Windows 7 Drastycznie spadające miejsce na dysku c: Czym usunąć wirusa stdrt.exe

Witam!

Dzisiaj napotkałem pewien problem. Miałem na dysku c (na którym znajduje się tylko windows) prawie 4gb wolnego miejsca a dzisiaj co sekundę spada mi ilośc wolnego miejsca o ok 2mb i tak do zera. Zrobiłem skan antywirusowy - nic, uruchomiłem ccleaner - nic, usunąłem punkty przywracania systemu - nic. Kończą mi się pomysły... Co robić?


Pozdrawiam

Wybaczcie za dublowanie posta ale chyba znalazłem rozwiązanie. Uruchomiłem spacesniffer i usunąłem pliki z folderu Temp. Wygląda na to, że jakiś plik się tam rozrastał samoczynnie. Temat do zamknięcia. No chyba, że chwale dzień przed zachodem słońca


A jednak po restarcie dalej występuje problem, tyle że wolniej. W pacesnifferze widze, że temp sie caly czas rozrasta bez powodu. Opróżniałem go ale sa z 3 pliki, których nie mogę usunąć pomimo iż jestem administratorem - odmowa dostępu.
Przy trybie awaryjnym te pliki chronione w temp da się usunąć. Ale jak już usunę i zrestartuję system to one i tak się tworzą więc wnioskuje, że problem jest gdzie indziej. Dwa antywirusy nic nie wykrywają.
Co robić?

Kolejne odkrycie: musze jeszcze dokladnie sprawdzic ale wyglada na to ze gdy nie jestem podlaczony do internetu - temp sie nie rozrasta.

Process Explorer na ratunek. Odpal go, prawoklik na nagłówku kolumn i 'select columns', process performance, zaptaszkuj I/O delta read bytes oraz I/O delta write bytes, ok. A teraz, obserwując nowo dodane kolumny, ustal który to proces zapisuje sobie dane bez opamiętania.

Zrobilem jak kazales. Wyglada na to ze to proces stdrt.exe z opisem windows media center diagnostic aplication. Wrzucilem nazwe na google i wyskoczylo mi ze to wirus. Znalazlem sposob jak go usunac recznie ale mam dwa problemy. Czy informacja, ktora znalazlem w necie jest prawidlowa? (czesto internet sam w sobie nie jest wiarygodnym zrodlem informacji) Jezeli tak to jak usunac wpisy zrobione przez wirusa w rejestrze? Skad mam wiedziec ktore wpisy usunac a ktore zostawic?

Działanie szkodliwego programu jest ewidentne, a widzę że generalnie ludzie piszą o stdrt.exe jako o szkodniku, więc nie ma co się zastanawiać, tylko usuwać.

Wlasnie jest kwestia tego, ze nie wiem jak to usunac Podobno to nowy wirus wiec dlatego moje antywirusy go nie wykrywaja.

Napisałeś przecież, że znalazłeś dwie metody na jego ręczne usunięcie?

Daj loga z Hijacka.

Dokladnie rzecz biorac to napisalem ze mam dwa problemy tzn. watpilowsci odnosnie tego wirusa. Iwem jak go usunac ale nie wiem jak go wyrzucic z rejestru.

A oto hijack:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:18:43, on 2011-10-23
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16671)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
D:\Dell Webcam\Dell Webcam Central\WebcamDell.exe
C:\Windows\System32\WLTRAY.EXE
C:\Program Files\Dell\MediaDirect\PCMService.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Windows\System32\igfxtray.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
D:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Windows\system32\conhost.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
C:\Windows\System32\StikyNot.exe
D:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Spyware Terminator\st_rsser.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Common Files\Java\Java Update\jucheck.exe
D:\Gadu-Gadu 10\open-fm.exe
D:\Mozilla Firefox\firefox.exe
D:\Mozilla Firefox\plugin-container.exe
D:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTor.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - D:\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTor.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTor.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O4 - HKLM\..\Run: [Dell Webcam Central] "D:\Dell Webcam\Dell Webcam Central\WebcamDell.exe" /mode2
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\Windows\system32\WLTRAY.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "D:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [SpywareTerminatorShield] C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
O4 - HKLM\..\Run: [SpywareTerminatorUpdater] C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: Wyślij obraz do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Wyślij stronę do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - D:\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - D:\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - D:\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Licensing Console - - C:\Windows\system32\mrvcl32.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_4c73f4a9a59a84bb\aestsrv.exe
O23 - Service: AuthenTec Fingerprint Service (ATService) - AuthenTec, Inc. - C:\Program Files\Fingerprint Sensor\AtService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MBAMService - Malwarebytes Corporation - D:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NIHardwareService - Native Instruments GmbH - C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe
O23 - Service: Spyware Terminator 2012 Realtime Shield Service (ST2012_Svc) - Crawler.com - C:\Program Files\Spyware Terminator\st_rsser.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_4c73f4a9a59a84bb\STacSV.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\WLTRYSVC.EXE

--
End of file - 7912 bytes

Arab napisał(a):Dokladnie rzecz biorac to napisalem ze mam dwa problemy tzn. watpilowsci odnosnie tego wirusa. Iwem jak go usunac ale nie wiem jak go wyrzucic z rejestru.

Zatem nie czekaj na cud, tylko go usuwaj. Pozostałości w rejestrze nie są problemem, jeśli pliku wirusa już nie będzie.

Co ciekawe, log jest kompletnie czysty. HJT nie pomoże nam go wyśledzić.

jesli na prawde zamierzasz recznie czyscic system ktory jest zainfekowany od dluzszego jak widac czasu bez swiadomosci o tym i potrm z tego systemu korzystac
to jedyne co Ci moge zaproponowac na powaznie
zglos swoj problem dedykowanym specjalistom, np. stad:

Forum searchengines.pl zostało zamknięte a Picasso działa teraz na fixitpc. Administratorto chyba jedyna nadzieja zeby sie to w miare jakos udalo

ps. zapomnij o archiwalnych aplikacjach w stylu HJ /to juz nei ta epoka ; 
Forum searchengines.pl zostało zamknięte a Picasso działa teraz na fixitpc. Administrator

Dziekuje.Dam znac co z tego wyszlo