[XP] C:\windows\temp altijd vol - Windows clients

zondag 29 januari 2006 17:21

Acties:

Topicstarter

Laatst kwam ik erachter dat mijn "c:\windows\temp"-map vol zat: meer dan 4 gigabyte. Ik heb dat allemaal verwijderd, waardoor er weer ruimte vrij kwam op de c-schijf. Echter, na twee dagen zat de harde schijf weer helemaal vol. Even kijken in de "c:\windows\temp"-map leerde mij dat hij weer helemaal vol zat. In de map staan allemaal submappen met namen als:
- "2D87C7B64F5B48869FB55E87BB4E3289"
- "8484C95ABC9140ff84E673ED4DCD0360"
enz
In deze mappen staan willekeurige programma's.
Ik was benieuwd welk programma deze submappen + file's aanmaakt. Met het programma "Filemon" gekeken, en het blijkt het proces "System" te zijn. Ik kan geen process properties bekijken (er staat dan bij de path: "Process is not accessible"). "System" schrijft dus de hele tijd mijn temp-map vol. Ik heb gescand met AVG-Free en met Hitman Pro. Allebei hebben het probleem niet verholpen.
Heeft iemand een idee wat er mis is?

zondag 29 januari 2006 23:18

Acties:

Verwijderd

Don't shoot me if i'm wrong, maar ik denk dat daar je swap file zit

[ Voor 6% gewijzigd door Verwijderd op 29-01-2006 23:18 ]

zondag 29 januari 2006 23:20

Acties:

pven

Kijk bv. eens met Treesize waar de meeste ruimte verloren gaat.

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

zondag 29 januari 2006 23:23

Acties:

Guardian Angel

Bejaard en langharig tuig

Verwijderd schreef op zondag 29 januari 2006 @ 23:18:
Don't shoot me if i'm wrong, maar ik denk dat daar je swap file zit

Het swapfile (pagefile.sys) staat normaliter in de root.

@TS
http://www.hijackthis.nl/ al geprobeerd? Andere virusscanner geprobeerd? Online http://housecall.trendmicro.com op een virus gescand?

[ Voor 25% gewijzigd door Guardian Angel op 29-01-2006 23:33 ]

ARME AOW’er

maandag 30 januari 2006 08:20

Acties:

sanfranjake

Computers can do that?

Niet gewoon veel cdtjes gebrand vanaf een netwerkbron oid de afgelopen weken? Of veel gedownload? Die apps willen die map ook nog wel eens gemisbruiken.

Anders zou ik zoals Guardian Angel zegt al snel richting spyware of virussen gaan kijken

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 30 januari 2006 08:24

Acties:

m0nkey

Met C(rap)cleaner kan je al je tijdelijke bestanden wissen, ook van het internetten, kan zo ontiegelijk veel ruimte schelen, kan je ook eens proberen

maandag 30 januari 2006 08:27

Acties:

Phyxion

_/-\o_

m0nkey schreef op maandag 30 januari 2006 @ 08:24:
Met C(rap)cleaner kan je al je tijdelijke bestanden wissen, ook van het internetten, kan zo ontiegelijk veel ruimte schelen, kan je ook eens proberen

Dat zou ik net ook aanraden, CCleaner cleaned echt geweldig, haalt hier soms na een maand niet gebruikt te hebben wel 1GB weg aan data, geweldig programmatje

'You like a gay cowboy and you look like a gay terrorist.' - James May

maandag 30 januari 2006 08:45

Acties:

Basement

FnF schreef op maandag 30 januari 2006 @ 08:27:
[...]

Dat zou ik net ook aanraden, CCleaner cleaned echt geweldig, haalt hier soms na een maand niet gebruikt te hebben wel 1GB weg aan data, geweldig programmatje

Idd, met ccleaner hou je alles schoon, ook C:\documents and settings........temp

http://www.ccleaner.com/

dinsdag 31 januari 2006 10:52

Acties:

PipelineNoise

Topicstarter

Even wat antwoorden:
- Het is geen swapfile, die staat in de root
- In de mappen staan allemaal bestanden, die met bekend voorkomen. Volgens mij zijn het bestanden van programma's die ik laatst heb gedraaid. Dus bijvoorbeeld emule.exe. Het zijn allemaal niet zulke hele grote bestanden, maar aangezien er een heleboelmappen zijn, neemt het wel enorm veel ruimte in.
- Het verwijderen gaat prima (ook met de hand, of met CCleaner). Het probleem is echter, dat na twee of drie dagen er weer 4 GB aan ruimte kwijt is, omdat de temp-map vol staat. Dan moet ik dus weer opnieuw alles verwijderen.
- Ik zal een kijken met HijackThis. Ik zit nu niet thuis, dus hopelijk vanavond of morgen eventijd ervoor. Ik meld me dan hier wel weer!

vrijdag 3 februari 2006 00:23

Acties:

PipelineNoise

Topicstarter

Ik heb HijackThis en RootkitRevealer gedraaid. Hieronder staan hun logs. Ziet iemand de boosdoener van het schrijven in de temp-map?

quote: HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 23:52:49, on 2-2-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hitman Pro\srhelper.exe
C:\Program Files\Sitecom\Sitecom Wireless Network PCI Adapter 54G WL-115\Installer\WINXP\WLANUTL.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Portrait Displays\DisplayView\DTSRVC.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
E:\Freeware\HijackThis\HijackThis1991.exe
C:\WINDOWS\system32\cidaemon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Turnabout Helper - {87FF76F0-BCA9-40DC-B1E5-254062EEE8F4} - C:\Program Files\Reify Software\Turnabout\turnabout.dll
O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)
O3 - Toolbar: Reify Toolbar - {B99F805C-F0B1-48EA-8C8B-753BFCBED912} - C:\Program Files\Reify Software\Turnabout\turnabout.dll
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Radeon Omega Drivers\v2.6.75a\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [WeatherWatcher] C:\Program Files\Weather Watcher\ww.exe
O4 - Startup: AppRocket.lnk = C:\Program Files\CandyLabs\AppRocket\AppRocket.exe
O4 - Startup: DeskTask.lnk = C:\Program Files\DeskTask\DeskTask.exe
O4 - Startup: FreePOPs.lnk = C:\Program Files\FreePOPs\freepopsd.exe
O4 - Startup: Launch K9.lnk = C:\Program Files\KeirNet\K9\K9.exe
O4 - Startup: Stunnel.lnk = C:\Program Files\stunnel\stunnel.exe
O4 - Startup: Workrave.lnk = C:\Program Files\Workrave\lib\Workrave.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DisplayView.lnk = C:\Program Files\Portrait Displays\DisplayView\dthtml.exe
O4 - Global Startup: Sitecom WL-115 Utility.lnk = C:\Program Files\Sitecom\Sitecom Wireless Network PCI Adapter 54G WL-115\Installer\WINXP\WLANUTL.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {1C1CB5F8-D5A3-4FD9-876C-ECD2BDA32716} - C:\Program Files\Reify Software\Turnabout\turnabout.dll
O9 - Extra 'Tools' menuitem: &Turnabout Options... - {1C1CB5F8-D5A3-4FD9-876C-ECD2BDA32716} - C:\Program Files\Reify Software\Turnabout\turnabout.dll
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab31267.cab
O18 - Protocol: data - {038664DA-5BA5-47FC-88D9-15ADE940ED55} - C:\Program Files\Reify Software\Turnabout\turnabout.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Amdsebusm - Unknown owner - (no file)
O23 - Service: Asset Management Daemon - Unknown owner - C:\Program Files\Portrait Displays\DisplayView\dtsslsrv.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Portrait Displays\DisplayView\DTSRVC.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB701\webserver\bin\win32\matlabserver.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

quote: RootkitRevealer
HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version 31-1-2005 10:24 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version 31-1-2005 10:24 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 15-11-2005 16:41 0 bytes Access is denied.
C:\System Volume Information\catalog.wci\00010001.ci 3-2-2006 0:04 48.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010001.dir 3-2-2006 0:04 613 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\CiFLfffc.000 2-2-2006 17:30 240 bytes Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\catalog.wci\CiFLfffc.001 2-2-2006 17:30 384.00 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\catalog.wci\CiFLfffc.002 2-2-2006 17:30 384.00 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\catalog.wci\CiFLfffd.000 3-2-2006 0:04 240 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\CiFLfffd.001 3-2-2006 0:04 384.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\CiFLfffd.002 3-2-2006 0:04 384.00 KB Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 18-11-2005 14:16 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 18-11-2005 14:16 111.50 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\6933BB19BBD949adA44F46863BE801F6 3-2-2006 0:15 0 bytes Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\8DE70BD5440A44cd831DA4651E99BA9E 3-2-2006 0:04 0 bytes Hidden from Windows API.
C:\WINDOWS\Temp\BA888E1717234c00A342AC902D853B10 3-2-2006 0:10 0 bytes Hidden from Windows API.