pliki OPSC24C/*.C24D/*.C24E ... w Katalogu TEMP

[gesi]

Witam od jakiegos czasu Tworza mi sie pliki w katalogu TEMP o nazwach OPSC24C/*.C24D/*.C24E.tmp itd.... Dziennie nawet 700 / 1000 plikow zajmuja 0 kb ale mysle ze tak nie powinno byc szukalem na google ale nie spotkalem podobnego problemu prosze o pomoc.

 

Pozdrawiam.

[picasso]

1. Zmonitoruj jaki proces to tworzy. Uruchom Process Monitor i:

 

• Przekreśl lupkę (zatrzyma nagrywanie)
  
• Wyczyść aktualny widok Edit > Clear Display
  
• Skonfiguruj warunek Filter > Filter... > Path pełna ścieżka dostępu do Temp Include > klik w Add
  
• Opróżnij katalog Temp
  
• Rozpocznij nagrywanie przez odkreślenie lupki. Interesują Cię wyniki z typem akcji CreateFile
  

2. Na wszelki wypadek zaprezentuj logi z OTL. Wstaw w formie Załączników.

 

 

.

[gesi]

1. Wykonana pokazalo programy otwarte takie jak GG / Total Commander i Mozilla

oraz nmctxth.exe

2. Dodaje logi

OTL.Txt

Extras.Txt

[picasso]

1. Wykonana pokazalo programy otwarte takie jak GG / Total Commander i Mozilla oraz nmctxth.exe

 

Wątpię, że to jest to o co chodzi. Mnie nie chodzi o programy ogólnie wchodzące w ścieżkę Temp i tworzące tam pliki / coś z tego katalogu odczytujące, mnie chodzi o proces z oznaczeniem CreateFile a w Path widoczny przykładowy plik z tej wadliwej serii.

 

 

PS. Odinstaluj śmiecia sponsoringowego DAEMON Tools Toolbar. Stosowany ComboFix i nie wątpię, że było to bezsensowne zagranie. Należy go prawidłowo odinstalować. Z klawiatury klawisz z flagą Windows + R i w Uruchom wklej komendę:

 

"C:\Users\Paulina i Marcin\Desktop\ComboFix.exe" /uninstall

 

 

 

.

[gesi]

odinstalowane Co teraz?

[picasso]

Jak to co teraz? Sprawa z Process Monitor jest nieukończona. Ty masz to porządnie zmonitorować i wychwycić w aktywnościach, który proces tworzy te pliki w katalogu Temp.

[gesi]

Jeszcze raz Tylko jestem troszke zielony z tego ... otwieram program proces monitor ustawiam tak jak napisales path is C:\Users\Paulina i Marcin\AppData\Local\temp include ADD i klikam w ok .... i na co mam zwracac uwage procz create file ? ;/

[picasso]

i na co mam zwracac uwage procz create file ? ;/

 

Masz przecież szukać w oknie dokładnie tych plików, które się pokazują. Popatrz na ten przykładowy obrazek z innym przykładem: KLIK.

Może filtr na ścieżkę jest mało precyzyjny. Usuń go całkowicie i pozwól nagrywać całość operacji, a następnie w oknie w sekcji Path szukaj odniesień do tych plików w Temp.

 

EDIT: zamiast "is" wybierz "contains" lub "begins with".

 

 

.

[gesi]

czy o to chodzilo ??

 

widze opis w explorer.exe DETAIL operation querydirectory OPS5763.tmp

3: OPS5774.tmp

4: OPS5775.tmp

5: OPS5776.tmp

6: OPS5777.tmp

7: OPS5778.tmp

8: OPS5779.tmp

9: OPS577A.tmp

10: OPS577B.tmp

11: OPS577C.tmp

12: OPS577D.tmp

13: OPS577E.tmp

14: OPS579E.tmp

15: OPS57AE.tmp

16: OPS57AF.tmp

17: OPS57B0.tmp

18: Paulina i Marcin.bmp

19: plugtmp

[picasso]

QueryDirectory nie. To się pojawia przy otwieraniu folderu (np. ręcznie) .... Ciebie ma interesować tylko funkcja CreateFile / WriteFile. Patrz co wyżej napisałam w kwestii usunięcia filtra. Jeśli nie radzisz sobie z tym, zostaw Process Monitor otworzony niech nagrywa i poczekaj aż więcej tych plików w Temp powstanie. Następnie zatrzymaj nagrywanie i zapisz plik loga z menu File > Save, a plik PML zzipuj, daj na jakiś hosting i prześlij do oceny.

[gesi]

problem rozwiązany znajomy po przez TeamViewer powyłączał jakieś programy z auto-startu i chyba to wystarczyło - pliki o tamtej nazwie przestały powstawać. Dziękuje za pomoc picasso

[picasso]

Cóż, ja tego nie uważam za "rozwiązane", ponieważ wyłączenie z Autostartu to tylko zapobieganie problemowi w określonym punkcie czasowym. Może się zdarzyć tak, że coś ręcznie uruchomisz i problem znów się pokaże.

 

Co mógł wyłączyć z Autostartu (nie wyliczam usług, tych nie określa się mianem "Autostartu"):

 

O4:64bit: - HKLM..\Run: [HP Health Check Scheduler]  File not found
O4:64bit: - HKLM..\Run: [iAAnotif] C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [NvCplDaemon] C:\Windows\SysNative\NvCpl.dll ()
O4:64bit: - HKLM..\Run: [NvMediaCenter] C:\Windows\SysNative\NvMcTray.dll ()
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Windows\RAVCpl64.exe (Realtek Semiconductor)
O4:64bit: - HKLM..\Run: [sMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe (Motorola Inc.)
O4:64bit: - HKLM..\Run: [Windows Mobile-based device management] C:\WINDOWS\WindowsMobile\wmdSync.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files (x86)\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [bDRegion] C:\Program Files (x86)\Cyberlink\Shared files\brs.exe (cyberlink)
O4 - HKLM..\Run: [nmctxth] C:\Program Files (x86)\Common Files\Pure Networks Shared\Platform\nmctxth.exe (Cisco Systems, Inc.)
O4 - HKLM..\Run: [RemoteControl10] C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe (CyberLink Corp.)
O4 - HKLM..\Run: [uCam_Menu] C:\Program Files (x86)\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKU\S-1-5-21-4212696983-1134263897-3029896889-1000..\Run: [AlcoholAutomount] C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe (Alcohol Soft Development Team)

Tyle to ja wiem od początku. I nadal nie wiadomo co tworzy te pliki.

 

 

 

.

Edytowane 24 Maja 2011 przez picasso
24.05.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso