Powracające pliki .tmp w system32

mercenor · 27 Sierpień 2007 19:17

Mam problem, od pewnego czasu, co jakiś czas (trudno mi określić kiedy, dlaczego i jak) coś mi generuje pliki .tmp w folderze system32. Mój rekord to 300 000 plików .tmp w folderze system32… Chyba wyobrażacie sobie, jak wolno działał komputer… Skanowałem komputer skanerem antywirusowym i nic nie znalazłem. Rejestr również skanowałem i nic nie znalazłem.

Z góry dziękuje i pozdrawiam!

A oto ten log:

Logfile of HijackThis v1.99.1 Scan saved at 21:09:29, on 2007-08-27 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\A4Tech\Mouse\Amoumain.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRAM FILES\FRAPS\FRAPS.EXE C:\PROGRA~1\CACHEM~1\CachemanXP.exe C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\Program Files\TuneUp Utilities 2007\MemOptimizer.exe C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Winamp\winamp.exe C:\Documents and Settings\Mercenor_2\Pulpit\HijackThis.exe C:\Program Files\Mozilla Firefox\firefox.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O1 - Hosts: ď»ż# Copyright © 1993-1999 Microsoft Corp. O1 - Hosts: 5.158.9.14 l2testauthd.lineage2.com O1 - Hosts: 5.158.9.14 l2authd.lineage2.com O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: GLN - {B4E7CAAB-6535-4243-99BD-F12350B584A2} - C:\WINDOWS\system32\gln.dll O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM…\Run: [Launch Ai Booster] C:\Program Files\ASUS\Ai Booster\OverClk.exe O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe O4 - HKLM…\Run: [iMJPMIG8.1] “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32 O4 - HKLM…\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM…\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM…\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [osCheck] “C:\Program Files\Norton Internet Security\osCheck.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [VGAUtil] C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID {DA9935BA-22F7-44ee-BD12-BD8B87700BEA} O4 - HKCU…\Run: [Fraps] C:\PROGRAM FILES\FRAPS\FRAPS.EXE O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [TuneUp MemOptimizer] “C:\Program Files\TuneUp Utilities 2007\MemOptimizer.exe” autostart O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi … jhtml?p=ZZ O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [iNTERNATIONAL] International* O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/200 … plugin.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar1.google.com/data/pl/big/ … gleNav.cab O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553543000} - http://fpdownload2.macromedia.com/get/s … wflash.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} - http://download.mcafee.com/molbin/iss-l … cfscan.cab O16 - DPF: {FE92D9C3-4A69-4EC7-8651-1DC8531D0075} (TSBnwCam Control) - http://ambassadorcam.dyndns.org/user/TSBnwCam.CAB O20 - Winlogon Notify: ccdaacccfebbef - C:\WINDOWS\system32\ccdaacccfebbef.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\PROGRA~1\CACHEM~1\CachemanXP.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Harmonogram automatycznej usługi LiveUpdate - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing) O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Prime95 Service - Unknown owner - C:\Program Files\Prime95\prime95.exe (file missing) O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Gutek · 27 Sierpień 2007 19:28

usuń wpisy HJT, pliki usuń ręcznie

Użyj w trybie awaryjnymVundoFix + Trojan.Vundo Removal Tool + VirtumundoBeGone.

Pobierz program SDFix

mercenor · 27 Sierpień 2007 22:41

Dziękuje bardzo za odpowiedź.

Skasowałem te logi i przeskanowałem komputer przy pomocy: VundoFix + Trojan.Vundo Removal Tool + VirtumundoBeGone, ale nic one nie znalazły.

Wklejam tutaj loga z SDFix:

Normal Mode: Checking Files: Trojan Files Found: C:\WINDOWS\system32\system\msxml4.dll - Deleted C:\WINDOWS\system32\system\msxml4r.dll - Deleted Folder C:\WINDOWS\system32\system - Removed Removing Temp Files… ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" “%windir%\Network Diagnostic\xpnetdiag.exe”="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" “C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe”=“C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:Enabled:BlueSoleil” “C:\Program Files\Firaxis Games\Sid Meier’s Civilization 4\Civilization4.exe”=“C:\Program Files\Firaxis Games\Sid Meier’s Civilization 4\Civilization4.exe:*:Enabled:Sid Meier’s Civilization 4” “D:\Rejestracja\SetupWizard\stInstall.exe”=“D:\Rejestracja\SetupWizard\stInstall.exe:*:Enabled:SpeedTouch Home Install Wizard” “D:\Router\SetupWizard\stInstall.exe”=“D:\Router\SetupWizard\stInstall.exe:*:Enabled:SpeedTouch Home Install Wizard” “C:\Program Files\Sierra Entertainment\World in Conflict - DEMO\wic.exe”=“C:\Program Files\Sierra Entertainment\World in Conflict - DEMO\wic.exe:*:Enabled:World in Conflict - DEMO” [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" “%windir%\Network Diagnostic\xpnetdiag.exe”="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files: --------------- File Backups: - C:\DOCUME~1\MERCEN~1\Pulpit\NOWYFO~2\SDFix\SDFix\backups\backups.zip Files with Hidden Attributes: C:\Program Files\CRS-MegaDev\MegaTrainer XL\mfc71.dll C:\Program Files\CRS-MegaDev\MegaTrainer XL\mfc71u.dll C:\Program Files\CRS-MegaDev\MegaTrainer XL\msvcr71.dll C:\Documents and Settings\Mercenor_2\Ustawienia lokalne\Dane aplikacji\ApplicationHistory\DharmaProject.exe.6536a923.ini C:\Program Files\LucasArts\SWKotOR2\config.exe C:\WINDOWS\XPize\Backup\msimn.exe Finished

Gutek · 27 Sierpień 2007 22:45

Skan AVG Anti-Spyware 7.5 po update

mercenor · 28 Sierpień 2007 11:55

Przeskanowałem komputer, znalazło kilka trojanów, lecz to były trainery do gier, więc były one nieszkodliwe…

Niestety, nadal coś mi generuje te pliki

jessica · 28 Sierpień 2007 13:19

Możesz dać jeszcze log z DSS (na samym dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi

mercenor · 28 Sierpień 2007 17:49

OK… użyłem programu DSS… Log znajduje się pod tym linkiem: http://wklej.org/id/d9fb7ae91a

Gutek · 28 Sierpień 2007 19:48

usuń wpisy HJT

Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Nowy log z SDFix + DSS

EDIT: kasuję głupoty moje, do innych prawidłowe wpisy

mercenor · 29 Sierpień 2007 17:46

eeee… coś jest nie tak

Pisze ten post z drugiego komputera w domu, bo system mi wcieło Gdy uruchamiam komputer to mam trzy komunikaty:

Domyślam się, że wystarczy wgrać jeszcze raz te biblioteki .dll ,ale w jaki sposób mam to zrobić? Zastanawiałem się nad podłączeniem dysku twardego pod ten komputer w celu wgrania tych bibliotek, ale boje się, że ten wirus lub cokolwiek to jest, może przenieść się na drugi komputer… Bardzo proszę o pomoc…

Gutek · 29 Sierpień 2007 17:54

To mój błąd.

Reinstalacja XP

http://www.searchengines.pl/phpbb203/in … ntry109540

mercenor · 29 Sierpień 2007 17:59

aha… nic ni e szkodzi, każdy ma prawo popełnić błąd To przeprowadze reinstalacje systemu… mam nadzieje, że to pomoże… A mam pytanie, czy muszę w tym celu użyć płytki z windowsem Xp SP2? Bo jeżeli tak… to będzie mały problem XD

Gutek · 29 Sierpień 2007 18:04

Zobacz to - http://www.searchengines.pl/index.php?showtopic=19204 integracja XP z SP2

mercenor · 30 Sierpień 2007 22:00

Wykonałem tak, jak było to napisane w instrukcji, zintegrowałem Xp z Sp2, zrobiłem reinstalke i mam problem… Wczasie uruchamiania systemu (ekran ładowania) komputer w pewnym momencie się restartuje nie działa nawet tryb awaryjny :placze: BARDZO proszę o pomoc!

EDIT: Topic już nieważny, zrobiłem już formata:(… nie mam już czasu by naprawiać system, bo potrzebuje komputer jak najszybciej… Mam nadzieje, że jak teraz zainstaluje system, to będzie wszystko działać sprawnie…

Pozdrawiam i życzę miłego dnia!