-
Junior Member
- Вес репутации
- 58
сообщения eventlog + якобы история wmp8 в winxp
Добрый день.
У меня возникла пара вопросов по сюрпризам от Лучшей ОС
В логах событий безопасности появились следующие сообщения,
единственные за 6 часов, когда на компьютере был запущен только uTorrent.
Соответственно, хотелось бы знать, почему и зачем explorer (pid 154 вдруг запускает rundll32
и появляется сообщение об использовании (или получении) привилегий на завершение работы,
учитывая что нигде не предусмотрено автоматическое отключение (перезагрузка и т.д),
в настройках питания может выключаться только монитор.
Event Type: Success Audit
Event Source: Security
Event Category: Detailed Tracking
Event ID: 592
Date: 16.08.2008
Time: 7:59:46
User: HOST\user
Computer: HOST
Description:
A new process has been created:
New Process ID: 580
Image File Name: C:\WINDOWS\system32\rundll32.exe
Creator Process ID: 1548
- explorer.exe
User Name: user
Domain: HOST
Logon ID: (0x0,0x14097)
-------------
Event Type: Success Audit
Event Source: Security
Event Category: Privilege Use
Event ID: 577
Date: 16.08.2008
Time: 7:59:47
User: HOST\user
Computer: HOST
Description:
Privileged Service Called:
Server: Security
Service: -
Primary User Name: user
Primary Domain: HOST
Primary Logon ID: (0x0,0x14097)
Client User Name: -
Client Domain: -
Client Logon ID: -
Privileges: SeShutdownPrivilege
-------------
Event Type: Success Audit
Event Source: Security
Event Category: Detailed Tracking
Event ID: 593
Date: 16.08.2008
Time: 7:59:53
User: HOST\user
Computer: HOST
Description:
A process has exited:
Process ID: 580
Image File Name: C:\WINDOWS\system32\rundll32.exe
User Name: user
Domain: HOST
Logon ID: (0x0,0x14097)
Второй сюрприз - появление следующего файла.
z:\Documents and Settings\user\Local Settings\Application Data\
DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
На форумах пишут, что это файл истории Windows Media Player 8 и,
так как изначально в XP была восьмая версия, этот файл остался.
Остается закономерный вопрос, почему этот файл появляется на компьтере с WMP9,
который никогда не запускался, и почему он появляется только спустя некоторое время.
В очередной раз наткнувшись на него, машинально удалил, вместо того,
чтобы посмотреть время создания и посмотреть в логах событий безопасности,
что за процессы запускались в это время.
Переустанавливать всё из-за одного файла, сами понимаете, не практично
Может, у кого-то есть соображения на этот счёт?
Система - Win XP SP3
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
xpuser
На форумах пишут, что это файл истории Windows Media Player 8
Это именно так. Можно удалить файл если вы уверены, что не будете откатывать обратно до WMP8. В таком случае ещё можно удалить в
Код:
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
файл с расширением .DB.; это так называемые playlists WMP8.
Я не думаю, что они появились ПОСЛЕ того, как вы обновили, а возможно во время установки WMP9 как средство восстановления WMP8. Как вам возможно известно, WMP9 можно откатить обратно, но тогда должны именно эти файлы присутствовать на компе. Я думаю, что так.
Rundll32 может запускаться по любому поводу если у вас не специально настроена ОС. Если подозреваете что-то неладное, то тогда рекомендую открыть тему в разделе Помогите по правилам. Проверить систему стоит, я так думаю.
Paul
-
Junior Member
- Вес репутации
- 58
Сообщение от
p2u
Я не думаю, что они появились ПОСЛЕ того, как вы обновили, а возможно во время установки WMP9 как средство восстановления WMP8.
Я бы не поднимал этот вопрос, если бы файл был там сразу после установки. Но мало того, что он появляется спустя какое-то время, wmp при этом ни разу не запускался, даже настройка, которая производится при первом запуске. XP с SP3 - образ с Мсдн.
Сообщение от
p2u
Rundll32 может запускаться по любому поводу если у вас не специально настроена ОС. Если подозреваете что-то неладное, то тогда рекомендую открыть тему в разделе Помогите по
правилам. Проверить систему стоит, я так думаю.
Paul
По поводу rundll32, опять же, интересно то, что поводов я не вижу никаких. Понятно, что он запускается при открытии апплетов панели управления, свойств компьютера, настроек часов и т.д. и т.п. Здесь же причина запуска в высшей степени загадочна. Большинство некритичных служб выключены. Режимы энергосбережения тоже. Задач в планировщике, как и самого планировщика - нет. То есть, нет ни единой причины, чтобы хотя бы подумать о выключении
На зловреда подозрений практически нет, так как установлен минимум в принципе проверенного софта. Разве что 0day для uTorrent 1.7.7, но это, скорее, из разряда фантастики.
Плюс, система не старше недели.
Для сравнения, вот такое сообщение появляется после успешного входа в систему
Event Type: Success Audit
Event Source: Security
Event Category: Privilege Use
Event ID: 577
Date: 16.08.2008
Time: 16:51:39
User: HOST\user
Computer: HOST
Description:
Privileged Service Called:
Server: Security
Service: -
Primary User Name: HOST$
Primary Domain: DOMAIN
Primary Logon ID: (0x0,0x3E7)
Client User Name: user
Client Domain: HOST
Client Logon ID: (0x0,0x13C22)
Privileges: SeShutdownPrivilege
Но это, судя по всему, выдача Пользователю привилегий на завершение работы.
Может есть какой-то софт на радость параноику, который более подробно логирует подобную активность?
Последний раз редактировалось xpuser; 16.08.2008 в 23:49.
-
Сообщение от
xpuser
wmp при этом ни разу не запускался
Это вы только думаете, что WMP ещё не запускался. На самом деле от него очень много всего грузится в системе каждый раз. Если вы хотите убедиться в этом, посмотрите программку AXHelper.
Установка не требуется. Открыть, 'ОК' нажать и она сканирует вашу систему. Как только она покажет вам все модули системы (должно быть не менее 4000!), нажмите на колонку File Description. Там сами увидите. 'Windows Media Player' Потом колонка слева - Status - Enabled. А это лишь часть WMP.
Сообщение от
xpuser
SNIP
Любые комментарии по поводу rundll32 с моей стороны будет гадание на кофейную гущу пока я не увидел отчёт самой системы.
Paul
Последний раз редактировалось XP user; 17.08.2008 в 00:13.
-
Junior Member
- Вес репутации
- 58
я и не сомневаюсь, что ветка HKCR\CLSID - занимательное чтиво
но мне полезнее было бы узнать, что за злодейская программа грузит wmp'шный контрол, который создаёт этот файл.
что подразумевается под отчетом системы? тема в "Помогите"?
сделаю, как будет возможность, но, как я уже сказал, слишком маловероятно, что это вирус. скорее всего, "стандартная" активность системы. узнать бы от чего такое рвение работать и что это за работа
-
Сообщение от
xpuser
я и не сомневаюсь, что ветка HKCR\CLSID - занимательное чтиво
Дело не в чтиве, а в том, что модули задействованы ВСЕ при загрузке Windows (Enabled), то есть наготове пока вы их сами не отключили. НИЧЕГО не мешает им запускаться пока вы их не отключили (что тоже можно делать с AXHelper'ом, кстати). Если вы хотите этим заниматься, и при этом не грохнуть систему, пишите мне в личке. Я вам передам какие модули я отключил (немало, но не все).
Сообщение от
xpuser
но мне полезнее было бы узнать, что за злодейская программа грузит wmp'шный контрол, который создаёт этот файл.
Это вам точно никто так не скажет - я сам тоже не думаю, что это зловред. Скорее всего отвечает за это shmedia.dll в папке system32.
В Windows много всего непонятного проиходит. Давайте посмотрим, какую роль WMP и все его модули (не путать с его GUI!) может играть в системе, даже если вы его не используете:
* В Windows ПОСТОЯННО идёт индексирование, даже если вы думаете, что вы всё в этом плане отключили. Во всём замещен IE, даже если вы его не используете. В IE есть модуль ActiveX WMP. Каждая папка тоже индексируется. Как только вы создаёте новую папку на рабочем столе и поместите туда media файлы, немедленно в контекстном меню такой папки появляется строка Play With WMP если он умеет играть такой тип media файла.
* Как только вы поставите CD в CD-Rom, наготове уже будут модули WMP если вы в свойствах CR-Rom не задали специально - 'Нет действия' по всем параметрам, и даже когда автозапуск отключён.
* Направить мышку на папку с определёнными файлам или на определённый тип файл (не запускать, только направить мышку!) может вызвать запуск модулей определённых программ. Не верите? Если у вас Adobe Reader, то тогда проделайте следующий эксперимент: ищите файл .pdf (любой и направьте мышь туда (не откройте). Теперь посмотрите в Диспетчер Задач, кто там запустился. Это происходит даже если у вас программа по умолчанию для .pdf НЕ Adobe Reader!
* WMP - часть системы под защитой Winlogon. Не обязательно, чтобы его GUI запускался. Там компонентов целая куча.
* просто проходить по сайтам в Интернете может вызвать действия от модулей WMP.
* Возможно какая-то служба, связана с WMP стоит на 'Вручную'. Это значит, что она может ЛЮБОЙ момент запускаться и что-то делать. Что именно вам могут сказать только в Редмонде.
Paul
Последний раз редактировалось XP user; 17.08.2008 в 18:09.
-
Junior Member
- Вес репутации
- 58
вопрос по плэйлисту wmp8 решен.
его создает xnview при генерации thumbnail'a для wmv файла
осталость разобраться с запуском rundll...