Tjo seid heute wächst die auslagerungsdatei alle 2sek um 1mb bis irgendwann
die warung kommt die auslagerungsdatei ist zu klein ich hab kein einziges prog am laufen.Hab auch schon im taskmanager geguckt da frisst auch nix die ganze zeit speicher.Hab schon antivir und addaware druchlaufen lassen.
OS ist WinXP mit SP1

mmm...

Wie gross ist deine Auslagerungsdatei den jetzt? erstell am besten mal ein Log mit HijackTHis und poste es. Aber selber nichts entfernen, bevor wir es sagen ...

Also eingestellt hab ich 768min bis 1536max wie komm ich an diesen log?
Zugesicherter Speicher ist nach dem start 180mb und wächst jetzt ist sie bei 350

mmm...

Auf meine Signatur klicken, dann dem Link zu Hijackthis folgen, direktdownload und in einem eigenen Ordner speichern. Danach das Programm aufrufen, auf scan gehen, sehen, dass der Button scan sich in "save log" verwandelt hat, draufgehen, Log irgendwo speichern und per copy und paste ins Forum eintragen ...

Hab zwischern durch mal das sp2 installiert hat aber nix gebracht


Logfile of HijackThis v1.98.2
Scan saved at 22:30:51, on 18.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe
C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe
C:\WINDOWS\LIBUPDATE.EXE
C:\Programme\WLAN\802.11 Wireless LAN\WWlanMonitor.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Azureus\Azureus.exe
C:\Programme\Java\j2re1.4.2_05\bin\javaw.exe
C:\Programme\WinRAR\WinRAR.exe
C:\hijackthis_198\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F3 - REG:win.ini: run=xeix.exe, vmfrqopuxqlt.exe, bucpy.exe, hpteoqj.exe, hnbuegyhmdm.exe, xqlefjeobj.exe, cwwumnnwkecm.exe, ewry.exe, ylcmguqlfgd.exe, bocig.exe, ylxbbynathr.exe, jkfemlp.exe, dcabkn.exe, ywedrbks.exe, extunsgcmvrla.exe, ulhoscymagnmp.exe, vftvrrebs.exe, cvxpgbo.exe, arxqujmllr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\RunServices: [WinLoader] arxqujmllr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TaskTray] C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe
O4 - HKCU\..\Run: [TaskBar] C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe
O4 - HKCU\..\Run: [WinLibUpdate] C:\WINDOWS\LIBUPDATE.EXE -hide
O4 - Global Startup: WLAN Monitor Utility.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab

Da ist imo der Wumr drin.
Diese "arxqujmllr.exe" ist mehr als suspekt under Eintrag F3 (der win.ini kram) MUß rauß.
Die "lubupdate.exe" gehört zu einem Trojaner http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_BIONET.31

Unbedingt mit einem akltuelle nViren Scanner dein Sys scannen.

Hier noch mal ein log direkt nach dem start


Logfile of HijackThis v1.98.2
Scan saved at 22:37:21, on 18.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe
C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe
C:\WINDOWS\LIBUPDATE.EXE
C:\Programme\WLAN\802.11 Wireless LAN\WWlanMonitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis_198\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F3 - REG:win.ini: run=xeix.exe, vmfrqopuxqlt.exe, bucpy.exe, hpteoqj.exe, hnbuegyhmdm.exe, xqlefjeobj.exe, cwwumnnwkecm.exe, ewry.exe, ylcmguqlfgd.exe, bocig.exe, ylxbbynathr.exe, jkfemlp.exe, dcabkn.exe, ywedrbks.exe, extunsgcmvrla.exe, ulhoscymagnmp.exe, vftvrrebs.exe, cvxpgbo.exe, arxqujmllr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\RunServices: [WinLoader] arxqujmllr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TaskTray] C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe
O4 - HKCU\..\Run: [TaskBar] C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe
O4 - HKCU\..\Run: [WinLibUpdate] C:\WINDOWS\LIBUPDATE.EXE -hide
O4 - Global Startup: WLAN Monitor Utility.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab

C:\WINDOWS\LIBUPDATE.EXE <--- weiss ich nicht genau, wahrscheinlich böse
C:\Programme\Azureus\Azureus.exe <--- P2P?

Das sieht sehr komisch aus:
F3 - REG:win.ini: run=xeix.exe, vmfrqopuxqlt.exe, bucpy.exe, hpteoqj.exe, hnbuegyhmdm.exe, xqlefjeobj.exe, cwwumnnwkecm.exe, ewry.exe, ylcmguqlfgd.exe, bocig.exe, ylxbbynathr.exe, jkfemlp.exe, dcabkn.exe, ywedrbks.exe, extunsgcmvrla.exe, ulhoscymagnmp.exe, vftvrrebs.exe, cvxpgbo.exe, arxqujmllr.exe

Ich bin ein nutzloser Eintrag, lösch mich:
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

Ich bin böse, maile mich an Antivir ...
O4 - HKLM\..\RunServices: [WinLoader] arxqujmllr.exe

Weiss ich nicht genau, sieht aber auch sehr komisch aus
O4 - HKCU\..\Run: [WinLibUpdate] C:\WINDOWS\LIBUPDATE.EXE -hideHier (http://www.virustotal.com/flash/index_en.html) kannst du die beiden Dateien mal hochladen, du must dazu aber eine gültige EMail- Addi angeben, dahin wird das Ergebniss des Scans geschickt. Im Notfall nimmst meine Addi lokadamus@gmx.de ...

Azureus ist ein P2P Bittorent prog hab aber noch nie probelme damit gehabt.

mmm...

Wollte ich auch nur so wissen ;), nicht, das sich dahinter etwas versteckt ... Sephirot hat weiter oben auch schon gesagt, was Probleme macht ...

mmm...

Wollte ich auch nur so wissen ;), nicht, das sich dahinter etwas versteckt ... Sephirot hat weiter oben auch schon gesagt, was Probleme macht ...
Wo muss ich bei diesem scan service meine email addy eingeben?

mmm...

Die haben die Seite umgebaut, braucht man jetzt wohl nicht mehr, ansonsten war es direkt neben dem Fileupload ...

Results of a file scan
This is the report of the scanning done over "hijackthis2.log" file that VirusTotal processed on 09/18/2004 at 23:01:20.

Antivirus Version Update Result
BitDefender 7.0 09.17.2004 -
ClamWin devel-20040822 09.18.2004 -
Kaspersky 4.0.2.24 09.18.2004 -
McAfee 4393 09.17.2004 -
NOD32v2 1.872 09.17.2004 -
Norman 5.70.10 09.17.2004 -
Panda 7.02.00 09.18.2004 -
Sybari 7.5.1314 09.18.2004 -
Symantec 8.0 09.17.2004 -
TrendMicro 7.000 09.18.2004

Nix gefunden :-(

mmm...

Da solltest du nicht das Log hinschicken, sondern die arxqujmllr.exe und die LIBUPDATE.EXE, damit du weisst, wie der Virus/ Wurm/ Trojaner heisst und alles von dem Teil entfernen kannst. Ansonsten sollte es reichen, die genannten Einträge mit HijackThis zu entfernen. Dann liegt das Teil zwar noch auf deiner HDD rum, wird aber nicht weiter gestartet (hoffe ich, nicht dass die Systemwiederherstellung Blödsinn macht und das Teil wieder startet) ...

mmm...

Da solltest du nicht das Log hinschicken, sondern die arxqujmllr.exe und die LIBUPDATE.EXE, damit du weisst, wie der Virus/ Wurm/ Trojaner heisst....
ich verweiße nur noch mal auf meinen obigen post ...

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_BIONET.31

Hab jetzt mit HijackThis bis auf den eintrag F3 alle gelöcht und die auslagerungsdatei bleibt auch nach 10 min gleich Danke für die Hilfe ;-)

Nabend!

Bzgl. des Taskmanagers:

Unter Prozesse wird nur der Speicherverbrauch der Programme im RAM angezeigt nicht/ohne den Verbrauch der Auslagerungsdatei mit einzubeziehen oder extra anzuzeigen. Dazu müsstest du ein extra Programm (wie z.B. AIDA32) installieren welches das anzeigen kann.

EDIT: Vergesst was ich hier geschrieben hab^^ :hammer:

mfg
szudri

Nabend!

Bzgl. des Taskmanagers:

Unter Prozesse wird nur der Speicherverbrauch der Programme im RAM angezeigt nicht/ohne den Verbrauch der Auslagerungsdatei mit einzubeziehen oder extra anzuzeigen. Dazu müsstest du ein extra Programm (wie z.B. AIDA32) installieren welches das anzeigen kann.

mfg
szudri
Da gibt es eine tolle Option beim Taskmanager, die es erlaubt die Ansicht zu ändern und zusätzliche Informationen wie den virtuellen Speicher anzuzeigen ;-)

dildo4u, du solltest trotzdem die beiden Dateien löschen und einen Virenscann durchführen. Der Eintrag in der win.ini kann auch weg.

Bitte zeige uns dennoch eine frisch erstellte Log-Datei von hijack-This nur um Sicher zu gehen !

Da Du anscheinend WLAN benutzt hoffe ich doch mal das das anständig abgesichert ist bezüglich Passwort und Verschlüsselung oder ?