29666

middleman,спасибо,
Здесь текстовый файллог от Process monitor

А здесь Logfile

Я от этой информации не проясняюсь...
А аттач...

На первой странице есть ешё информация.

Звыняй. Подзабыл уже, что он отключен для пользователей. Сейчас посмотрим логи.

Добавлено:
По инфе из лога с этим файлом работают Explorer.EXE - системная оболочка винды (?!), System (непонятно откуда 4) - ядро системы, svchost.exe - сетевые службы системы.
Смущает название Explorer.EXE с большими буквами. Именно он проверяет наличие этого файла и если его нет, то он его создает. Открывай диспетчер и ищи процесс с таким названием. Если окажется что их несколько ищи тот, что с большими буквами в названии и скорее всего запускается не оттуда, откуда должен. Название нормального - "explorer.exe"
Стандартный диспетчер не покажет откуда запущен процесс. Я для такого использую Anvir Task Manager. Там более подробная инфа.
Дальше уже разбираться откуда файл и как его прибить.

То-же самое для System 4. Если это полное название процесса, а "4" не какой-то идентификатор - по логу трудно понять, то в винде такого не должно быть. Там есть только "System" безо всяких циферь. действия те-же. Найти и обезвредить.

middleman
СodеStuf Starter в процессах показывает только один Explorer.EXE и такой же исполняемый файл из C\Windows\Explorer.EXE . Поиск находит только explorer.exe тоже в C\Windows. У меня всегда отображены скрытые и системные файлы - другого нет. Только что случайно удалил файл explorer, который был на строчку выше explorer.exe, но без расширения. Перезагрузился,вроде проблем нет, но 029666E0 всё равно появляется.
У System 4 - это ID.как показывает СodеStuf Starter.
Вот тут упакован файл explorer.exe,в папке он же разобранный и лог процессов от СodеStuf Starter в виде html.768 КБ

В инете нашёл мнение - Если у процесса имя и расширение в нормальном виде, значит процесс поднимался ядром системы.
Если расширение написано большими буквами значит процесс поднимался из сервиса. Если имя и расширение написано большими буквами значит процесс поднимался из-под какого-то ранее запущенного процесса.

explorer из архива оригинальный. Контрольные суммы совпадают.
Вот только експлорер как системная оболочка не должен подниматься ничем кроме ядра системы. Если он подниматеся чем-то еще это уже повод для подозрений. В таком случае нужно искать родительский процесс. Вот здесь есть довольно печальная инфа по поводу больших букв в расширении:



Т.е. при обычной проверке файл оригинальный, но в системе работает совсем другой, уже измененный. По той-же ссылке есть рекомендации по обезвреживанию этой гадости.

С диска Sonya PE(последнего) скопировал файл explorer.exe - всё работает,как и раньше. Файл,правда,размером в 2 раза меньше, но система его приняла. Файл 029666E0 опять присутствует.
middleman, Раз explorer.exe оригинальный - вернул на место.
Любопытно,что всё работает - Диспетчер задач,regedit,выхожу в интернет,захожу спокойно на антивирусные сайты,устанавливаю и переустанавливаю без проблем антивирусы,их базы обновляются,в safe mode загружаюсь.Старый ноут практически не виснет(не помню когда в последний раз).Видимо за долглое время использования системы и борьбы с вирусами, остатки дохлого вируса проявляются... НО - может,какая-нибудь нормальная программа создаёт этот файл. Проблема в неизвестности.
В системе один пользователь-администратор.Но при входе в safe mode появляется ещё один "Администратор".Захожу под своим именем. Через Мой компьютер - Дополнительно -профили пользователей - параметры удаляю этого Администратора(у него только 900 кб на компьютере,а в личных параметрах - чистая система).При повторном запуске Администратор появляется снова. Если к нему не захожу,то в профилях пользователей его нет. Может так надо? Чтобы в safe mode к себе не заходить.Для чего?

Этот файл,судя по логам создает именно explorer. Вопрос "зачем?" остается открытым.


Да. Так надо. Это системная учетка, которая создается независимо от того какие пользователи уже созданы на компьютере. Сделано это для того, чтобы при повреждении единственной учетки, можно было восстановить работоспособность со служебной.


Судя по поведению - не дохлого. Експлорер этот файл создавать не должен. И запускаться ничем кроме ядра тоже не должен. Ситуация похожа на подмену кода при запуске. Нужно внимательно отследить файловую активность по explorer.exe при загрузке системы и посмотреть кто и что с ним делает.

Учитывая,что что файл 029666E0,судя по логам сканирований, у многих юэеров в интернете, подытожу.
Во время отпуска систему переустановил. Этого файла нет. Но СodеStuf Starter и Process monitor в процессах показывают Explorer.EXE. С большими буквами EXE. Т.е. также как и с этим файлом до переустановки системы.
Starter в режиме для экспертов показывал элемент Shell cо значением Explorer.ехе и элемент Explorer. Последний я удалил из автозагрузки - безболезненно. А у Shell в реестре изменил значение на еxplorer.ехе как в системной папке. Проблем никаких не возникло, кроме оставшегося 029666E0.После переустановки Shell cо значением Explorer.ехе есть,а элемента Explorer - нет.