Masowe tworzenie sie plikow mx_*.tmp w Windows\Temp

scorp · 3 Kwiecień 2007 18:38

Kilka dni temu, szukajac przyczyny zmniejszajacej sie wolnej przestrzeni na dysku, znalazlem w folderze C:\WINDOWS\Temp okolo 30 tysiecy plikow postaci mx_*.tmp gdzie * to liczba 4-cyfrowa (niektore z nich maja tez 3 cyfry + literka na koncu), wiekszosc z nich ma 2kB. Po dluzszej chwili, jaka zajelo systemowi przetrawienie usuniecia takiej ilosci plikow wydawalo mi sie, ze znalazlem winowajce (plik con.apam), ktore po uzyciu Unlockera usunalem. Dzisiaj zaczelo sie to samo, po kilku godzinach “samo” przestalo. Pliki tworza sie w ilosciach mniej wiecej 30-60 na minute, wiec w krotkim czasie mozna znalezc sliczna kolekcje.

Spybot (z najnowszymi aktualizacjami) nic nie pokazal, system (WinXp Pro SP2) wydaje sie byc czysty. No, moze nie czysty bo juz prawie rok stoi

Nizej link do logu z Hijackthis 1.99.1 - nie wiem dlaczego, ale nie chcialo mi puscic dlugiego posta… Dostawalem komunikat ze nie okreslilem typu posta… no nic, moze sie obrazicie

http://scorpstudio.republika.pl/hijackthis.txt

Prosze o sprawdzenie, troche syfu moze byc bo przyznam, ze nie dbam za bardzo o czystosc systemu

Z gory dzieki.

Joan · 3 Kwiecień 2007 18:51

usun wpisy w hijacku

użyj ATF-Cleaner w trybie awaryjnym – wyczyści tempy.

daj nowe logi hjt + silentrunners

scorp · 3 Kwiecień 2007 19:15

Zrobione, 2 wpisow nie moglem usunac:

Tempy wyczyszczone, nowe logi:

http://scorpstudio.republika.pl/hijackthis2.txt

http://scorpstudio.republika.pl/silentr.txt

Joan · 3 Kwiecień 2007 20:02

Otwórz notatnik i wklej w nim to:

Plik -> zapisz jako -> zmień rozszerzenie na wszystkie pliki -> zapisz pod nazwą FIX.REG

Odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa

użyj jeszcze FixWareOut i daj C:\Fixwareout\report.txt

scorp · 3 Kwiecień 2007 20:22

http://scorpstudio.republika.pl/dp/report.txt

Troche juz po fakcie, ale moge zapytac czemu sluzy ten wpis w rejestrze?

Joan · 3 Kwiecień 2007 20:36

masz rootkita windows security center > użyj Rustock.b-fix.

daj raz jeszcze logi hjt+silent, zrób skan AVG AntySpyware 7.5 po update, wklej raport.

scorp · 3 Kwiecień 2007 22:16

Logi z Rustocka (na wszelki wypadek):

http://scorpstudio.republika.pl/dp/avenger.txt

http://scorpstudio.republika.pl/dp/pelog.txt

Reszta:

http://scorpstudio.republika.pl/dp/hijackthis.txt

http://scorpstudio.republika.pl/dp/silentrunners.txt

http://scorpstudio.republika.pl/dp/avgreport.txt

Troche sie zagapilem i zeszlo mi to dluzej niz przewidywalem

PS. Aha, prosze o niewykorzystywanie informacji zawartych w logach przeciwko mnie