-
Junior Member
- Вес репутации
- 58
tzchange.dll Все говорят, что хороший, а я не верю!
Извините, забыл, как отправить на проверку подозрительный файл.
Суть такая. Windows XP SP2 rus. Я стал чистить свой старый комп и нашел в корне системного диска несколько папок с длинными шестнадцатиричными названиями. При попытке их удалить что-то удалилось, но остались три таких папки, в каждой есть только папка update, в каждой лежит однин и тот же (по названию, длине и дате) файл - tzchange.dll. Все три экземпляра система удалять не желает - говорит, заняты.
Virinfo говорит: все ок, файл давно проверен, но и свежая проверка дает 0.
Но я создал на диске новую партицию, и у нее в корне немедленно появилась новая такая же папка. С другим именем, но с той же подпапкой и с тем же файлом.
Я гружу с CD Acronis Disk Manager, им делаю копию системного диска на съемном носителе, подключаю этот носитель к другому компу (свежезалитому), лезу в те же папки. Меня не пускают: нет доступа. Делаю доступ и снова лезу. Файл тот же, сумма совпадает, проверка показывает 0.
С одной стороны, вроде бы файл действительно безвредный. С другой - все симптомы заразы.
Что делать-то?
- - - Добавлено - - -
Сообщение от
vgo
При попытке их удалить что-то удалилось, но остались три таких папки, в каждой есть только папка update, в каждой лежит однин и тот же (по названию, длине и дате) файл - tzchange.dll. Все три экземпляра система удалять не желает - говорит, заняты.
Соврал немножко. Нет доступа. К папке немножко открыт доступ системе, всем остальным, включая администраторов, все закрыто. После прописывания доступа все удаляется.
Но все равно это как-то неправильно ((( Особенно факт образования такой папки в свежеразмеченной партиции.
Правда, на съемном диске она сама по себе не образовалась.
"Дом поросенка должен быть крепостью"(С) Наф-Наф
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
http://virusdetector.ru - наш новый сервис, пробуйте.
-
-
vgo,
дык, ведь это ж вроде time zone майкрософтовский. Нет?
На самом деле - давно было, но что-то где-то в памяти про Microsoft Outlook и изменение временных зон. Посмотрите на сайте Майкрософта, там должны быть данные о файлах (версия, размер, расположение etc.)
-
Junior Member
- Вес репутации
- 58
Сообщение от
Val_Ery
vgo,
дык, ведь это ж вроде time zone майкрософтовский. Нет?
На самом деле - давно было, но что-то где-то в памяти про Microsoft Outlook и изменение временных зон. Посмотрите на сайте Майкрософта, там должны быть данные о файлах (версия, размер, расположение etc.)
Это я смотрел.
Есть возражения:
1. Ему положено быть в подпапках \Windows, а не в странных папках с 16-ричными названиями
2. Три экземпляра - многовато
3. Самопроизвольно заползти на только что созданную партицию - неприлично
4. К папкам, в которых он лежит, категорически ограничен доступ, не сравнить с системными папками Windows.
5. Я осознал еще одну странность. К этим папкам вообще зарублен доступ администраторам компа и оставлено чуть-чуть прав юзеру SYSTEM. Когда я этот диск подключил к другой системе, получил то, что и ожидалось: меня в эти папки вовсе не пустили. Пока я не прописал доступ. Очевидно, то же самое должно было быть и на исходной системе. Но это не так: там я могу зайти в папку, в подпапку и увидеть файл, не могу только удалить. Что тоже очень занятно.
"Дом поросенка должен быть крепостью"(С) Наф-Наф
-
vgo,
Наверное, в общем случае, ему положено быть в каталоге Windows при получении обновлений в автоматическом режиме (я про последние заплатки, связанные с отменой какого-то там летнего времени) - у вас ведь вроде обновление там сидит. Если же тот самый "временн'ой" патчик скачивался руками и ставился запуском, к примеру, с рабочего стола - совсем не факт, что исполняемый файл при своей распаковке не создаст каталог с диким букво-цифренным именем для себя любимого и последующего запуска/перезаписи системных файлов, в том же каталоге Виндовс, после перезагрузки... (это просто пример...)
Несколько экземпляров - говорит только о том, что распаковка инсталлятора происходила в разное время, которое сидит в имени каталога.
Проблемы с доступом к каталогу...
Дык, так и должно быть. В случае запланированного обновления компонентов после следующего ребута. Да, и полный доступ к нему должна иметь только система.
Вот самопроизвольное запозание как-то в мою концепцию не вписывается
Винда - тёмный лес!
Отправьте файлик, к примеру, на тритэксперт для проверки - http://www.threatexpert.com/submit.aspx (нужна регистрация). Во всяком случае, они вам скажут, майкрософтовский это файл или нет...
И про удаление... Я не видел ни одной системы, в которой не сработало бы rm -rf с любого живого Линукс-дистра Только вот надо ли оно Вам сейчас - не знаю...
-
Junior Member
- Вес репутации
- 58
Val_Ery, никакого ручного скачивания обновлений не было.
Все три папки на основном диске созданы действительно в разное время, в марте-апреле 2012 г.
Это были не единственные папки с апдейтами такого рода (в корне системного диска, с длинными Hex-именами), но в других совершенно другая структура папок и файлов. Что, впрочем, случается.
При том, что даты папок разные, все три файла показываются одинаковыми по fc /b
Возражения по п.5, приглядевшись, снимаю.
В общем, я потихоньку начинаю успокаиваться, но рекомендованную проверку все-таки сделаю.
- - - Добавлено - - -
MD5 карантина: A35FBFE2A840AAC8F88526EB608BD644
Размер файла: 14876022 байт
Ссылка на результаты анализа: http://virusinfo.info/virusdetector/...8526EB608BD644
- - - Добавлено - - -
Результаты пришли, ничего подозрительного. В том, что у FreeOTFE непорядок с подписями, ничего удивительного нет.
Остается вопрос насчет тех файлов, которые не удалось закарантинить даже прямым чтением - таких было несколько.
Но в целом я уже почти совсем успокоился.
"Дом поросенка должен быть крепостью"(С) Наф-Наф