|
autorega.exe und unendliche viele "Anwedungsdaten" Ordner Hallo liebe Experten, es ist mal wieder so weit... ich habe mir anscheinend etwas neues eingefangen. - eine Datei mit dem Namen "autorega.exe" befindet sich auf meinem System. Die Datei ist zudem gleich vielfach vorhanden auf meinem Rechner: http://www.abload.de/img/1tgk5s.jpg - Und der Ordner "Anwendungsdaten" ist ebenso unendlich oft vorhanden: http://www.abload.de/img/38gjuf.jpg - Zudem war im Taskmanager die Datei "conhost.exe" verdächtig oft geöffnet. Nachdem ich sie manuell beendet habe, ist sie dann aber nicht mehr erschienen. Ein Scan mit GData 2013 hat nix gefunden. Könnt ihr mir weiterhelfen? Vielen Dank! |
hi Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: activex
|
Hallo, ich habe OLT runtergeladen und exakt(!) wie beschrieben ausgeführt. Ich habe es heute Nacht um 00:30 Uhr gestartet und es ist über ZWÖLF Stunden gelaufen (was mit dieser unendlichen Ordnerstruktur zu tun hat). Zur Info, ich habe einen Intel 2,53 GHz Core Duo mit 8 GB RAM und natürlich kein einziges Programm geöffnet gehabt. Jetzt als ich nach Hause gekommen bin stand da die Meldung "Scans complete" und so etwas wie "Die Datei EXTRAS.txt wurde nicht auf ihrem Desktop gefunden, soll sie erstellt werden?". Ich habe natürlich auf "Ja" geklickt. Ergebnis: Nichts. (Sorry, ich ärgere mich halt, dass es nicht geklappt hat) Ich verstehe das nicht. Kannst Du mir weiterhelfen? Wenn ich jetzt einen erneuten Scan starte und es zum gleichen Ergebnis kommt, kann ich meinen PC wieder einen halben Tag lang nicht benutzen. Nachts ist das ok, aber morgens muss ich arbeiten. Was soll ich tun? p.s. ich habe natürlich auch schon eine Dateisuche (inkl. versteckter Ordner) nach OLT.txt und EXTRAS.txt auf C: durchgeführt, auch erfolglos. |
wurde die OTL.txt erstellt,die würd mir erst mal reichen. |
beide Dateien wurden nicht erstellt. Vlt. hat es mit dieser unendlichen Ordnerverschachtelung zu tun? |
Hi, ich hab den Scan nochmal durchlaufen lassen. Hier die OLT.txt als RAR Datei im Anhang Danke! |
hi, combofix: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
|
Folgende Meldung kommt gerade und klingt für mich bedrohlich. Registry kann nur noch manuell wieder hergestellt werden!? Alle AV Progs. und FWs sind ausgeschaltet gewesen. http://www.abload.de/img/ahvun2.jpg Ich habe noch nicht auf "OK" geklickt. Was mache ich nun? Progr. im TaskMgr beenden? |
klicke mal bitte ok. |
|
poste sie bitte als Text, danke |
Folgende Meldung kommt: Warning! Error saving file C:\Windows\erdnt\HIv-backup\BCD ! Continue with next file? Nicht, dass wir uns missverstehen. Ich warte noch auf eine Anweisung von dir ob ich "ja" oder "nein" klicken soll. Ich hab halt leider null Ahnung von euren Progs, daher muss ich auch wie son Depp bei jedem Schritt nachfragen, sorry, aber ich denke das verstehst Du hoffentlich. Danke in jedem Fall fürs helfen. (Wofür ist eig. "ComboFix" ?) |
hi kannst ja klicken. combofix zeigt uns weitere mögliche infektionen, falls vorhanden, und gibt uns weitere analyse möglichkeiten |
Hallo, also... ich habe nun die dritte Nacht in Folge Combofix durchlaufen lassen. Es gab zu Beginn immer mal wieder Fehlermeldungen (siehe vorige Posts). Es wurde nie eine ComboFix.txt auf dem Desktop (wie sich auch die ComboFix.exe befindet) erstellt. Gestern Abend gegen 23 Uhr habe ich ComboFix wieder gestartet und heute Mittag hat er dann den PC neu gestartet. Danach ist nix mehr passiet. Zu jedem Zeitpunkt waren AV Prog. und FW aus. Ich habe dann unter c:\ComboFix die ComboFix.txt entdeckt. folgender Inhalt ist dort finden: Code: ComboFix 13-01-21.01 - Administrator 23.01.2013 23:23:50.4.2 - x64Es dauert Ewigkeiten und es funktioniert nicht. Ich habe es wie gesagt DREI mal an drei aufeinander folgenden Nächten versucht. Im Taskmanager konnte ich beobachten, wie die Datei pev.3xe immer größer wurde und schließlich an die 2 GB Grenze kam. Danach fing es wieder von vorne an, also bei 2 MB. Ich habe ein paar Screenshots gemacht um das Ganze zu dokumentieren (Siehe Anhang). Bitte versteht, dass ich nicht die gesamten Screenshot als Text tippen kann ;). Vlt. wir aber dadurch etwas ersichtlich und es hilft. Sie sind chronologisch geordnet und bei den letzten habe ich noch die Uhrzeiten dazugeschrieben. Wie sollen wir nun weiter fortfahren? Danke! Am Anfang http://www.abload.de/img/c7ok5d.jpg Verschiedene Fehlermeldungen http://www.abload.de/img/d61kw4.jpg http://www.abload.de/img/e86ku1.jpg heute, 8:30 Uhr - Ich habe das Fenster einfach geschlossen, die pev.3xe hat trotzdem weiter gearbeitet. http://www.abload.de/img/g8.30xpjbw.jpg 11:45 Uhr - Die pev.3xe ist bal 2 GB groß. Hier frage ich mich zudem noch was das für Prozesse sind die ich noch mit einem "?" markiert habe. CF19917.exe / conhost.exe / csrss.exe http://www.abload.de/img/h11.45jajhd.jpg 11:46 Uhr - Nun (eine Minute später) ist die pev.3xe wieder sehr klein (3,5 MB). http://www.abload.de/img/i11.4692k45.jpg 11:48 Uhr - Und nun arbeitet die AVKbap64.exe auf Hochtouren http://www.abload.de/img/k11.48j6ktp.jpg |
gibt im combofix ordner eine quarantainedfiles.txt wenn ja, mal inhalt posten |
Suche abgeschlossen. Die Datei existiert leider nicht im ComboFix Ordner und auch nicht auf dem Rest meines Systems. |
na gut, schaun wir mal, das sollte besser laufen: HitmanPro - Download - Filepony laden, doppelklicken, lizenz, testlizenz dann scan, keine Funde löschen, weiter, log als xml speichern und posten |
Das hat jetzt mal geklappt und ging auch schnell. Voilá: |
hattest du etwas instlaiert, bevor das problem auftrat? wenn ja was von wo? |
Nicht dass ich wüsste. Habe eigentlich nichts in den vergangenen Tagen installiert. Es ist ja auch nicht so, dass mein PC plötzlich nicht mehr funktioniert. Ich habe halt diese "unendliche Ordnerstruktur" entdeckt, die auch nach wie vor da ist und wegen der die Scans mit OLT und ComboFix wohl auch Ewigkeiten gebraucht haben. Dazu diese eigenartigen .exe Datei die im Taskmgr zu sehen sind (siehe vorige Posts). Das macht mir Sorgen. |
wo befindet sich die Datei autorega.exe pfadangabe bitte als text posten. hattest du auch geschaut, wo die conhost.exe war, falls ja, pfadangabe posten bitte. |
Die "autorega.exe" habe ich mittlerweile gelöscht und sie ist auch nicht wieder aufgetaucht. Sie war in diesen Ordnern: c:\Benutzer\Administrator\Lokale Einstellungen\Temp etc. http://www.abload.de/img/1tgk5s.jpg Die conhost.exe befindet sich aktuell in: c:\windows\system32 und in folgenden Ordnern: http://www.abload.de/img/xl5unz.jpg Was ist mit der doppelt(!) vorhandenen "csrss.exe". Auch "explorer.exe" ist doppelt vorhanden. Wenn ich den explorer geöffnet habe sind es zwei files im Taskmgr, sonst immer eine. |
poste bitte die pfade, als text c:\windows\system32 ist in ordnung, weitere pfadangaben posten, danke |
conhost.exe: c:\windows\system32 c:\windows\system32\de-DE c:\windows\winsxs\... C:\Windows\winsxs\amd64_microsoft-windows-consolehost_31bf3856ad364e35_6.1.7601.17514_none_d281ccc018b94ff4 autorega.exe (gelöscht) c:\Benutzer\Administrator\Lokale Einstellungen\Temp\is-JPTBA.tmp Was ist mit der doppelt(!) vorhandenen "csrss.exe". Auch "explorer.exe" ist doppelt vorhanden. Wenn ich den explorer geöffnet habe sind es zwei files im Taskmgr, sonst immer eine. |
also die speicherorte sind alle ok autorega.exe könnte auch was legitimes gewesen sein, aber da du die datei schon gelöscht hast, ist es ja nicht mehr rauszufinden. hast du prozesse aller nutzer anzeigen aktiv, dann ist die doppelte anzeige normal. |
Hm. Und wie kann man nun diese unendliche Ordnerstruktur erklären? http://www.abload.de/img/38gjuf.jpg Wie kann man sie erklären und was mache ich nun damit? |
hast du irgendwas an der REchteverwalung rumgefummelt? |
Nein, die habe ich definitv niemals angerührt seit dem das System drauf ist. Ich verwende den Rechner von Anfang an als Administrator. Danke, dass Du dich weiter um dieses schwierige Problem kümmerst. |
das problem kann von einer spielerei mit tuneup kommen, verzichte auf solche unsinnige tuning software, die bringt nichts, außer ärger. als admin arbeitet man auch nicht.. sind bei dir unter arbeitsplatz, extras, ordneroptionen, ansicht, geschützte systemdateien ausgeblendet? währe die standard einstellung und solltest du evtl. wieder so setzen. |
sowas wie tuneup habe ich nicht und benutze ich auch nicht. es scheint sich um ein problem mit rekursiven ordnern zu handeln. ich habe bereits in vielen foren dazu gelesen, aber nirgends habe eine anleitung finden können, wie man das problem beseitigt. es liegt definitv ein problem vor, was so nicht sein sollte. und durch ausblenden der systemdateien wird es auch nicht gelöst. hast du eine idee was man nun machen kann um diese rekursion zu beenden? |
tuneup war drauf: [2012/05/24 15:44:22 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\TuneUp Software was du machen kannst, ist neu aufsetzen, oder halt wie gesagt, die ordner ausblenden, normalerweise sollte das keine Probleme verursachen |
Jo, da haste mich überführt mit dem TuneUp. Gut, jetzt sind wir endlich an dem Punkt den ich lesen wollte angekommen. Alles muss neu gemacht werden. Danke für Deine Hilfe! Das meine ich ernst! Schade, dass es kein Konzept gibt dieses "rekursive Ordner Problem" zu lösen ohne kaschieren oder alles neu zu installieren. Alles Gute Dir weiterhin |
Hi, ist ja zumindest kein malware problem, und sollte alles funktionieren, kann man es auch so beibehalten |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board