подозрение на заражение.
Посмотрите пожалуйста логи.
|
А вот это?
H:\715a37e40a03b3f2ebd3\DW\DW20.exe Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile
По моему это подозрительная запись? Как удалить?
|
Файл DW20.exe является вспомогательным компонентом MS Office и используется во время работы его приложений (Word, Excel и т.д.). Предназначен для своевременного обнаружения и устранения ошибок при обработке временных данных в памяти машины.
Ну а то, что он находится в H:\715a37e40a03b3f2ebd3\DW\ означает то, что скачался вместе с обновлениями Windows. Если вы его установили - папку с файлом можете удалить.
|
Но у меня не установлен офис, и даже не был, да и что он может делать на не системном диске? 8\
|
Цитата:
Цитата jok17er
Но у меня не установлен офис, и даже не был, да и что он может делать на не системном диске? 8\ »
|
Цитата:
Цитата Fedin
Ну а то, что он находится в H:\715a37e40a03b3f2ebd3\DW\ означает то, что скачался вместе с обновлениями Windows. »
|
Раз так удалите, она не нужна. |
У меня получаются не правильные скрипты, а удалить руками никак, т.к. файлы не видно даже при включенных скрытых файлах и папках.
|
Получается его уже нет. Не беспокойтесь, к вирусам он никакого отношения не имеет.
|
Составьте пожалуйста скрипт, что бы удалить это.
|
Кто нибудь составит скрипт?
|
Уважаемый jok17er, я ведь написал что это за файл.
Это легальный файл, скачался вместе с обновлениями Windows.
тем более раз вы пишите
Цитата:
Цитата jok17er
не видно даже при включенных скрытых файлах и папках. »
|
значит его уже нет
Если у вас есть конкретная проблема, опишите её. |
Еще раз здравствуйте.
Мне написал один юзер, что он не уверен в чистоте моих логов, с его разрешения опишу часть нашей переписки.
Цитата:
Вот строка в Вашем логе (F2 - REG:system.ini: UserInit=userinit.exe) автозапуск происходит из ini файла.
А вот эти файлы непонятно откуда взялись?
pstf_x64_stub.exe
uze3nju4.sys
a14yspnq.sys
|
Я знаю что pstf_x64_stub.exe, модуль программы PSTray Factory, первый .sys чистый, а второй немогу найти.
Прокомментируйте пожалуйста выше описанное? |
uze3nju4.sys - драйвер AVZ
a14yspnq.sys - драйвер IDE ATAPI
F2 - REG:system.ini: UserInit=userinit.exe
это нормально
|
| iskander-k |
30-10-2010 23:31 1531306 |
Цитата:
Цитата jok17er
Вот строка в Вашем логе (F2 - REG:system.ini: UserInit=userinit.exe) автозапуск происходит из ini файла. »
|
Это строка из реестра для Windows 7 - норма. Она находится в узле в узле WOW6432Node
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ReportBootOk"="1"
"Shell"="explorer.exe"
"PreCreateKnownFolders"="{A520A1A4-1780-4FF6-BD18-167343C5AF16}"
"DefaultDomainName"=""
"DefaultUserName"=""
"Userinit"="userinit.exe"
"VMApplet"="SystemPropertiesPerformance.exe /pagefile"
Цитата:
Реестр 64-разрядных версий Windows подразделяется на 32- и 64-разрядные разделы. Большинство 32-разрядных разделов имеют те же имена, что и их аналоги в 64-разрядном разделе, и наоборот. По умолчанию в 64-разрядных версиях Windows используется отображение 32-разрядных разделов в узле WOW6432Node. Процесс отображения прозрачен для 32-разрядных приложений, т.е. они могут получать доступ к разделам реестра так, как будто бы они работали в 32-битном окружении несмотря на то, что данные хранятся в другом месте.
|
Источник
Хиджак считает это ошибкой , но это норма для Windows 7 . Позволяет запускать приложения в режиме совместимости. |
Время: 14:04.
© OSzone.net 2001-
