Arquivos .tmp misteriosos gerados na pasta C: \ Windows \ System32 \ na inicialização

0

Depois de inicializar minha máquina, recebo de 4 a 5 arquivos .tmp gerados em C: \ Windows \ System32 \, geralmente com nomes como: 3.tmp, 5.tmp, 6.tmp, 7.tmp, 8. tmp

Esses arquivos têm tamanho de 100K cada. Eu posso deletá-los manualmente, e eles não parecem afetar nada.

Isso começou a acontecer há cerca de 2,3 dias. Eu acho que eu tenho um vírus, porque uma vez meu programa anti-vírus apareceu dizendo que um arquivo isvchost.exe foi infectado, e o arquivo iscvhost foi gerado por um desses arquivos .tmp. Mesmo depois de excluir o arquivo iscvhost.exe, ele é recriado na próxima vez que eu inicializo, novamente por esses arquivos .tmp. e esses arquivos .tmp são também gerados novamente, por algum processo que eu não conheço.

Eu verifiquei na minha chave de registro e procure por programas de inicialização que eu não conheço, mas tudo na minha lista de programas de inicialização é limpo e conhecido.

Então, como um programa pode regenerar arquivos na reinicialização sem que eu saiba?

    
por Sasha Chedygov 01.09.2009 / 22:19

3 respostas

1

So how can a program regenerate files upon rebooting without me knowing?

Ah, existem cargas de maneiras que um programa pode ser executado na inicialização, e também muitas maneiras de se esconder de você.

Você pode tentar executar HijackThis para encontrar muitos mais ganchos de inicialização que apenas a chave Software-MS-Win-CurVer-Run e um localizador de rootkit como BlackLight para ver se existem mais arquivos ocultos que você não pode ver. Mas um persistente auto-recriador é muitas vezes muito difícil de remover de dentro do próprio sistema operacional.

Michael está certo: o único curso seguro de ação é nuke e pavimentar (reformatar e reinstalar o sistema operacional). Não confie no seu antivírus para mantê-lo limpo, porque as ferramentas antivírus de hoje são quase totalmente inúteis contra a gama cada vez maior de ameaças instaladas pela Web.

    
por 16.09.2009 / 10:14
0

Está em uma máquina de desenvolvimento, o que me leva a pensar que são arquivos temporários (= .tmp) de ambientes em desenvolvimento.

Talvez você tenha instalado um novo aplicativo ou alterado as configurações em alguns aplicativos.

    
por 02.09.2009 / 09:22
0

Dê uma olhada no Process Monitor da Sysinternals. Ele pode registrar processo, registro, sistema de arquivos e atividade de rede no seu sistema. Ele também pode fazer o boot log, então você deve ser capaz de seguir a criação desses arquivos temporários desde o começo.

    
por 15.10.2009 / 06:29