-
Junior Member
- Вес репутации
- 0
C:\Windows\system32\WINIO.sys - черт или ангел?
Вчера и до сегодняшнего дня Tcpview показывал много числовых адресов (не имеющих символьного имени, а 4 числа, разделенные точкой). Проблема с кучей не-DNS адресов все еще осталась. Пока я не выписываю эти адреса на бумажечку, все равно часто меняются и зависят от того, на какой сайт я пошел. В Windows\system32\ появился файл WINIO.sys. У меня установлена MATLAB 7.0 и там же в bin/win32, файлы совпадают. Virusttal молчит, а вот virscan.org - кучу ругательств:
http://virscan.org/report/e8541b64f8...aa9dfd4d2.html
Подозрительно то, что все эти ругательства отличаются друг от друга, единственно совпадающее слово Dialer. Если бы это была гадость, то хотя бы у 2-3 антивирусов ее название совпадало полностью. Думаю, что антивирусы подозревают совершенно разные файлы. Хотя могу и ошибаться - может названия гадостей отличаются из-за того, что эта гадость редкая и каждая компания дает ей свое имя. Но MD5 от VirusTotal и VirScan оказались разные (363438fbfd6dbf489c2d65ab25c2c5b4 и 4a2514195555a43458b4e087d29124be). После пересканирования MD5 стала такой же как на VirusTotal (и 0 подозрений):
http://virscan.org/report/473e78030f...d8b5d6503.html
На сайте Касперского в поиске такого слова (WINIO.sys) не знают.
Пока я этот драйвер отключил (Start - 4). Дата создания файла - 1:39, 30 ноября 2009, и через несколько минут я его обнаружил (решил проверить систему перед тем, как лечь спать). Дата изменения совпадает с файлом в bin/win32.
В гугле на всех сайтах его удаляют скриптами AVZ, но помещают в карантин. Видимо, просто не знают что с ним делать. Логи посмотреть не могу - везде требуется зарегистрироваться. О проблемах с ним вроде не нашел. По MD5 выводит только китайские сайты.
На вашем сайте есть много тем с файлом WINIO.sys. Но к сожалению, все причины тормозов системы разные, ничего общего, а карантины недоступны (даже MD5 не могу посмотреть). Никаких намеков пользователей на MATLAB нет, поиск "WINIO.sys MATLAB" не дает результатов.
Доп. информация:
Долгое время оставался включенным сервис MATLAB Server. Почему? Потому что я его выключил (то есть думал что выключил), вот и не проверял. Когда обнаружил файл WINIO.sys, проверил службы - сервис опять оказался включенным. Сейчас он тоже выключен.
Добавлено: Вообще-то мне больше кажется что файл похож на драйвер из набора SysInternals. Во-первых, вызов драйвера указан был как "Запрос" (Start = 3), а не "Автоматически" или "Система". Во-вторых, размер почти такой же, есть одинаковая ссылка (@comp.id) и одинаковые строки "obj\i386\winio.obj" и ".\i386\checked\WinIo.sys". Около половины функций - одинаковые. Скорее-всего я запустил какую-то утилиту во время проверки компьютера, она и создала драйвер. Дополнительно прикладываю сам файл. За паролем обращайтесь в ПС.
Что еще можно сделать чтобы вынести правильный вердикт (без отладки реверсинга)?
Последний раз редактировалось AndreyMust19; 02.12.2009 в 23:18.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
WINIO.sys - вот справочка
Искали: "WINIO.sys"
Найдено записей: 2
1. Trojan.Win32.Genome.mkw
2. Trojan-GameThief.Win32.WOW.qca
А системный процес пишется чуть по другому...не всё большими буквами: WinIO.sys
Related to WinIo.sys WinIO.sys Windows NT Driver Part from Gabriel Topala.
так если у вас не WinIO.sys , а именно WINIO.sys..то бегом делать ЛОГи в раздел ПОМОГИТЕ
-
Сообщение от
Nvidia
не всё большими буквами
Windows в большинстве мест не различает строчные и прописные буквы. Так что это один и тот же файл.
Просто у одних он может быть от легитимного софта, у других...
Часто такое имя (Winio.sys) носит драйвер, разрешающий программам для Win9x доступ к портам на системах Win2k/WinXP
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 0
Nvidia
WINIO.sys - вот справочка
В том-то и дело, что с таким именем полно как легитимных файлов, так и вредоносных, маскирующихся под них. Вообще ориентировать на имя файла не желательно, лучше на MD5. Мой файл записан маленькими буквами.
Kuzz
Просто у одних он может быть от легитимного софта, у других...
pig
Подозреваемых проверяют здесь:
Наконец-то закачал файл.