Hallo.
Seit ca. 3.5. habe ich nach jedem Systemstart einen neuen Ordner mit einem Namen aus zufälligen 8 Zeichen (Kleinbuchstaben und Ziffern). Mit der Zeit akkumuliert sich deren Anzahl. Die Ordner haben die Zugriffsrechte von Adminstratoren und lassen sich nicht ohne Aufwand löschen. Die Ordner sind leer. Keiner der Ordner hat oder hatte bisher ein Handle, so dass sich nicht feststellen lässt, was diese Ordner erzeugt. Scans mit AGV, Avast, Malwarebytes, Defender, ESET und ADWCleaner blieben ohne Befund. Bei abgesichertem Start wird kein neuer Ordner angelegt.
Hat jemand eine Idee, wie ich herausfinden kann, zu wem oder was diese Ordner gehören? Mich macht so etwas nervös...
Regards
Tom
Seite 1 von 1
Unbekannte Ordner im %temp%-Verzeichnis
Anzeige
#3
geschrieben 08. Mai 2021 - 21:08
Das ultimative Tool um zu schauen wer was wo wie im Windows System macht ist der Process Monitor von Sysinternals:
https://docs.microso...wnloads/procmon
Damit kannst du zB genau das Windows\TEMP Verzeichnis bzw. auch eines deiner Unterverzeichnisse filtern und müsstest sehen können welcher Prozess dort rein schreibt.
Ich hab das mal kurz bei mir mitlaufen lassen und sehe da direkt dass eine services.exe, svchost.exe und wenn ich das Verzeichnis im Windows Explorer öffne auch direkt die explorer.exe und dropbox.exe in das Verzeichnis reinschauen.
https://docs.microso...wnloads/procmon
Damit kannst du zB genau das Windows\TEMP Verzeichnis bzw. auch eines deiner Unterverzeichnisse filtern und müsstest sehen können welcher Prozess dort rein schreibt.
Ich hab das mal kurz bei mir mitlaufen lassen und sehe da direkt dass eine services.exe, svchost.exe und wenn ich das Verzeichnis im Windows Explorer öffne auch direkt die explorer.exe und dropbox.exe in das Verzeichnis reinschauen.
... aber bitte vorher ein Backup machen! ;-)
#4
geschrieben 11. Mai 2021 - 11:15
Zitat (Stef4n: 08. Mai 2021 - 21:08)
Damit kannst du zB genau das Windows\TEMP Verzeichnis bzw. auch eines deiner Unterverzeichnisse filtern und müsstest sehen können welcher Prozess dort rein schreibt.
Da der Verursacher des Problems nur während des Systemstarts ein Verzeichnis anlegt, auf das er danach nicht mehr zugreift, wird da auch nichts entsprechendes protokolliert. Auch die Bootüberwachung von Procmon ist nicht wirklich hilfreich, wenn die erzeugte PML-Datei von Procmon nicht mehr gelesen und angezeigt werden kann.
Das Problem habe ich aber gelöst, indem ich mit Autoruns64 sämtliche in Frage kommenden Task, Services und Exes abgedreht und sukzessive wieder eingeschaltet habe - zum Glück gibt's SSDs, sonst wäre ich dabei merkbar gealtert. Der kleine Bastard heisst übrigens GPUTemp. Link zur Herstellerseite
Danke für den Support!
Tom
Zitat (IXS: 08. Mai 2021 - 20:46)
Was ist denn so alles installiert?
Och, so dieses und jenes. Blender, zum Beispiel. Oder Mixcraft 9. Oder MS Office 2019. Ich vermute aber stark, Du meinst etwas anderes.
Keine Tuning Tools, kein Virenscanner ausser Defender, keine Raubkopien.
Dieser Beitrag wurde von virtualtom bearbeitet: 11. Mai 2021 - 11:12
#5
geschrieben 11. Mai 2021 - 19:48
Man muss ja nun auch nicht ein Programm verteufeln, weil es quasi im offiziellen TEMP Ordner vom Betriebssystem ein paar Ordner anlegt. Das wird GPUTemp ja auch nicht ohne Grund gemacht haben.
In meinen Augen muss man da auch keine Panik haben. Mich interessiert mein %TEMP% Ordner recht wenig und gehe nicht davon aus, dass ich in ständiger Gefahr leben muss dass mein System instabil oder kompromittiert ist.
Aber danke für die Aufklärung, dass du uns gesagt hast wie du zur Lösung gekommen bist. Wenn GPUTemp der Übeltäter ist, müssten diese Verzeichnisse ja auch beim normalen Programmstart ohne Autostart wieder angelegt werden, und dann würde Procmon dies dann sicher auch aufdecken.
In meinen Augen muss man da auch keine Panik haben. Mich interessiert mein %TEMP% Ordner recht wenig und gehe nicht davon aus, dass ich in ständiger Gefahr leben muss dass mein System instabil oder kompromittiert ist.
Aber danke für die Aufklärung, dass du uns gesagt hast wie du zur Lösung gekommen bist. Wenn GPUTemp der Übeltäter ist, müssten diese Verzeichnisse ja auch beim normalen Programmstart ohne Autostart wieder angelegt werden, und dann würde Procmon dies dann sicher auch aufdecken.
... aber bitte vorher ein Backup machen! ;-)
#6
geschrieben 12. Mai 2021 - 06:14
bei mir wird ein ähnlicher (leerer) ordner vom defender angelegt - wenns schee macht
#7
geschrieben 12. Mai 2021 - 10:52
Das ist doch ein völlig normales Verhalten. Programme und Windows erstellen diese Tempfiles, die nur vorübergehend benötigt werden. Die Dateien dort werden nur zeitlich begrenzt gespeichert, um den Arbeitsspeicher zu entlasten. Die meisten Tempfiles werden beim Runterfahren automatisch gelöscht, aber manche eben nicht. Die kann man dann problemlos manuell löschen, falls man die paar KB unbedingt braucht. Also alles kein Problem.
Thema verteilen:
Seite 1 von 1