29666

Mishel Kari, 7.11.2010 - 9:56

Всякий раз при новой загрузке Windows
ХР sp3 в папке Темр появляется файл 029666E0.TMP (тип tmp_auto_file)
Сканировал Диск С с помощью
ESET Smart Security,
Avz4 и с дисков, minDrWebLiveCD-5.0.3, avg_arl_cd_en_90_100429
ничего не обнаруживается.
Не могу найти запускающий файл или процесс.
При открывании через блокнот идёт следующее:
+БЗY|,Ш0ЁбЫФ{‡уа
щ8oЂЩ29Щќ¬?›и@чЭ3I°џ b|йY‘GjЁE)ИEЄжлл0аXЉ‹nУ…ѓ·»ЦлqсѕбbЃPЇЩl№X–ш@gѕ™9ј€™Г
Искал в реестре по названию 029666E0 - нет ничего.
Загадка.
Кто сталкивался?

Anthony, 7.11.2010 - 10:36

Что показывает HijackThis?

neoaeon, 7.11.2010 - 10:44

asktoolbar установлен в IE?
возможно от него

nokeMoH, 10.11.2010 - 4:54

[Диспетчер Задач WinXP] не способен отображать скрытые в системе процессы.. Если же таковые имеются, советуем воспользоваться программкой [Process Explorer]..

eli2003, 10.11.2010 - 8:37

AnVir Task Manager покажет и процессы и все их связи.
И , если не секрет, чем-то мешается этот файлик? Почему "вдруг" обратил на него внимание?

Mishel Kari, 16.07.2011 - 18:38

ХР сп3
Asktoolbar не установлен (в IE8). Домашняя страница никогда не менялась.
Автозагрузку и процессы смотрю через СodеStuf Starter и jv16 PowerTools. Сейчас ещё и антивирус поменял (Microsoft Security Essentials).
Хочу держать всё под контролем.И уже из принципа надо найти .Пока загадка - нет следов,но всякий раз этот файл появляется. И три шестёрки смущают...

Окончание файла через блокнот всегда разный,например -

+БЗY|,Ш0ЁбЫФ{‡уе щ8oЂЩ29Щќ¬?›и@чЭ3I°џ b|йY‘GjЁE)ИEЄжлл0аXЉ‹nУ–Ђ·»ЦшrсѕбbИФQЇЩl№X–ш’aѕ™9PЏ

и

+БЗY|,Ш0ЁбЫФ{‡уе щ8oЂЩ29Щќ¬?›и@чЭ3I°џ b|йY‘GjЁE)ИEЄжлл0аXЉ‹nУ”Ђ·»ЦъrсѕбbИФQЇЩl№X–ш–aѕ™9{—–А

Slevin Kelevra, 16.07.2011 - 19:32

Заливай файл на рапиду и давай сюда линк. Любопытный народ поковыряет и скажет в чем дело.

BRACKET, 16.07.2011 - 19:55

А может быть еще логи АВЗ и HijackThis тоже зальете? Мы их тоже глянем

Mishel Kari, 22.07.2011 - 2:10

Slevin Kelevra,
Размер файла 029666E0.TMP 633 байт:

Напоминаю - антивирусы на него не реагируют и проблем от этого файла явно не наблюдаю.
BRACKET, HijackThis у меня не установлен. Не было необходимости.Советуете иметь?
avz_log :

Методом тыка установил, что файл 029666E0.TMP появляется только один раз до следующей загрузки системы, после клика правой кнопкой мышки на каком-нибудь файле. Клик правой на папку или на пустое место появление файла не вызывает. Если этот файл 029666E0 я не удаляю из папки Temp, то при следующей загрузке и клика правой кнопки на любой файл, ЧТО-ТО этот файл перезаписывает(текст внутри файла изменяется). В Wiindows 7 такого нет (с той же головой и теми же руками )
Поисковики выдавали ссылки на наши и зарубежные антивирусные форумы,где кто-то выкладывал логи сканирований и у многих этот файл в логах находился.
Выполнил чистую загрузку, с отключением - обрабатывать файл System.ini, Обрабатывать файл Win.ini, Загружать элементы автозагрузки, Загружать системные службы , Да ещё в безопасном режиме - правая кнопка - файл по-прежнему появляется!
Благодарю за сочувствие.

middleman, 22.07.2011 - 8:42

Есть замечательная прога. Называется Process monitor.
При заданной настройке показывает кто обращался к заданному файлу и что с ним делал.




ЗЫ: Slevin Kelevra, выкладывать файл размером 633 байта на рапиду это садизм На форуме для таких вещей работает механизм вложений.

Mishel Kari, 22.07.2011 - 10:20

middleman,спасибо,
Здесь текстовый файллог от Process monitor

А здесь Logfile

Я от этой информации не проясняюсь...
А аттач...

На первой странице есть ешё информация.

middleman, 22.07.2011 - 11:29

Звыняй. Подзабыл уже, что он отключен для пользователей. Сейчас посмотрим логи.

Добавлено:
По инфе из лога с этим файлом работают Explorer.EXE - системная оболочка винды (?!), System (непонятно откуда 4) - ядро системы, svchost.exe - сетевые службы системы.
Смущает название Explorer.EXE с большими буквами. Именно он проверяет наличие этого файла и если его нет, то он его создает. Открывай диспетчер и ищи процесс с таким названием. Если окажется что их несколько ищи тот, что с большими буквами в названии и скорее всего запускается не оттуда, откуда должен. Название нормального - "explorer.exe"
Стандартный диспетчер не покажет откуда запущен процесс. Я для такого использую Anvir Task Manager. Там более подробная инфа.
Дальше уже разбираться откуда файл и как его прибить.

То-же самое для System 4. Если это полное название процесса, а "4" не какой-то идентификатор - по логу трудно понять, то в винде такого не должно быть. Там есть только "System" безо всяких циферь. действия те-же. Найти и обезвредить.

Mishel Kari, 22.07.2011 - 16:33

middleman
СodеStuf Starter в процессах показывает только один Explorer.EXE и такой же исполняемый файл из C\Windows\Explorer.EXE . Поиск находит только explorer.exe тоже в C\Windows. У меня всегда отображены скрытые и системные файлы - другого нет. Только что случайно удалил файл explorer, который был на строчку выше explorer.exe, но без расширения. Перезагрузился,вроде проблем нет, но 029666E0 всё равно появляется.
У System 4 - это ID.как показывает СodеStuf Starter.
Вот тут упакован файл explorer.exe,в папке он же разобранный и лог процессов от СodеStuf Starter в виде html.768 КБ

В инете нашёл мнение - Если у процесса имя и расширение в нормальном виде, значит процесс поднимался ядром системы.
Если расширение написано большими буквами значит процесс поднимался из сервиса. Если имя и расширение написано большими буквами значит процесс поднимался из-под какого-то ранее запущенного процесса.

middleman, 25.07.2011 - 8:58

explorer из архива оригинальный. Контрольные суммы совпадают.
Вот только експлорер как системная оболочка не должен подниматься ничем кроме ядра системы. Если он подниматеся чем-то еще это уже повод для подозрений. В таком случае нужно искать родительский процесс. Вот здесь есть довольно печальная инфа по поводу больших букв в расширении:



Т.е. при обычной проверке файл оригинальный, но в системе работает совсем другой, уже измененный. По той-же ссылке есть рекомендации по обезвреживанию этой гадости.

Mishel Kari, 29.07.2011 - 15:36

С диска Sonya PE(последнего) скопировал файл explorer.exe - всё работает,как и раньше. Файл,правда,размером в 2 раза меньше, но система его приняла. Файл 029666E0 опять присутствует.
middleman, Раз explorer.exe оригинальный - вернул на место.
Любопытно,что всё работает - Диспетчер задач,regedit,выхожу в интернет,захожу спокойно на антивирусные сайты,устанавливаю и переустанавливаю без проблем антивирусы,их базы обновляются,в safe mode загружаюсь.Старый ноут практически не виснет(не помню когда в последний раз).Видимо за долглое время использования системы и борьбы с вирусами, остатки дохлого вируса проявляются... НО - может,какая-нибудь нормальная программа создаёт этот файл. Проблема в неизвестности.
В системе один пользователь-администратор.Но при входе в safe mode появляется ещё один "Администратор".Захожу под своим именем. Через Мой компьютер - Дополнительно -профили пользователей - параметры удаляю этого Администратора(у него только 900 кб на компьютере,а в личных параметрах - чистая система).При повторном запуске Администратор появляется снова. Если к нему не захожу,то в профилях пользователей его нет. Может так надо? Чтобы в safe mode к себе не заходить.Для чего?

middleman, 29.07.2011 - 16:59

Этот файл,судя по логам создает именно explorer. Вопрос "зачем?" остается открытым.


Да. Так надо. Это системная учетка, которая создается независимо от того какие пользователи уже созданы на компьютере. Сделано это для того, чтобы при повреждении единственной учетки, можно было восстановить работоспособность со служебной.


Судя по поведению - не дохлого. Експлорер этот файл создавать не должен. И запускаться ничем кроме ядра тоже не должен. Ситуация похожа на подмену кода при запуске. Нужно внимательно отследить файловую активность по explorer.exe при загрузке системы и посмотреть кто и что с ним делает.

Mishel Kari, 7.08.2011 - 0:52

Учитывая,что что файл 029666E0,судя по логам сканирований, у многих юэеров в интернете, подытожу.
Во время отпуска систему переустановил. Этого файла нет. Но СodеStuf Starter и Process monitor в процессах показывают Explorer.EXE. С большими буквами EXE. Т.е. также как и с этим файлом до переустановки системы.
Starter в режиме для экспертов показывал элемент Shell cо значением Explorer.ехе и элемент Explorer. Последний я удалил из автозагрузки - безболезненно. А у Shell в реестре изменил значение на еxplorer.ехе как в системной папке. Проблем никаких не возникло, кроме оставшегося 029666E0.После переустановки Shell cо значением Explorer.ехе есть,а элемента Explorer - нет.