C:\Windows\system32\WINIO.sys - черт или ангел?
Вчера и до сегодняшнего дня Tcpview показывал много числовых адресов (не имеющих символьного имени, а 4 числа, разделенные точкой). Проблема с кучей не-DNS адресов все еще осталась. Пока я не выписываю эти адреса на бумажечку, все равно часто меняются и зависят от того, на какой сайт я пошел. В Windows\system32\ появился файл WINIO.sys. У меня установлена MATLAB 7.0 и там же в bin/win32, файлы совпадают. Virusttal молчит, а вот virscan.org - кучу ругательств:
[URL]http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html[/URL]
Подозрительно то, что все эти ругательства отличаются друг от друга, единственно совпадающее слово Dialer. Если бы это была гадость, то хотя бы у 2-3 антивирусов ее название совпадало полностью. Думаю, что антивирусы подозревают совершенно разные файлы. Хотя могу и ошибаться - может названия гадостей отличаются из-за того, что эта гадость редкая и каждая компания дает ей свое имя. Но MD5 от VirusTotal и VirScan оказались разные (363438fbfd6dbf489c2d65ab25c2c5b4 и 4a2514195555a43458b4e087d29124be). После пересканирования MD5 стала такой же как на VirusTotal (и 0 подозрений):
[URL]http://virscan.org/report/473e78030f4c7d91b81b647d8b5d6503.html[/URL]
На сайте Касперского в поиске такого слова (WINIO.sys) не знают.
Пока я этот драйвер отключил (Start - 4). Дата создания файла - 1:39, 30 ноября 2009, и через несколько минут я его обнаружил (решил проверить систему перед тем, как лечь спать). Дата изменения совпадает с файлом в bin/win32.
В гугле на всех сайтах его удаляют скриптами AVZ, но помещают в карантин. Видимо, просто не знают что с ним делать. Логи посмотреть не могу - везде требуется зарегистрироваться. О проблемах с ним вроде не нашел. По MD5 выводит только китайские сайты.
На вашем сайте есть много тем с файлом WINIO.sys. Но к сожалению, все причины тормозов системы разные, ничего общего, а карантины недоступны (даже MD5 не могу посмотреть). Никаких намеков пользователей на MATLAB нет, поиск "WINIO.sys MATLAB" не дает результатов.
Доп. информация:
Долгое время оставался включенным сервис MATLAB Server. Почему? Потому что я его выключил (то есть думал что выключил), вот и не проверял. Когда обнаружил файл WINIO.sys, проверил службы - сервис опять оказался включенным. Сейчас он тоже выключен.
Добавлено: Вообще-то мне больше кажется что файл похож на драйвер из набора SysInternals. Во-первых, вызов драйвера указан был как "Запрос" (Start = 3), а не "Автоматически" или "Система". Во-вторых, размер почти такой же, есть одинаковая ссылка (@comp.id) и одинаковые строки "obj\i386\winio.obj" и ".\i386\checked\WinIo.sys". Около половины функций - одинаковые. Скорее-всего я запустил какую-то утилиту во время проверки компьютера, она и создала драйвер. Дополнительно прикладываю сам файл. За паролем обращайтесь в ПС.
Что еще можно сделать чтобы вынести правильный вердикт (без отладки реверсинга)?
