Загадочные .tmp файлы, сгенерированные в папке C:\Windows\System32\ при загрузке

Question

После загрузки машины я получаю 4-5 .tmp файлов, сгенерированных в C:\Windows\System32\, обычно с именами, такими как: 3.tmp, 5.tmp, 6.tmp, 7.tmp, 8.tmp

Эти файлы размером примерно 100 КБ каждый. Я могу удалить их вручную, и они, похоже, ничего не влияют.

Это только начало происходить около 2,3 дня назад. Я думаю, что получил вирус, потому что однажды моя антивирусная программа показала, что файл isvchost.exe был заражен, и файл iscvhost был сгенерирован одним из этих файлов .tmp. Даже после того, как я удалю файл iscvhost.exe, он будет заново создан при следующей загрузке, снова с помощью этих файлов .tmp. и эти файлы .tmp также воссоздаются с помощью какого-то процесса, который я не знаю.

Я зарегистрировался в своем ключе реестра и ищу программы запуска, о которых я не знаю, но все в моем списке программ запуска чисты и известны.

Так как же программа может восстановить файлы после перезагрузки без моего ведома?

Answer 1

Так как же программа может восстановить файлы после перезагрузки без моего ведома?

О, существует множество способов, которыми программа может запускаться при запуске, и столько же способов скрыться от вас.

Вы можете попробовать запустить HijackThis, чтобы найти еще много хуков запуска, таких как ключ Software-MS-Win-CurVer-Run и средство поиска руткитов, такое как BlackLight, чтобы увидеть, есть ли еще скрытые файлы, которые вы не видите. Но постоянный самовосстановление часто очень трудно удалить изнутри самой ОС.

Майкл прав: единственный безопасный путь действий - это nuke and pave (переформатировать и переустановить ОС). Не полагайтесь на свой антивирус, чтобы держать вас в чистоте, потому что современные антивирусные инструменты почти полностью бесполезны против постоянно растущего и мутирующего диапазона угроз, установленных в сети.

Answer 2

Это на машине для разработки, что заставляет меня думать, что это временные файлы (= .tmp) из среды разработки.

Возможно, вы установили новое приложение или изменили настройки в некоторых приложениях.

Answer 3

Посмотрите на Process Monitor от Sysinternals. Он может регистрировать процессы, реестр, файловую систему и сетевую активность в вашей системе. Он также может вести журнал загрузки, так что вы должны иметь возможность следить за созданием этих временных файлов с самого начала.