Странный файл в корне системы - CCALib8WS.log

**drawline** · 06.11.2018, 21:32

Доброго дня.

Некоторое время назад обнаружил в корне системного диска странный лог - CCALib8WS.log
Был удален мной в конце октября (30-го, а первая запись внутри датирована 10 октября), после чего появился снова.
Никакими средствами (которыми умею пользоваться) не смог сопоставить какой-либо софтине.
Содержание тоже оставляет вопросы.
После известных писем с вымоганием BC и взломом паролей, которых я не избежал тоже, наличие этого файла вызвало некоторые подозрения. Не исключаю вероятности, что какая-то прога, установленная мной, все-таки является владельцем этого файла.
Полная проверка "штатным" KIS не выявила каких-либо подозрений. AVZ тоже, похоже, не нашел ничего криминального.
Пишу Вам сюда с обращением за помощью в этом вопросе.
Файл прикрепил сюда в архиве.

Судя по последним записям внутри этого лога (CCALib8WS.log), время примерно совпадает с временем перезагрузок, связанных с переустановкой драйверов для видеокарты NVIDIA (в связи с попытками устранить некоторые широко известные проблемы с драйверами этого производителя). Хотя последняя перезагрузка при проверке AutoLogger-ом записи не оставила.
Такой же файл присутствует и на втором системном диске с ОС XP. Записи, соответственно, отличаются от тех, что присутствуют на диске текущей системы и с переустановкой драйверов во второй системе точно не связаны (чему можно сопоставить указанное в записях второго лога время, я уже и не вспомню, пожалуй).

Буду признателен за любую помощь или консультацию. Может уже было что-то подобное...

С уважением

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.11.2018, 21:34

Уважаемый(ая) drawline, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 06.11.2018, 22:12

Сделайте логи по правилам.

**drawline** · 06.11.2018, 22:28

Логи я создал, но как-то побаиваюсь выкладывать их в открытый доступ - любой бери и используй.
Может есть какой-то способ прикрепленные файлы скрыть от общего доступа и сделать доступными только для ваших спецов?

**Vvvyg** · 06.11.2018, 22:31

Там никакой конфиденциальной информации нет.

**drawline** · 06.11.2018, 22:36

Я думал, что специалист по безопасности так ответить не сможет. Где же нет, если в этих логах разве что паролей нет, остальное - почти золотое дно для взломщиков. Может я слишком мнителен, однако, если Вы сотрудничаете с Касперским, то у них на форуме, например, с этим все в порядке. ))

**Vvvyg** · 06.11.2018, 22:51

Я бы так не сказал, зная, что именно в этих логах.
Загрузите в доступное облачное хранилище и дайте ссылку в личном сообщении.

**thyrex** · 06.11.2018, 23:58

drawline, нужно просто умерить свою паранойю, особенно если не знаете мотивировки запрета на скачивание файлов кем угодно на форуме фан-клуба Лаборатории Касперского.

Отключите автозапуск при старте системы всего, имеющего отношение к оборудованию от Canon (например, Canon Utilities EOS), удалите подозрительный файл и проверьте, появится он после перезагрузки или нет

**Vvvyg** · 07.11.2018, 06:56

Да, это от Canon Utilities EOS.
Плохого не видно.

**drawline** · 07.11.2018, 10:26

thyrex, Vvvyg, Спасибо большое.

PS.

...если не знаете мотивировки запрета на скачивание файлов кем угодно на форуме фан-клуба Лаборатории Касперского.

- где об этом можно почитать или спросить у кого?

Может у меня действительно паранойя? (за флуд не ругайте сильно, пжл)

Сразу в одном месте:
- ОС - версия, конфигурация, сохраненные ярлыки интернета от некоторых установленных программ
- перечислены текущий и остальные профили пользователя
- могут содержаться указатели на другие компьютеры сети
- перечислены ВСЕ установленные программы (имхо, в этих списках можно найти программы с уязвимостями почти у любого пользователя, которыми может воспользоваться взломщик)
- по списку программ примерно можно проанализировать деятельность или (и) интересы владельца (предназначение компьютера)
- список всех плагинов и дополнений в установленных браузерах
- сервисы системы и их состояние
- список всех служб, драйверов и исполняемых файлов в системе, независимо от того, запущены они или нет
- список автозапуска полный
- список файлов и папок, измененных за последние 3 месяца
- большое количество ключей реестра - вот читать все времени нет, но почему-то уверен, что среди этого списка можно было бы найти несколько "полезных" записей
- список портов TCP/UDP - это, не секрет, конечно, однако список уже "готов" и необходимости использовать сканирование уже нет
- список текущих сетевых подключений
- записи файла hosts, список общих ресурсов

По анализу всей информации можно сделать некоторые выводы о реальном владельце

Конечно, каждый из пунктов по отдельности большого секрета не представляет и с некоторыми усилиями их получить не проблема. Но когда все эти сведения собраны и находятся в одном месте, имхо, это большое подспорье для "интересующихся" и соблазн воспользоваться выложенной информацией может увеличиться многократно. Хотя бы даже и у "школьников". ))

Скрыть

**thyrex** · 07.11.2018, 11:22

Я могу и сам ответить: запрет на скачивание выкладываемых пользователями вредоносных вложений, разного рода дешифраторов и т.п. До того момента, когда это будет обнаружено модераторами.

Логи не несут никакой полезной информации, даже в том контексте, который написали Вы. И форум фан-клуба Лаборатории Касперского по сути единственный, где есть запрет на скачивание вложений любым пользователем.

**drawline** · 07.11.2018, 11:58

thyrex, Спасибо еще раз за ваши ответы.

Скрытый текст

Может и "...не несут никакой полезной информации, даже в том контексте", но учили именно этому в свое время. Достаточно почитать методы социальной инженерии. А в дополнение к этому в последнее время очень сильно наметилась тенденция с необходимостью хранения огромного количества паролей, список которых невозможно хранить в памяти, если только ты не Йоганн Вайс. Посему, уверен на все 100%, что у каждого этот список есть в каком либо физическом виде (файл, конечно, а может быть и бумажка)). И "лелеят" этот тренд именно "безопасники", требуя иметь пароли 6,8 символов или поменять их, если они были благополучно забыты. Даже в тех случаях, если для меня не сильно важен ресурс, от которого я забыл пароль (фразеологизм).

...форум фан-клуба Лаборатории Касперского по сути единственный, где есть запрет на скачивание вложений любым пользователем.

- уточню: "Очень непростых вложений". Печальная тенденция, если это так.

Видимо действительно развивается паранойя, и чем дальше, тем больше. )) ((

Обещаю, больше не буду здесь "флудить".

И все-таки, еще раз спасибо за вашу работу.

Скрыть

Странный файл в корне системы - CCALib8WS.log (заявка № 220795)

Опции темы