|
virus generiert hunderttausende dateien in wenigen minuten... das problem: vor zwei tagen ist mir aufgefallen, dass der AVG scan bereits seit mehreren stunden läuft, und zwar prüft er das verzeichnis "quarantine" von norton. da ich norten nie aktiviert habe sollte der ordner eigentlich leer sein. der klick auf eigenschaften in windows explorer zeigte, dass es sich in dem ordner mehrere hunderttausende dateien befinden (25 GB oder so). und das interessante war das die anzahl der dateien mit rasender geschwindigkeit anstieg. kein wunder also, dass das av-programm es nicht schaffte alle dateien zu prüfen. nach neustart verschwanden die geiterdateien, aber der "wachstum" fing wieder an. auch kaspersky hat bei über 100.000 gefundenen viren aufgegeben. das system war extrem langsam. leztendlich habe ich die "quarantine" auf DOS-ebene manuel gekillt. seitdem läuft der pc wieder normal. nur windows explorer zeigt bei einigen verzeichnissen genau das gleiche bild: anzahl der dateien steigt permanent. wobei wenn man die unterverzeichnisse prüft, wird keine veränderung der dateingrösse angezeigt. bevor ich die festplate formatiere, vielleicht weiss jemand wie ich das problem unter kontrolle kriege? |
Hier also die Fakten: Du hast schädlichen Code im System, der sich selbst unendlich oft vervielfältigt - wahllos in verschiedene Ordner. Des Rätsels Lösung wird ein HiJackThis Logfile sein. mfg, Markus |
http://www.trojaner-board.de/showthread.php?p=215958#post215958 |
Logfile of HijackThis v1.99.1 Scan saved at 14:07:38, on 01.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\system32\hpoipm07.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\SpeedProject\SpeedCommander 9\SpeedCommander.exe C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\SQZ25.tmp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.ebay.de/ws/eBayISAPI.dll?MyeBay R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.bilderservice.de/direkt/static/download/iedropupload.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{69503761-0FBA-430A-883C-B71AD940496B}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing) O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe |
Also deinem Hijacklog kann man nichts entnehmen, was auf eine Infizierung hindeuten würde! Erstelle bitte nach dieser Anleitung einen Bericht, sowie auch hiervon: --->F-Secure Blacklight Gruß Daniel |
hallo daniel, die "anleitung" ist etwas irreführend, weil unter download nur exen angeboten werden, keine archive. wie auch immer, auf normalen wege lässt sich eScan bei mir nicht installieren. das programm verlangt nach einem reboot, auch nach dem neustart. vielleicht liegt es daran, dass ich kaspersky AV laufen habe... blacklight findet nix. |
Recht hast du, die Anleitung ist extrem irreführend. Wenn sich jemand angesprochen fühlt soll er sie doch gleich auf den aktuellen Stand bringen :blabla: Führe inzwischen einen Blacklight-Scan durch. mfg, Markus |
Das ist auch die (alte) Anleitung für ältere Versionen von eScan. Schau mal in meine Signatur, da ist die neue Anleitung zu finden. |
hallo markus, blacklight findet, wie ich bereits erwähnt habe nüscht. es werden keine wirklichen dateien reproduziert. sonst wäre mene FP schon längst voll... es kann doch nicht sein, dass ich der einzige bin, der dieses "problem" hat, oder? |
Hallo, mal anders gefragt, warum hast Du zwei AV Programme auf dem Rechner? Das geht oft schief, entscheide Dich. Gruß Schrulli |
das weiss ich schrulli. um das ding loszuwerden habe ich mir alle möglichen AVs runtergeladen. und jedes programm findet was anderes. kaspersky hat am meisten gefunden. nur nicht das eigentliche problem. |
Zitat:
Dann müsste der Spuk ein Ende haben. mfg, Markus |
ich habe es im normalen modus erfolglos versucht. aber wie bereits erwähnt - DAS problem habe ich nicht mehr. ich habe den ordner auf DOS ebene gelöscht. seitdem funktioniert alles. und die AVs scanen reibungslos. das einzige was übriggeblieben ist, dass windows explorer eine sich ständig in sekundenschnelle erhöhende ordnergrösse, anzahl der datein und der ordner anzeigt, ohne das neue dateien oder ordner wirklich entstehen. |
Hallo, deinistalliere solange, bis Du nur noch ein Antivirenprogramm auf dem Rechner hast. Gruß Schrulli |
auch dies habe ich bereits gemacht. keine veränderung. |
Hallo, Zitat:
Gruß Schrulli |
in dem verzeichnis selbst gibt es keine dateien. die größe der unterverzeichnisse verändert sich nicht. |
Hallo, Zitat:
*nicht.gern.sachen.aus.der.nase.zieh* Gruß :) Schrulli |
in allen grösseren verzeichnissen. wenn man eineschaften von z.b. windows anklickt, wird angezeigt das sich alle zahlen sekunden schnell erhöhen. 12.000 dateien, 1.400 ordner hmmm... oder war das schon immer so? die zahlen bleiben dann nach einer weile stehen, und nicht wie bei der "quarantine" ins unendliche wächst? |
Hallo, Zitat:
Gruß :daumenhoc Schrulli |
cool, dann habe ich keine viren mehr! für das protokoll: das ding, das auf 35GB in der "quarantine" von norton angewachsen war hiess: Trojan.Java.ClassLoader.u danke für die hilfe! |
Oh jetz wo du's sagst ... Dasselbe habe ich vir 3 Wochen bei einem Kollegen im Tempordner vom IE beobachtet. Nach dem Löschen es Caches (12 Minuten gedauert) waren keine 12gb mehr drin, aber immerhin noch 2.5 in etwas bei 200.000 Dateien, die auch mit allen Einstellungsmöglichkeiten nicht angezeigt wurden. Dass es mehr wurden habe ich allerdings nicht beobachtet. mfg, Markus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board