tzchange.dll Все говорят, что хороший, а я не верю!

[vgo]

Извините, забыл, как отправить на проверку подозрительный файл.

Суть такая. Windows XP SP2 rus. Я стал чистить свой старый комп и нашел в корне системного диска несколько папок с длинными шестнадцатиричными названиями. При попытке их удалить что-то удалилось, но остались три таких папки, в каждой есть только папка update, в каждой лежит однин и тот же (по названию, длине и дате) файл - tzchange.dll. Все три экземпляра система удалять не желает - говорит, заняты.

Virinfo говорит: все ок, файл давно проверен, но и свежая проверка дает 0.
Но я создал на диске новую партицию, и у нее в корне немедленно появилась новая такая же папка. С другим именем, но с той же подпапкой и с тем же файлом.

Я гружу с CD Acronis Disk Manager, им делаю копию системного диска на съемном носителе, подключаю этот носитель к другому компу (свежезалитому), лезу в те же папки. Меня не пускают: нет доступа. Делаю доступ и снова лезу. Файл тот же, сумма совпадает, проверка показывает 0.

С одной стороны, вроде бы файл действительно безвредный. С другой - все симптомы заразы.

Что делать-то?

- - - Добавлено - - -

При попытке их удалить что-то удалилось, но остались три таких папки, в каждой есть только папка update, в каждой лежит однин и тот же (по названию, длине и дате) файл - tzchange.dll. Все три экземпляра система удалять не желает - говорит, заняты.

Соврал немножко. Нет доступа. К папке немножко открыт доступ системе, всем остальным, включая администраторов, все закрыто. После прописывания доступа все удаляется.

Но все равно это как-то неправильно ((( Особенно факт образования такой папки в свежеразмеченной партиции.

Правда, на съемном диске она сама по себе не образовалась.

[Никита Соловьев]

http://virusdetector.ru - наш новый сервис, пробуйте.

[Val_Ery]

vgo,
дык, ведь это ж вроде time zone майкрософтовский. Нет?
На самом деле - давно было, но что-то где-то в памяти про Microsoft Outlook и изменение временных зон. Посмотрите на сайте Майкрософта, там должны быть данные о файлах (версия, размер, расположение etc.)

[vgo]

vgo,
дык, ведь это ж вроде time zone майкрософтовский. Нет?
На самом деле - давно было, но что-то где-то в памяти про Microsoft Outlook и изменение временных зон. Посмотрите на сайте Майкрософта, там должны быть данные о файлах (версия, размер, расположение etc.)

Это я смотрел.
Есть возражения:
1. Ему положено быть в подпапках \Windows, а не в странных папках с 16-ричными названиями
2. Три экземпляра - многовато
3. Самопроизвольно заползти на только что созданную партицию - неприлично
4. К папкам, в которых он лежит, категорически ограничен доступ, не сравнить с системными папками Windows.
5. Я осознал еще одну странность. К этим папкам вообще зарублен доступ администраторам компа и оставлено чуть-чуть прав юзеру SYSTEM. Когда я этот диск подключил к другой системе, получил то, что и ожидалось: меня в эти папки вовсе не пустили. Пока я не прописал доступ. Очевидно, то же самое должно было быть и на исходной системе. Но это не так: там я могу зайти в папку, в подпапку и увидеть файл, не могу только удалить. Что тоже очень занятно.

[Val_Ery]

vgo,
Наверное, в общем случае, ему положено быть в каталоге Windows при получении обновлений в автоматическом режиме (я про последние заплатки, связанные с отменой какого-то там летнего времени) - у вас ведь вроде обновление там сидит. Если же тот самый "временн'ой" патчик скачивался руками и ставился запуском, к примеру, с рабочего стола - совсем не факт, что исполняемый файл при своей распаковке не создаст каталог с диким букво-цифренным именем для себя любимого и последующего запуска/перезаписи системных файлов, в том же каталоге Виндовс, после перезагрузки... (это просто пример...)

Несколько экземпляров - говорит только о том, что распаковка инсталлятора происходила в разное время, которое сидит в имени каталога.

Проблемы с доступом к каталогу...
Дык, так и должно быть. В случае запланированного обновления компонентов после следующего ребута. Да, и полный доступ к нему должна иметь только система.

Вот самопроизвольное запозание как-то в мою концепцию не вписывается
Винда - тёмный лес!
Отправьте файлик, к примеру, на тритэксперт для проверки - http://www.threatexpert.com/submit.aspx (нужна регистрация). Во всяком случае, они вам скажут, майкрософтовский это файл или нет...

И про удаление... Я не видел ни одной системы, в которой не сработало бы rm -rf с любого живого Линукс-дистра Только вот надо ли оно Вам сейчас - не знаю...

[vgo]

Val_Ery, никакого ручного скачивания обновлений не было.
Все три папки на основном диске созданы действительно в разное время, в марте-апреле 2012 г.

Это были не единственные папки с апдейтами такого рода (в корне системного диска, с длинными Hex-именами), но в других совершенно другая структура папок и файлов. Что, впрочем, случается.

При том, что даты папок разные, все три файла показываются одинаковыми по fc /b

Возражения по п.5, приглядевшись, снимаю.

В общем, я потихоньку начинаю успокаиваться, но рекомендованную проверку все-таки сделаю.

- - - Добавлено - - -

MD5 карантина: A35FBFE2A840AAC8F88526EB608BD644
Размер файла: 14876022 байт
Ссылка на результаты анализа: http://virusinfo.info/virusdetector/...8526EB608BD644

- - - Добавлено - - -

Результаты пришли, ничего подозрительного. В том, что у FreeOTFE непорядок с подписями, ничего удивительного нет.
Остается вопрос насчет тех файлов, которые не удалось закарантинить даже прямым чтением - таких было несколько.

Но в целом я уже почти совсем успокоился.