virus generiert hunderttausende dateien in wenigen minuten...

orange0101 · 01.06.2006, 12:47

das problem:

vor zwei tagen ist mir aufgefallen, dass der AVG scan bereits seit mehreren stunden läuft, und zwar prüft er das verzeichnis "quarantine" von norton. da ich norten nie aktiviert habe sollte der ordner eigentlich leer sein.
der klick auf eigenschaften in windows explorer zeigte, dass es sich in dem ordner mehrere hunderttausende dateien befinden (25 GB oder so). und das interessante war das die anzahl der dateien mit rasender geschwindigkeit anstieg. kein wunder also, dass das av-programm es nicht schaffte alle dateien zu prüfen.
nach neustart verschwanden die geiterdateien, aber der "wachstum" fing wieder an.
auch kaspersky hat bei über 100.000 gefundenen viren aufgegeben.
das system war extrem langsam.
leztendlich habe ich die "quarantine" auf DOS-ebene manuel gekillt.
seitdem läuft der pc wieder normal. nur windows explorer zeigt bei einigen verzeichnissen genau das gleiche bild: anzahl der dateien steigt permanent. wobei wenn man die unterverzeichnisse prüft, wird keine veränderung der dateingrösse angezeigt.

bevor ich die festplate formatiere, vielleicht weiss jemand wie ich das problem unter kontrolle kriege?

Markus1234 · 01.06.2006, 12:50

Hier also die Fakten:

Du hast schädlichen Code im System, der sich selbst unendlich oft vervielfältigt - wahllos in verschiedene Ordner.

Des Rätsels Lösung wird ein HijackThis Logfile sein.

mfg,
Markus

orange0101 · 01.06.2006, 13:12

http://www.trojaner-board.de/showthread.php?p=215958#post215958

orange0101 · 01.06.2006, 13:17

Logfile of HijackThis v1.99.1
Scan saved at 14:07:38, on 01.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\SpeedProject\SpeedCommander 9\SpeedCommander.exe
C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\SQZ25.tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.ebay.de/ws/eBayISAPI.dll?MyeBay
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.bilderservice.de/direkt/static/download/iedropupload.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{69503761-0FBA-430A-883C-B71AD940496B}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

**Sunny** · 01.06.2006, 15:57

Also deinem Hijacklog kann man nichts entnehmen, was auf eine Infizierung hindeuten würde!
Erstelle bitte nach dieser Anleitung einen Bericht, sowie auch hiervon: --->F-Secure Blacklight

Gruß
Daniel

orange0101 · 01.06.2006, 20:26

hallo daniel,

die "anleitung" ist etwas irreführend, weil unter download nur exen angeboten werden, keine archive.
wie auch immer, auf normalen wege lässt sich eScan bei mir nicht installieren. das programm verlangt nach einem reboot, auch nach dem neustart.
vielleicht liegt es daran, dass ich kaspersky AV laufen habe...

blacklight findet nix.

Markus1234 · 01.06.2006, 23:52

Recht hast du, die Anleitung ist extrem irreführend.
Wenn sich jemand angesprochen fühlt soll er sie doch gleich auf den aktuellen Stand bringen

Führe inzwischen einen Blacklight-Scan durch.

mfg,
Markus

cosinus · 01.06.2006, 23:56

Das ist auch die (alte) Anleitung für ältere Versionen von eScan. Schau mal in meine Signatur, da ist die neue Anleitung zu finden.

orange0101 · 02.06.2006, 00:34

hallo markus,

blacklight findet, wie ich bereits erwähnt habe nüscht.

es werden keine wirklichen dateien reproduziert. sonst wäre mene FP schon längst voll...

es kann doch nicht sein, dass ich der einzige bin, der dieses "problem" hat, oder?

BataAlexander · 02.06.2006, 01:32

Hallo,

mal anders gefragt, warum hast Du zwei AV Programme auf dem Rechner?
Das geht oft schief, entscheide Dich.

Gruß

Schrulli

orange0101 · 02.06.2006, 09:54

das weiss ich schrulli. um das ding loszuwerden habe ich mir alle möglichen AVs runtergeladen. und jedes programm findet was anderes. kaspersky hat am meisten gefunden. nur nicht das eigentliche problem.

Markus1234 · 02.06.2006, 13:19

Zitat:

vor zwei tagen ist mir aufgefallen, dass der AVG scan bereits seit mehreren stunden läuft, und zwar prüft er das verzeichnis "quarantine" von norton. da ich norten nie aktiviert habe sollte der ordner eigentlich leer sein.

Theoretisch sollte es doch funktionieren, wenn man den Ordner im Abgesicherten Modus leert und anschließend die Rechte so setzt, dass niemand zugreifen kann (das geht) - nichtmal Windows oder man selbst.

Dann müsste der Spuk ein Ende haben.

mfg,
Markus

orange0101 · 02.06.2006, 13:39

ich habe es im normalen modus erfolglos versucht.
aber wie bereits erwähnt - DAS problem habe ich nicht mehr. ich habe den ordner auf DOS ebene gelöscht. seitdem funktioniert alles. und die AVs scanen reibungslos.
das einzige was übriggeblieben ist, dass windows explorer eine sich ständig in sekundenschnelle erhöhende ordnergrösse, anzahl der datein und der ordner anzeigt, ohne das neue dateien oder ordner wirklich entstehen.

BataAlexander · 02.06.2006, 13:46

Hallo,

deinistalliere solange, bis Du nur noch ein Antivirenprogramm auf dem Rechner hast.

Gruß

Schrulli

orange0101 · 02.06.2006, 13:55

auch dies habe ich bereits gemacht.
keine veränderung.

01.06.2006, 23:56	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	virus generiert hunderttausende dateien in wenigen minuten... Das ist auch die (alte) Anleitung für ältere Versionen von eScan. Schau mal in meine Signatur, da ist die neue Anleitung zu finden. __________________ Logfiles bitte immer in CODE-Tags posten

02.06.2006, 13:46	#14
BataAlexander > MalwareDB	virus generiert hunderttausende dateien in wenigen minuten... Hallo, deinistalliere solange, bis Du nur noch ein Antivirenprogramm auf dem Rechner hast. Gruß Schrulli __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

virus generiert hunderttausende dateien in wenigen minuten...

Plagegeister aller Art und deren Bekämpfung: virus generiert hunderttausende dateien in wenigen minuten...