[Petya V4sechkin]

Цитата Vasylich:

Если его удалить, то он создается заново с другим именем.

Process Monitor: как отследить приложение, записывающее непонятные файлы на диск

[Vasylich]

Не так все просто. Файл создаётся при загрузке ОС и удалить его без перезагрузки не получается - система не даёт.
И мониторить его создание не получится, поскольку он создается раньше, чем грузится Process Monitor.

[Angry Demon]

Vasylich, посмотрите при помощи. например, Unlocker, чем занят этот файл.

[Vasylich]

Цитата Angry Demon:

посмотрите при помощи. например, Unlocker, чем занят этот файл. »

Ничем. Unlocker считает его свободным, но удалить не может и предлагает перезагрузку для удаления.

[Казбек]

Vasylich,

Скачайте Process Explorer. Далее:

Find Handle (значок бинокля) - Вводите имя файла - Search.

Цитата Vasylich:

Не так все просто »

Сделайте лог загрузки с помощью Process Monitor. Дальше воспользуйтесь поиском, для того, что бы отследить все обращения к этому файлу.

[Vasylich]

Цитата Казбек:
Find Handle (значок бинокля) - Вводите имя файла - Search. »
Здесь - пусто.
Возможно, что драйвер всегда пересоздается с новым именем, даже если не было удаления.
А вот бутлог кое что дал:
C:\Windows\System32\smss.exe - блокировал до пересоздания.
C:\Program Files\DrWeb\dwservice.exe - создал новый. Это похоже на drweb.
Drweb - у меня установлен.

Дальше svchost.exe безуспешно пытается создать sys-файл со всеми старыми именами существовавших ранее этих sys-ов.
В итоге успешно создает с новым, который по идее уже есть. И затем этот файл успешно цепляется explorer.exe.
лог загрузки:

Скрытый текст

https://yadi.sk/d/wuGxJhulxkNMt

Странное поведение системы..

[Казбек]

Цитата Vasylich:

Возможно, что драйвер всегда пересоздается с новым именем, даже если не было удаления. »

А вы по маске поиск сделайте.

Отключите, лучше удалите Dr. Web. Посмотрите, появляются ли файлы.

Ваши файлы создает dwservice:

Скрытый текст

[Vasylich]

Цитата Казбек:

Отключите, лучше удалите Dr. Web. »

Удалил - файл пропал. Точно Drweb.

Спасибо за помощь!

DrWeb хороший антивирус, но за некоторые его косяки тухлыми яйцами бы авторов, да словцом приложить.

[Lion_Smith]

Цитата Vasylich:

DrWeb хороший антивирус, но за некоторые его косяки тухлыми яйцами бы авторов, да словцом приложить. »

Dr.Web и KAV поделки ФСБ. Оба продукта имеют сертификаты спецслужб. Напомните мне хоть один антивирусный продукт амеров, который создавали даже бывшие ЦРУ-шники? Потому какой-бы клёвый этот антивирус не был - в топку. Кстати интересную вещь заметил, что как избавился от этих "антивирусов" - сразу пропали и вирусы. Уже лет 5 не встречал ничего серьёзного. Всё отлавливается даже виндовым дефендером. Да на всякий случай ХРАНЮ портабл версию этого вэба от Хазарда, но реальной ситуации когда бы он мне чем-то помог - нет и надеюсь не будет.