Форум АНТИЧАТ - Может вы поможите....

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Windows (https://forum.antichat.xyz/forumdisplay.php?f=42)

- - Может вы поможите.... (https://forum.antichat.xyz/showthread.php?t=17025)

Может вы поможите....

Вот создовал эту тему на WHB, в надежде что кто-нить поможет... Но все её читали а помочь, не чем не смогли :(

Вот такая фигня:
Захожу как-то на свой С:/ и вижу там файл trace.txt , удоляю , и опять захожу на C:/ и этот файл опять там создаеться.
В файле только 0 и 1 больше не чего нету. Что его там создает.?
Сто раз его удолял(удоляется без проблем) закрываю Мой Комп, и опять захожу на C:\ и он опять там.

Процессы:

Цитата:

Имя образа PID Имя сессии № сеанса Память
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 20 КБ
System 4 Console 0 60 КБ
smss.exe 688 Console 0 76 КБ
csrss.exe 824 Console 0 3 268 КБ
winlogon.exe 856 Console 0 884 КБ
services.exe 900 Console 0 1 860 КБ
lsass.exe 912 Console 0 1 388 КБ
svchost.exe 1080 Console 0 2 128 КБ
svchost.exe 1416 Console 0 10 968 КБ
svchost.exe 1540 Console 0 1 536 КБ
svchost.exe 1656 Console 0 1 360 КБ
explorer.exe 664 Console 0 13 028 КБ
mouse32a.exe 716 Console 0 1 156 КБ
ps.exe 1136 Console 0 3 036 КБ
srvany.exe 592 Console 0 116 КБ
svchost.exe 732 Console 0 1 700 КБ
resetservice.exe 740 Console 0 480 КБ
BCResident.exe 1020 Console 0 304 КБ
qip.exe 1856 Console 0 3 252 КБ
Opera.exe 1180 Console 0 45 440 КБ
bred3_2k.exe 2188 Console 0 344 КБ
outpost.exe 2404 Console 0 16 248 КБ
bred3_2k.exe 3620 Console 0 756 КБ
bred3_2k.exe 948 Console 0 652 КБ
bred3_2k.exe 3040 Console 0 748 КБ
cmd.exe 3520 Console 0 1 732 КБ
tasklist.exe 1692 Console 0 3 840 КБ
wmiprvse.exe 1024 Console 0 4 960 КБ

ЛОги программы Filemon

Цитата:

1181 14:23:14 explorer.exe:660 OPEN C:\trace.txt SUCCESS Options: OpenIf Access: All
1182 14:23:14 explorer.exe:660 OPEN C:\trace.txt SUCCESS Options: Open Access: All
1183 14:23:14 explorer.exe:660 QUERY INFORMATION C:\trace.txt SUCCESS FileInternalInformation
1184 14:23:14 explorer.exe:660 CLOSE C:\trace.txt SUCCESS
1185 14:23:14 explorer.exe:660 QUERY INFORMATION C:\trace.txt SUCCESS Length: 618
1186 14:23:14 explorer.exe:660 QUERY INFORMATION C:\trace.txt SUCCESS Length: 618
1187 14:23:14 explorer.exe:660 WRITE C:\trace.txt SUCCESS Offset: 618 Length: 3
1188 14:23:14 explorer.exe:660 READ C:\trace.txt SUCCESS Offset: 0 Length: 4096
1189 14:23:14 explorer.exe:660 CLOSE C:\trace.txt SUCCESS
1190 14:23:14 explorer.exe:660 OPEN C:\trace.txt:KAVICHS SUCCESS Options: Open Access: All
1191 14:23:14 explorer.exe:660 OPEN C:\trace.txt:KAVICHS SUCCESS Options: Open Access: All
1192 14:23:14 explorer.exe:660 QUERY INFORMATION C:\trace.txt:KAVICHS SUCCESS Length: 36
1193 14:23:14 explorer.exe:660 QUERY INFORMATION C:\trace.txt:KAVICHS SUCCESS Length: 36
1194 14:23:14 explorer.exe:660 READ C:\trace.txt:KAVICHS SUCCESS Offset: 0 Length: 36
1195 14:23:14 explorer.exe:660 READ C:\trace.txt:KAVICHS SUCCESS Offset: 0 Length: 4096
1196 14:23:14 explorer.exe:660 CLOSE C:\trace.txt:KAVICHS SUCCESS
1197 14:23:14 explorer.exe:660 OPEN C:\trace.txt:KAVICHS SUCCESS Options: Open Access: All
1198 14:23:14 explorer.exe:660 QUERY INFORMATION C:\trace.txt:KAVICHS SUCCESS FileInternalInformation
1199 14:23:14 explorer.exe:660 CLOSE C:\trace.txt:KAVICHS SUCCESS
1200 14:23:14 explorer.exe:660 SET INFORMATION C:\trace.txt:KAVICHS SUCCESS FileBasicInformation
1201 14:23:14 explorer.exe:660 READ C:\trace.txt:KAVICHS SUCCESS Offset: 0 Length: 4
1202 14:23:14 explorer.exe:660 CLOSE C:\trace.txt:KAVICHS SUCCESS

Это вероятно инжекция кода в explorer.exe!Слей себе procexplorer и SPYXX и посмотри процессы и какие дллки загружены в explorere!

Process PID CPU Description Company Name
System Idle Process 0 68.27
Interrupts n/a 1.92 Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 672 Windows NT Session Manager Microsoft Corporation
csrss.exe 828 0.96 Client Server Runtime Process Microsoft Corporation
winlogon.exe 860 Программа входа в систему Windows NT Корпорация Майкрософт
services.exe 904 3.85 Приложение служб и контроллеров Корпорация Майкрософт
svchost.exe 1096 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1432 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1536 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1656 Generic Host Process for Win32 Services Microsoft Corporation
outpost.exe 296 0.96 Outpost Firewall main module Agnitum Ltd.
srvany.exe 648
resetservice.exe 664
svchost.exe 276 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 3816 Spooler SubSystem App Microsoft Corporation
lsass.exe 916 LSA Shell (Export Version) Microsoft Corporation
explorer.exe 1128 1.92 Проводник Корпорация Майкрософт
mouse32a.exe 1948
ps.exe 168 Punto Switcher 2.2 Punto.Ru
qip.exe 1888 Quiet Internet Pager The Author of QIP
Opera.exe 1572 18.27 Opera Internet Browser Opera Software
procexp.exe 3068 3.85 Sysinternals Process Explorer Sysinternals
BCResident.exe 4024 BCResident Jetico, Inc.

Что тут лишнеее?

srvany.exe 648
BCResident.exe 4024 BCResident Jetico, Inc.
resetservice.exe 664
не знаю че такие =)

resetservice.exe
srvany.exe
Эти сервисы всегда киляю!

resetservice.exe
srvany.exe убил, но файл все равно создаеться

Цитата:

Слей себе procexplorer и SPYXX и посмотри процессы и какие дллки загружены в explorere!

Я тоже так думаю.
А если неохота качать то попробуй кильни explorer Потом жмеш Новая задача(выполнить) -> Обзор -> В низу выбираеш все файлы -> Зходиш на диск C -> удаляеш этот файл -> Смотриш непоявился ли он если появился значет дело не explorer если непоявился значет дело explorer.
Чтобы продолжить дальше работу на компе просто введи в коНовая задача(выполнить) explorer

Вот логи procexplorer

rocess PID CPU Description Company Name
System Idle Process 0 68.27
Interrupts n/a 1.92 Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 672 Windows NT Session Manager Microsoft Corporation
csrss.exe 828 0.96 Client Server Runtime Process Microsoft Corporation
winlogon.exe 860 Программа входа в систему Windows NT Корпорация Майкрософт
services.exe 904 3.85 Приложение служб и контроллеров Корпорация Майкрософт
svchost.exe 1096 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1432 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1536 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1656 Generic Host Process for Win32 Services Microsoft Corporation
outpost.exe 296 0.96 Outpost Firewall main module Agnitum Ltd.
srvany.exe 648
resetservice.exe 664
svchost.exe 276 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 3816 Spooler SubSystem App Microsoft Corporation
lsass.exe 916 LSA Shell (Export Version) Microsoft Corporation
explorer.exe 1128 1.92 Проводник Корпорация Майкрософт
mouse32a.exe 1948
ps.exe 168 Punto Switcher 2.2 Punto.Ru
qip.exe 1888 Quiet Internet Pager The Author of QIP
Opera.exe 1572 18.27 Opera Internet Browser Opera Software
procexp.exe 3068 3.85 Sysinternals Process Explorer Sysinternals
BCResident.exe 4024 BCResident Jetico, Inc.

Слушай!Ты что совсем безголовый и безрукий!Посмотри какие дллки и ехе подгружает экрлорер и список всех процессов посматри.Те что имеются в эхрлорере!
Или сначало воспользуйся советом EST a1ien!

ууу. Кароче сделал как посоветовал EST a1ien, без перезагрузки компа, файл не появляется!
Но как перезагружу, то он опять там :(