметром SFCDllCacheDir (REG_EXPAND_SZ) из следующего раздела реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon По умолчанию параметр SFCDllCacheDir имеет значение %SystemRoot%\System32. В качестве значения параметра SFCDllCacheDir может быть использован путь к папке на локальном диске. По умолчанию параметр SFCDllCacheDir в разделе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon отсутствует. Таким образом, для изменения местонахождения папки кэша этот параметр необходимо добавить самостоятельно.
При запуске Windows значения параметров из раздела
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection WFP копируются в соответствующие параметры в разделе
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Следовательно, если в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection присутствуют параметры SfcScan, SFCQuota или SFCDllCacheDir, их значения имеют преимущество перед значениями аналогичных параметров в подразделе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.
Для получения дополнительных сведений о механизме WFP щелкните следующий номер статьи базы знаний Майкрософт:
222473 Настройки реестра для защиты файлов WindowsДля получения дополнительных сведений о средстве проверки системных файлов в Windows XP и Windows Server 2003 щелкните следующий номер статьи базы знаний Майкрософт:
310747 Описание средства проверки системных файлов Windows XP и Windows Server 2003 (Sfc.exe)Для получения дополнительных сведений о средстве проверки системных файлов в Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
222471 Описание средства проверки системных файлов Windows 2000 (Sfc.exe) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Для получения дополнительных сведений о механизме WFP посетите веб-узел корпорации Майкрософт по адресу:
http://msdn2.microsoft.com/en-us/library/aa382551.aspxДля получения дополнительных сведений об установщике Windows и механизме WFP посетите веб-узел корпорации Майкрософт по адресу:
http://msdn2.microsoft.com/en-us/library/aa372820.aspx
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.
Защита файлов WindowsВ версиях Windows, предшествующих Windows 2000, установка дополнительного программного обеспечения операционной системы может привести к перезаписи общих системных файлов, таких как библиотеки динамической компоновки (DLL) и исполняемые файлы (EXE). Это вызывало непредсказуемые изменения системной производительности, нестабильную работу программ и сбои операционной системы.
Защита файлов в Windows 2000 и Windows XP предотвращает замещение защищенных системных файлов, таких как файлы SYS, DLL, OCX, TTF, FON и EXE. Защита файлов Windows выполняется в фоновом режиме и защищает все файлы, установленные программой установки Windows.
Защита файлов Windows определяет попытки других программ заменить или переместить защищенные системные файлы. Защита файлов Windows проверяет цифровую подпись файла, чтобы определить правильность версии нового файла корпорации Майкрософт. Если версия файла является неправильной, защита файлов Windows заменяет файл либо из архива, хранящегося в папке Dllcache, либо с компакт-диска Windows. Если соответствующий файл найти не удается, предлагается ввести его местоположение. Также в журнал событий заносится запись о попытке замены файла.
По умолчанию защита файлов Windows всегда включена и разрешает замену существующих файлов файлами Windows с цифровой подписью. В настоящее время подписанные файлы распространяются следующими способами:
в пакетах обновления Windows;
в пакетах исправлений;
в составе обновлений операционной системы;
в обновлениях, полученных с помощью средства Windows Update;
устанавливаются диспетчером устройств и установщиком классов Windows.
вроде какая то служба этим рулит