Nvmoduletracker sys что это за файл и как его удалить
Обновлено: 07.07.2024
Такое случается в тех случаях когда при установке системы диск был разбит на разделы(обычно диск C: под систему и диск D: "под документы") и системному всегда достается самый малый объем(Хорошо если 100 Гбайт!).
Споры о том "надо делить жесткий диск на разделы или оставить один но большой" ведутся очень давно и ещё нескоро закончатся но сей материал не об этом.
Так вот - через определенное время использования компьютера (которое зависит от многих параметров - количества пользователей, их потребностей и т.д. ) пользователь видит картину находящуюся выше по течению.
После чего открывает " Мой Компьютер " дабы убедиться что да, системный диск переполнен и нужно что то делать.
Нехватка дискового пространства всегда нежелательна и неприятна а в случае системного раздела - ещё и опасна, есть большая вероятность повредить ОС и вывести её из строя.
В данной статье я буду разбирать ситуацию и её разрешение на примере ОС Windows 7. Но данное решение актуально и для Windows 10.Видно что на диске C: ситуация критическая и нужно что то делать. Видно что на диске C: ситуация критическая и нужно что то делать.
Вот так выглядит корень диска C: при настройках по умолчанию.
По умолчанию в корневом каталоге системного диска (Обычно это диск C:) всегда находятся две системных файла:
Hiberfil.sys - файл куда записывается содержание оперативной памяти перед уходом компьютера в гибернацию и откуда это содержимое загружается обратно в ОЗУ при выходе из этого режима.
Примечательно что в Windows 7 этот файл по умолчанию имеет размер равный объему ОЗУ в то время как в Windows 10 этот файл может быть меньше - видимо, учитывается только тот объем ОЗУ который используется.
Pagefile.sys - Файл подкачки, куда ОС выгружает данные приложений не проявляющие активность определенное время для освобождения ОЗУ и ускорения работы активных приложений. Его размер определяет либо пользователь либо сама система - согласно настройке.
Итак, давайте посмотрим - какой размер занимают эти два файла на системном диске.
Настройка отображения в проводнике скрытых и системных файлов
Для этого нужно включить режимы отображения системных и скрытых файлов.
Для чего - открываем любую папку(Проводник, Мой Компьютер или любую другую) и нажимаем клавишу Alt. Перед вами появится скрытое меню содержащее пункт " Сервис ". Далее выбираем " Сервис " - " Параметры папок "
я, конечно, понимаю, вопрос ламерский и глупый. но честно, понятия не имею, что это за файлы, для чего нужны и как появились (предположительно появились после установки игры Сегун2 Тотальная Война, но не уверен)
это дата-диск (не системный), соответственно на нем таких файлов быть не должно. хочу удалить их, но не знаю не испорчу ли чего
А зачем было в корень диска что-либо вообще устанавливать? А то это не вопрос ламерский, а действия изначально. Почему бы не в папочку отдельную для каждой софтинки утанавливать, как все нормальные люди?
Добавлено через 53 секунды
FeyFre
Оно их в корень диска само НЕ распаковывает при установке, это можно только вручную сделать
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka Штандартенфюрер СС, это баг инсталлятора vcredist_x86_2008.exe! Инсталлятор самораспаковывается не во временную папку, а куда-нибудь а пальцем мимо. Там очередной какой-нибудь багнутый SFX-ZIP, который должен был распаковать во временную папку пакет Windows Installer, и пнуть его. Между прочим, этот пакет при установке какраз и не спрашивает куда устанавливаться, ибо выбора всё-равно нет - только в WinSxS да и всё тут. Мелкомягки позже исправили это, но было уже поздно.
Так что не нужно человека учить зря, он никакими своими действиями не смог повлиять на это. (Не каждый юзер является нахватавшимся знаний что-бы заставить компоненты винды плясать под свою дудку).
Вот список файлов которые оно могло оставить и которые можно спокойно тереть.
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka Штандартенфюрер СС, да, Мелкомягкие баги иногда исправляют(о чудо!). У меня тоже ЭТО уже ложится в подобные директории(и тоже не затираются иногда), ибо я всё-таки нашел нормальный установщик.
Штандартенфюрер СС
всегда указываю пути куда что распаковать или установить. оно само так сделалось
SYS копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (random file).exe. Потом он создаёт ключ автозагрузки в реестре с именем SYS и значением (random file).exe. Вы также можете найти его в списке процессов с именем (random file).exe или SYS.
Если у вас есть дополнительные вопросы касательно SYS, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.
Скачайте эту программу и удалите SYS and (random file).exe (закачка начнется автоматически):
* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить SYS в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.
Функции
Удаляет все файлы, созданные SYS.
Удаляет все записи реестра, созданные SYS.
Программа способна защищать файлы и настройки от вредоносного кода.
Удаление гарантированно - если не справился SpyHunter предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 входит в комплект поставки.
Скачайте утилиту для удаления SYS от российской компании Security Stronghold
Функции
Удаляет все файлы, созданные SYS.
Удаляет все записи реестра, созданные SYS.
Иммунизирует систему.
Удаление гарантированно - если Утилита не справилась предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.
Наша служба поддержки готова решить вашу проблему с SYS и удалить SYS прямо сейчас!
Оставьте подробное описание вашей проблемы с SYS в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с SYS. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления SYS.
Как удалить SYS вручную
Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с SYS, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены SYS.
Чтобы избавиться от SYS, вам необходимо:
1. Завершить следующие процессы и удалить соответствующие файлы:
Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления SYS для безопасного решения проблемы.
2. Удалите следующие папки:
3. Удалите следующие ключи и\или значения ключей реестра:
Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления SYS для безопасного решения проблемы.
Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:
4. Сбросить настройки браузеров
SYS иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию "Сбросить настройки браузеров" в "Инструментах" в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие SYS. Для сброса настроек браузеров вручную используйте данную инструкцию:
Для Internet Explorer
Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: "inetcpl.cpl".
Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: "inetcpl.cpl".
Выберите вкладку Дополнительно
Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.
Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.
После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Для Google Chrome
Найдите папку установки Google Chrome по адресу: C:\Users\"имя пользователя"\AppData\Local\Google\Chrome\Application\User Data.
В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.
Запустите Google Chrome и будет создан новый файл Default.
Настройки Google Chrome сброшены
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Для Mozilla Firefox
В меню выберите Помощь > Информация для решения проблем.
Кликните кнопку Сбросить Firefox.
После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.
Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Читайте, как отключить режим гибернации в Windows и как удалить файл hiberfil.sys, который занимает много места на диске . Современные операционные системы с каждым днем усовершенствуются в соответствии с возрастающими требованиями к персональным компьютерам. Разработка более скоростных и производительных устройств постоянно требует более надежных систем для управления ими.
Вероятно, раз вы читаете нашу статью, вы заметили, что этот файл, находящийся на системном диске, обладает гигантским размером. Естественным желанием является избавиться от него и очистить дополнительное место, так как на системном диске «C» свободного места постоянно не хватает.
Что такое файл «hiberfil.sys» ?
«Сон» – режим, в котором все службы управления компьютером выключены, кроме оперативной памяти, благодаря которой вы в любой момент можете практически моментально включить компьютер обратно. Сон использует небольшое количество энергии для хранения информации в памяти вашего персонального компьютера, а остальные его элементы отключены. Это позволяет экономить электроэнергию и быстро привести компьютер в исходное рабочее состояние.
«Гибернация» – режим, при использовании которого данные оперативной памяти выгружаются на жесткий диск в системный файл «hiberfil.sys» и компьютер отключается. При включении компьютера все данные загружаются в оперативную память обратно, и процесс включения компьютера происходит гораздо быстрее, чем при полном его отключении. Этот режим применяется в основном для экономии заряда батареи ноутбуков, так как в первом варианте энергия батареи будет использоваться для нужд оперативной памяти, что приведет к ее разрядке.
«Гибридный спящий режим» – режим, сочетающий в себе свойства двух вышеперечисленных вариантов: «Сон» и «Гибернация» . В этом режиме оперативная память компьютера остаётся включенной, и дополнительно все данные выгружены в системный файл «hiberfil.sys» . Это позволяет, с одной стороны, моментально включать компьютер (благодаря работающей оперативной памяти), а с другой стороны, в случае сбоя компьютера или отключения электричества, можно быть уверенным в сохранности ваших данных, так как они были сохранены на жёсткий диск. И при включении компьютера повторно, они будут быстро загружены из системного файла без каких – либо проблем.
Как видите, в двух последних вариантах используется системный файл «hiberfil.sys» – это место на жестком диске персонального компьютера, куда «Windows» записывает информацию из оперативной памяти для быстрого запуска системы после отключения компьютера.
Использование таких режимов отключения компьютера удобно и позволяет вам экономить электроэнергию в тот момент, когда компьютером вы не пользуетесь. И хотя мы рекомендуем использовать спящий режим, мы понимаем, что многие люди, в большинстве случаев, предпочитают полностью отключать компьютер. В этом случае отключение режима гибернации на вашем персональном компьютере позволит вам удалить этот файл и увеличить полезное дисковое пространство. Он может занимать довольно много места и это зависит от объема оперативной памяти, установленной на вашем персональном компьютере. И на малых жестких дисках это может быть существенным увеличением дискового пространства.
В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информацию об инциденте.
В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.
Часть 1. Что скрывают pagefile.sys
Итак, pagefile.sys — это файл подкачки операционной системы Windows. При нехватке оперативной памяти Windows резервирует определенное место на жестком диске и использует его для увеличения своих возможностей. Иными словами, выгружает часть данных из оперативной памяти в файл pagefile.sys. Очень часто необходимые для исследователя сведения остаются только в файле подкачки.
Выгрузка в файл подкачки происходит постранично, блоками по 4 Кб, поэтому данные могут занимать как непрерывную область в файле подкачки, так и находиться в разных его частях. Это означает, что в большинстве случаев информация, обнаруженная в этом файле, будет извлекаться с потерей целостности.
Размер pagefile.sys в файловой системе по умолчанию задается операционной системой, но пользователь всегда может отключить файл подкачки или изменить его максимальный размер. Стандартное расположение файла — в корне системного раздела, но он может находиться и на любом другом логическом диске — в зависимости от того, куда пользователь его поместил. Нужно помнить этот факт.
Прежде чем мы займемся извлечением pagefile.sys, надо понять, что это за файл с точки зрения файловой системы. Для этого воспользуемся ПО AccessData FTK Imager:
| Hidden | True | Owner SID | S-1-5-32-544 |
| System | True | Owner Name | Администраторы |
| Read Only | False | Group SID | S-1-5-18 |
| Archive | True | Group Name | SYSTEM |
Видно, что это скрытый системный файл, который так просто не скопировать.
Как тогда получить этот файл? Сделать это можно несколькими способами:
-
если вы работаете с активной операционной системой, то для извлечения используем ПО FTK Imager или KAPE Эрика Циммермана
На изображении ниже можно увидеть, как меняется объем обнаруженных данных в текущем файле подкачки (на изображении — крайний левый) и файлах подкачки, которые были извлечены с этого же накопителя из теневых копий, созданных в разное время.
Важный момент, о котором стоит помнить: начиная со сборки 10525 Windows 10 используется компрессия файла подкачки. При нехватке памяти система сжимает неиспользуемые ресурсы памяти в каждом процессе, позволяя большему количеству приложений оставаться активными одновременно. Для декомпрессии такого файла необходимо использовать специализированное ПО.
Например, можно использовать для декомпрессии утилиту winmem_decompress Максима Суханова:
Это будет полезным, когда поиск в изначальном файле подкачки результатов не дал или же необходимые данные находились в сжатом виде.
Итак, когда файл pagefile.sys у нас в руках, можно приступать к его исследованию. И тут надо выделить две ситуации: первая — когда мы знаем, что искать, и вторая — когда не знаем. В первом случае это могут быть фрагменты файлов, следы работы того или иного ПО, какая-то пользовательская активность. Для такого поиска обычно используется шестнадцатеричный редактор X-Ways WinHEX (или любой другой). Во втором случае придется полагаться на специализированное ПО, например, MAGNET AXIOM, Belkasoft Evidence Center, утилиту strings (ее можно считать основной и наиболее часто используемой), ПО Photorec (ПО для восстановления, использующее сигнатурный метод), в некоторых случаях применять yara-правила (при условии настройки сканирования файлов большого размера) — или же просто просматривать файл вручную.
А что можно найти в файле pagefile.sys, и почему мы делаем акцент на файле подкачки? Все просто: это данные, частично выгруженные из оперативной памяти, то есть процессы, файлы и прочие артефакты — то, что было активно и функционировало в ОС. Это может быть часть интернет-истории и IP-адреса, информация о запуске каких-то файлов или же сами файлы, фрагменты изображений и текстов, сведения о сетевых запросах функционировавшего ранее ПО, следы работы вредоносного ПО в виде журналов нажатых клавиш, системные файлы и журналы ОС и много всего другого.
Идем в поля
Пора переходить непосредственно к реальным делам и исследованиям. Итак, что полезного можно найти в файле подкачки Windows с точки зрения цифровой криминалистики?
В одном из кейсов исследовался образ накопителя, зараженного разным вредоносным ПО, при помощи которого злоумышленники похитили деньги со счета организации.
Чтобы дать полный ответ, что произошло и как, криминалисту необходимо установить начальную точку заражения, используемый злоумышленниками инструментарий и последовательность действий. В ходе исследования удалось найти не все следы функционирования вредоносного ПО. И вот тут был проанализирован pagefile.sys. Как мы уже знаем, там можно найти страницы из памяти процессов, выгруженные из оперативной памяти в файл подкачки, которые иногда можно восстановить, например, при помощи ПО Photorec сигнатурным методом, как и было сделано в данном кейсе.
При этом нужно отметить следующее: так как в файле подкачки лежат уже выгруженные из оперативной памяти процессы (файлы), то их адресация будет отличаться от адресации оригинальных файлов. К тому же они могут быть сильно фрагментированы, поэтому запустить такой исполняемый файл зачастую нельзя, да и все другие файлы, как правило, будут иметь повреждения внутренней структуры из-за фрагментации, ведь сигнатурное восстановление не может само найти все фрагменты файла и расставить их в правильном порядке.
Выше представлен пример файлов (Photorec присвоил файлам имена, исходя из смещения относительно начала файла подкачки), выгруженных в ходе проведения этого исследования. Мы видим, что это исполняемые, графические, текстовые и иные файлы. Дальше все просто: анализируем их, исходя из необходимых критериев и задач.
В конкретном случае из файла подкачки были восстановлены dll-файлы, в которых есть вредоносный код. Ниже приведен пример их детектов на VirusTotal (поиск осуществлялся по контрольной сумме файлов):
В ходе анализа был установлен адрес удаленного сервера, с которым могли взаимодействовать эти файлы. При помощи шестнадцатеричного редактора X-Ways WinHEX в исследуемом pagefile.sys обнаружены строки, содержащие адреса удаленного сервера. Это говорит о том, что обнаруженные файлы функционировали в ОС и активно взаимодействовали со своим удаленным сервером. А вот и детекты сервиса VirusTotal за декабрь 2018 года:
Таким образом, в данном кейсе благодаря обнаруженным в pagefile.sys сведениям мы установили всю цепочку заражения.
А что еще?
Существуют порой уникальные случаи, когда в файле подкачки помимо иных следов можно найти закодированные в base64 снимки экрана. Например, такие при отправке создает банковский троян Buhtrap.
В конкретном случае начало файла было следующим: /9j/4AAQSkZJRgABAQEAYABgAAD/. Это заголовок jpeg-файла, закодированный в base64 (представлена часть изображения):
Вышеуказанный фрагмент скопировали, декодировали и добавили к нему расширение jpg. Нам повезло, и обнаруженный скриншот содержал полный снимок активного рабочего стола бухгалтерского компьютера с открытым ПО «1С: Бухгалтерия», на котором отображался финансовый баланс предприятия и прочие важные данные. Другие обнаруженные закодированные изображения из-за особенности хранения информации в файле подкачки были неполными (битыми).
Другой пример. В ходе одного из инцидентов обнаружены следы фреймворка Cobalt Strike (характерные строки в файле подкачки — SMB mode, status_448, ReflectiveLoader):
И впоследствии можно попытаться выгрузить модули. На изображении выше это keylogger.dll и screenshot.dll, но могут быть и другие.
- sekurlsa::logonPasswords — извлечение логинов и паролей учетной записи
- token::elevate — повышение прав доступа до SYSTEM или поиск токена администратора домена
- lsadump::sam — получение SysKey для расшифровки записей из файла реестра SAM
- log Result.txt — файл, куда записываются результаты работы ПО (не забываем поискать этот файл в файловой системе):
На самом деле довольно часто можно встретить примеры POST-запросов вредоносного ПО к своим управляющим серверам, а также ответы этих серверов на запросы. Ниже приведены такие случаи на примере взаимодействия ПО Buhtrap со своим управляющим сервером:
Теперь вспомним про кейс, с которого мы начинали этот пост. В крупной организации с множеством серверов и рабочих станций произошел инцидент, в ходе которого злоумышленники проникли в сеть, завладели учетными данными одного из администраторов контроллера домена и далее перемещались по сети, используя легитимное ПО. Они копировали критически важную информацию, а затем отправляли эти данные на удаленный ресурс. На момент реагирования прошло более полугода, часть рабочих станций и серверов уже были выведены из работы, а следы действий злоумышленников уничтожены «благодаря» использования ими специализированного ПО и из-за неправильного логирования.
В процессе реагирования мы вышли на сервер с ОС Windows Server 2012, участвовавший в инциденте. Файлы системных журналов уже не один раз перезаписаны, а свободное дисковое пространство затерто. Но там был файл подкачки! Благодаря долгой работе сервера без перезагрузки и большому объему файла подкачки в нем сохранились следы запуска ПО злоумышленников и скриптов, которые на момент исследования уже отсутствовали в файловой системе без возможности восстановления. Сохранились и сведения о каталогах и файлах (пути и имена), которые создавались, копировались и впоследствии удалялись злоумышленниками, IP-адреса рабочих станций организации, откуда копировались данные, и прочая важная информация.
Что интересно, автоматизированный анализ при помощи различного криминалистического ПО полных результатов не дал, каких-то определенных критериев поиска не было, поэтому специалисты прибегли к ручному анализу файла подкачки, используя шестнадцатеричный редактор X-Ways WinHEX.
Ниже несколько примеров того, что обнаружили специалисты:
Сведения об использовании утилит pcsp.exe и ADExplorer.exe (присутствуют и даты, и пути).
Дальше — сведения об использовании vbs-скрипта (на изображении — начало и конец).
Примечательно, что указаны учетные данные (логин и пароль) одного из администраторов контроллера домена, которые ранее были скомпрометированы:
В результате почти вся критически важная информация о произошедшем инциденте была обнаружена именно в файле подкачки одного из серверов. Установлен инструментарий злоумышленников и часть их действий в сети организации.
Ну и в завершение, конечно же, стоит упомянуть про остальные артефакты, такие как данные о посещении интернет-сайтов (иногда можно обнаружить сведения об использовании электронных почтовых ящиков), сведения о файлах и каталогах:
Можно обнаружить и такую информацию, как имя компьютера и серийный номер тома, где располагался файл подкачки:
А также информацию из файлов Prefetch и, конечно же, системные журналы Windows.
Читайте также: