Показано с 1 по 7 из 7.

сообщения eventlog + якобы история wmp8 в winxp

  1. #1
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    4
    Вес репутации
    35

    сообщения eventlog + якобы история wmp8 в winxp

    Добрый день.

    У меня возникла пара вопросов по сюрпризам от Лучшей ОС

    В логах событий безопасности появились следующие сообщения,
    единственные за 6 часов, когда на компьютере был запущен только uTorrent.
    Соответственно, хотелось бы знать, почему и зачем explorer (pid 154 вдруг запускает rundll32
    и появляется сообщение об использовании (или получении) привилегий на завершение работы,
    учитывая что нигде не предусмотрено автоматическое отключение (перезагрузка и т.д),
    в настройках питания может выключаться только монитор.
    Event Type: Success Audit
    Event Source: Security
    Event Category: Detailed Tracking
    Event ID: 592
    Date: 16.08.2008
    Time: 7:59:46
    User: HOST\user
    Computer: HOST
    Description:
    A new process has been created:
    New Process ID: 580
    Image File Name: C:\WINDOWS\system32\rundll32.exe
    Creator Process ID: 1548 - explorer.exe
    User Name: user
    Domain: HOST
    Logon ID: (0x0,0x14097)
    -------------
    Event Type: Success Audit
    Event Source: Security
    Event Category: Privilege Use
    Event ID: 577
    Date: 16.08.2008
    Time: 7:59:47
    User: HOST\user
    Computer: HOST
    Description:
    Privileged Service Called:
    Server: Security
    Service: -
    Primary User Name: user
    Primary Domain: HOST
    Primary Logon ID: (0x0,0x14097)
    Client User Name: -
    Client Domain: -
    Client Logon ID: -
    Privileges: SeShutdownPrivilege
    -------------
    Event Type: Success Audit
    Event Source: Security
    Event Category: Detailed Tracking
    Event ID: 593
    Date: 16.08.2008
    Time: 7:59:53
    User: HOST\user
    Computer: HOST
    Description:
    A process has exited:
    Process ID: 580
    Image File Name: C:\WINDOWS\system32\rundll32.exe
    User Name: user
    Domain: HOST
    Logon ID: (0x0,0x14097)



    Второй сюрприз - появление следующего файла.
    z:\Documents and Settings\user\Local Settings\Application Data\
    DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    На форумах пишут, что это файл истории Windows Media Player 8 и,
    так как изначально в XP была восьмая версия, этот файл остался.
    Остается закономерный вопрос, почему этот файл появляется на компьтере с WMP9,
    который никогда не запускался, и почему он появляется только спустя некоторое время.
    В очередной раз наткнувшись на него, машинально удалил, вместо того,
    чтобы посмотреть время создания и посмотреть в логах событий безопасности,
    что за процессы запускались в это время.
    Переустанавливать всё из-за одного файла, сами понимаете, не практично
    Может, у кого-то есть соображения на этот счёт?

    Система - Win XP SP3

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от xpuser Посмотреть сообщение
    На форумах пишут, что это файл истории Windows Media Player 8
    Это именно так. Можно удалить файл если вы уверены, что не будете откатывать обратно до WMP8. В таком случае ещё можно удалить в
    Код:
    C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
    файл с расширением .DB.; это так называемые playlists WMP8.
    Я не думаю, что они появились ПОСЛЕ того, как вы обновили, а возможно во время установки WMP9 как средство восстановления WMP8. Как вам возможно известно, WMP9 можно откатить обратно, но тогда должны именно эти файлы присутствовать на компе. Я думаю, что так.

    Rundll32 может запускаться по любому поводу если у вас не специально настроена ОС. Если подозреваете что-то неладное, то тогда рекомендую открыть тему в разделе Помогите по правилам. Проверить систему стоит, я так думаю.

    Paul

  4. #3
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    4
    Вес репутации
    35
    Цитата Сообщение от p2u Посмотреть сообщение
    Я не думаю, что они появились ПОСЛЕ того, как вы обновили, а возможно во время установки WMP9 как средство восстановления WMP8.
    Я бы не поднимал этот вопрос, если бы файл был там сразу после установки. Но мало того, что он появляется спустя какое-то время, wmp при этом ни разу не запускался, даже настройка, которая производится при первом запуске. XP с SP3 - образ с Мсдн.

    Цитата Сообщение от p2u Посмотреть сообщение
    Rundll32 может запускаться по любому поводу если у вас не специально настроена ОС. Если подозреваете что-то неладное, то тогда рекомендую открыть тему в разделе Помогите по правилам. Проверить систему стоит, я так думаю.

    Paul
    По поводу rundll32, опять же, интересно то, что поводов я не вижу никаких. Понятно, что он запускается при открытии апплетов панели управления, свойств компьютера, настроек часов и т.д. и т.п. Здесь же причина запуска в высшей степени загадочна. Большинство некритичных служб выключены. Режимы энергосбережения тоже. Задач в планировщике, как и самого планировщика - нет. То есть, нет ни единой причины, чтобы хотя бы подумать о выключении
    На зловреда подозрений практически нет, так как установлен минимум в принципе проверенного софта. Разве что 0day для uTorrent 1.7.7, но это, скорее, из разряда фантастики.
    Плюс, система не старше недели.

    Для сравнения, вот такое сообщение появляется после успешного входа в систему
    Event Type: Success Audit
    Event Source: Security
    Event Category: Privilege Use
    Event ID: 577
    Date: 16.08.2008
    Time: 16:51:39
    User: HOST\user
    Computer: HOST
    Description:
    Privileged Service Called:
    Server: Security
    Service: -
    Primary User Name: HOST$
    Primary Domain: DOMAIN
    Primary Logon ID: (0x0,0x3E7)
    Client User Name: user
    Client Domain: HOST
    Client Logon ID: (0x0,0x13C22)
    Privileges: SeShutdownPrivilege
    Но это, судя по всему, выдача Пользователю привилегий на завершение работы.

    Может есть какой-то софт на радость параноику, который более подробно логирует подобную активность?
    Последний раз редактировалось xpuser; 16.08.2008 в 22:49.

  5. #4
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от xpuser Посмотреть сообщение
    wmp при этом ни разу не запускался
    Это вы только думаете, что WMP ещё не запускался. На самом деле от него очень много всего грузится в системе каждый раз. Если вы хотите убедиться в этом, посмотрите программку AXHelper.
    Установка не требуется. Открыть, 'ОК' нажать и она сканирует вашу систему. Как только она покажет вам все модули системы (должно быть не менее 4000!), нажмите на колонку File Description. Там сами увидите. 'Windows Media Player' Потом колонка слева - Status - Enabled. А это лишь часть WMP.
    Цитата Сообщение от xpuser Посмотреть сообщение
    SNIP
    Любые комментарии по поводу rundll32 с моей стороны будет гадание на кофейную гущу пока я не увидел отчёт самой системы.

    Paul
    Последний раз редактировалось XP user; 16.08.2008 в 23:13.

  6. #5
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    4
    Вес репутации
    35
    я и не сомневаюсь, что ветка HKCR\CLSID - занимательное чтиво
    но мне полезнее было бы узнать, что за злодейская программа грузит wmp'шный контрол, который создаёт этот файл.

    что подразумевается под отчетом системы? тема в "Помогите"?
    сделаю, как будет возможность, но, как я уже сказал, слишком маловероятно, что это вирус. скорее всего, "стандартная" активность системы. узнать бы от чего такое рвение работать и что это за работа

  7. #6
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от xpuser Посмотреть сообщение
    я и не сомневаюсь, что ветка HKCR\CLSID - занимательное чтиво
    Дело не в чтиве, а в том, что модули задействованы ВСЕ при загрузке Windows (Enabled), то есть наготове пока вы их сами не отключили. НИЧЕГО не мешает им запускаться пока вы их не отключили (что тоже можно делать с AXHelper'ом, кстати). Если вы хотите этим заниматься, и при этом не грохнуть систему, пишите мне в личке. Я вам передам какие модули я отключил (немало, но не все).
    Цитата Сообщение от xpuser Посмотреть сообщение
    но мне полезнее было бы узнать, что за злодейская программа грузит wmp'шный контрол, который создаёт этот файл.
    Это вам точно никто так не скажет - я сам тоже не думаю, что это зловред. Скорее всего отвечает за это shmedia.dll в папке system32.

    В Windows много всего непонятного проиходит. Давайте посмотрим, какую роль WMP и все его модули (не путать с его GUI!) может играть в системе, даже если вы его не используете:
    * В Windows ПОСТОЯННО идёт индексирование, даже если вы думаете, что вы всё в этом плане отключили. Во всём замещен IE, даже если вы его не используете. В IE есть модуль ActiveX WMP. Каждая папка тоже индексируется. Как только вы создаёте новую папку на рабочем столе и поместите туда media файлы, немедленно в контекстном меню такой папки появляется строка Play With WMP если он умеет играть такой тип media файла.
    * Как только вы поставите CD в CD-Rom, наготове уже будут модули WMP если вы в свойствах CR-Rom не задали специально - 'Нет действия' по всем параметрам, и даже когда автозапуск отключён.
    * Направить мышку на папку с определёнными файлам или на определённый тип файл (не запускать, только направить мышку!) может вызвать запуск модулей определённых программ. Не верите? Если у вас Adobe Reader, то тогда проделайте следующий эксперимент: ищите файл .pdf (любой и направьте мышь туда (не откройте). Теперь посмотрите в Диспетчер Задач, кто там запустился. Это происходит даже если у вас программа по умолчанию для .pdf НЕ Adobe Reader!
    * WMP - часть системы под защитой Winlogon. Не обязательно, чтобы его GUI запускался. Там компонентов целая куча.
    * просто проходить по сайтам в Интернете может вызвать действия от модулей WMP.
    * Возможно какая-то служба, связана с WMP стоит на 'Вручную'. Это значит, что она может ЛЮБОЙ момент запускаться и что-то делать. Что именно вам могут сказать только в Редмонде.

    Paul
    Последний раз редактировалось XP user; 17.08.2008 в 17:09.

  8. #7
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    4
    Вес репутации
    35
    вопрос по плэйлисту wmp8 решен.
    его создает xnview при генерации thumbnail'a для wmv файла

    осталость разобраться с запуском rundll...

Похожие темы

  1. История Virusinfo
    От Matias в разделе Оффтоп
    Ответов: 12
    Последнее сообщение: 27.01.2010, 19:20
  2. Бесконечная история
    От Гриша в разделе Новости компьютерной безопасности
    Ответов: 15
    Последнее сообщение: 10.04.2009, 20:47
  3. Ответов: 13
    Последнее сообщение: 17.03.2009, 19:35
  4. Ответов: 4
    Последнее сообщение: 22.02.2009, 06:20

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00456 seconds with 15 queries