Я заглянул в свой каталог c:\windows\temp и нашел много файлов file.log. Имена построены с использованием следующего синтаксиса: Machinename-YYYYMMDD-XXXX.log .
И я нашел это:
Timestamp Process TID Area Category EventID Level Message Correlation
01/30/2016 12:43:10.754 OFFICEC2 (0xde8) 0xb6c Click-To-Run Telemetry aqkhc Medium {"MachineID":"a3c8037bfedf40479c3023588639eb6d","SessionID":"b292f44b-e5a6-41c3-a68e-000582c1e920","GeoID":"84","Ver":"0.0.0.0","ExeVer":"15.0.4787.1002","SecuritySessionId":"0","ModulePath":"C:\Program Files\Microsoft Office 15\ClientX64\OfficeC2RClient.exe","CommandLine":"/update SCHEDULEDTASK displaylevel=False","Bitness":"64","IntegrityLevel":"0x4000"}
01/30/2016 12:43:10.754 OFFICEC2 (0xde8) 0xb6c Click-To-Run Telemetry aqkhe Medium {"MachineID":"a3c8037bfedf40479c3023588639eb6d","SessionID":"b292f44b-e5a6-41c3-a68e-000582c1e920","GeoID":"84","Ver":"0.0.0.0","OSVersion":"6.2","SP":"0","ProductType":"1","ProcessorArch":"9","Locale":"1036"}
01/30/2016 12:43:10.770 OFFICEC2 (0xde8) 0xb6c Click-To-Run Telemetry amebh Medium ClientExe complete. {"MachineID":"a3c8037bfedf40479c3023588639eb6d","SessionID":"b292f44b-e5a6-41c3-a68e-000582c1e920","GeoID":"84","Ver":"15.0.4787.1002","Action":"1","Result":"0"}
01/30/2016 12:43:10.770 OFFICEC2 (0xde8) 0xb6c Logging Liblet aqc99 Medium Logging liblet uninitializing.
Большинство файлов такие длинные, а некоторые намного длиннее. Все журналы оборачиваются OFFICE2. Могут ли эти файлы журналов поступить от вредоносной программы?
PS: Я выполняю несколько проверок на наличие вредоносных программ с помощью нескольких проверенных приложений каждый месяц.