Ordner mit seltsamen Namen tauchen auf

[Hornissentreiber]

Hallo Gemeinde,

seit einigen Wochen beobachte ich ein merkwürdiges Verhalten auf meinem PC. Es werden auf allen Festplatten (SSD-Systemfestplatte und beiden herkömmlichen Datengräbern) Ordner mit kryptischen Namen geschrieben. Wenn ich sie lösche, sind sie weg und werden kurz darauf von anderen Ordnern ersetzt. Folgende Namen sind ein paar aktuelle Beispiele: Ypackage161, Atcached183, Xdocuments113, Esorted189 usw.. Es gibt drei Gemeinsamkeiten: die Ordner werden offenbar ausschließlich im Root-Verzeichnis der jeweiligen Festplatte geschrieben, sie bestehen immer aus irgendwelchen, anscheinend willkürlich generierten Namen mit angehängter dreistelliger Nummer und enthalten immer zehn verschiedene Dateien.

Die Inhalte dieser Ordner tragen unterschiedlichste Namen und Endungen, wobei die Namen wie die Ordnernamen offenbar zufällig generiert werden. Bei den Endungen sind sowohl .doc, als auch .docx, .rtf, .xls, .txt, aber auch .jpg und .mdb darunter, immer in unvorhersagbarer Zusammenstellung. Ich habe in einer virtuellen Maschine versucht, diese Dateien zu öffnen, aber sie werden von den jeweiligen Programmen stets als defekt bezeichnet und können nicht geöffnet werden. Die Überprüfung mit einem Virenscanner direkt aus dem Betriebssystem heraus blieb ohne Ergebnis, sowohl mit eset nod32 als auch mit dem Windows Defender. Danach habe ich einen extrem langwierigen Durchlauf von drei Virenscannern mit dem Linux-Tool Desinfec´t von der c´t durchgeführt. Alle drei Virenscanner zeigten nichts an.

Hat jemand von euch eine Information, die erklärt, woher diese merkwürdigen Ordner kommen und wie ich das abstellen kann? Für sachdienliche Informationen wäre ich sehr dankbar.

Munter bleiben!

 

[Jeretxxo]

Ist denn unter den eingesetzten Anti Virentools auch ein Malware Scanner gewesen? Das haben ja die wenigsten kostenfreien Tools direkt an Bord, für mich klingt das erstmal nach Malware.
Könntest auch einen HijackThis Log anlegen und hochladen, vielleicht findet ja einer etwas. (nicht in dem Programm rumspielen, wenn du nicht absolut weißt was du machst, damit hast du dir schnell das System zerschossen, nur zur Warnung)

Hast du im abgesicherten Modus gescannt oder im normalen Start?
Mal die laufenden Dienste und Programme aller Benutzer durchgeschaut ob dir da etwas komisch vorkommt und auch mal in die MSConfig geschaut ob die Startparameter umgestellt sein könnten?

Eventuell einen Wiederherstellungspunkt, vor der Zeit als dir auffiel das einfach irgendwelche Ordner auftauchen sind?

Auch mal beobachtet ob die eventuell nach der Nutzung von anderen Programmen auftauchen? Wäre ja möglich das das alles nur Temporäre Dateien sind, auch wenn sie auf den ersten Blick nicht so aussehen.

 

[Amon]

Erstens, HJT ist tot! Mit diesem Log wird keiner mehr was anfangen können. Zweitens, Malware ist einfach nur ein Oberbegriff für alle möglichen Arten von Schädlingen. Aber sicherlich könnte ein Scan mit Malwarebytes Anti Malware nicht schaden.

Sent from the Sombrero Galaxy with Samsung Galaxy S6 and Tapatalk

 

[Jeretxxo]

Amon, das Tool geht und einen Log anlegen kann man nach wie vor und selbst wenn die Datenbanken der automatischen Logauswertung nicht mehr gepflegt wird, worüber ich übrigens überhaupt nicht sprach... sind dort immernoch die alten Datenbanken.

 

[Hornissentreiber]

Malwarebytes Anti Malware habe ich gerade durchlaufen lassen. Es wurde ein merkwürdiger Registry-Schlüssel gefunden, der mir allerdings nichts sagt: PUM.Optional.NoDrives am Ort HKU. Was immer das bedeuten mag. Viel Hoffnung habe ich ja nicht, aber mal sehen, was passiert, nachdem das jetzt in die Quarantäne verschoben wurde.

Hast du im abgesicherten Modus gescannt oder im normalen Start?
Mal die laufenden Dienste und Programme aller Benutzer durchgeschaut ob dir da etwas komisch vorkommt und auch mal in die MSConfig geschaut ob die Startparameter umgestellt sein könnten.

Ich habe die ersten Scans im normalen Start durchgeführt, weil danach ja Desinfec´t dran war und das komplett auf Windows verzichtet. Die laufenden Dienste versuche ich jetzt mit Processmonitor zu untersuchen, mal sehen, ob ich so herausfinde, was da auf den Festplatten herumschreibt.

Erstmal danke bis hierhin, für weitere zielführende Informationen wäre ich dankbar.

Munter bleiben!

 

[Amon]

Amon, das Tool geht und einen Log anlegen kann man nach wie vor und selbst wenn die Datenbanken der automatischen Logauswertung nicht mehr gepflegt wird, worüber ich übrigens überhaupt nicht sprach... sind dort immernoch die alten Datenbanken.

Ja, es geht, aber dann gucke mal was dir bei Windows 7 oder Windows 10 bei manchen Einträgen sagt. HJT ist tot! Willst du vernünftig analysieren musst du schon sowas wie OTL oder FRST nehmen.

Sent from the Sombrero Galaxy with Samsung Galaxy S6 and Tapatalk

 

[T-Drive]

Könnten das temporäre Speicherordner von irgend ner MS-Office Version sein ? Für z.B. die automatische Sicherungsfunktion beim Liebesbrief schreiben ?
Wenn ich seh was der Mediaplayer mit MP3 (Unterordner erstellen Interpreten) für Kapriolen treibt wenn man ihn nicht zügelt, könnt ich mir das schon vorstellen.
Temp Ordner werden ja nicht immer gelöscht wie vorgesehen.
Nur ne Vermutung.

 

[Hornissentreiber]

Könnten das temporäre Speicherordner von irgend ner MS-Office Version sein ?

Das ist unwahrscheinlich. Die aktuelle Office-Version (2016) benutze ich schon deutlich länger, bzw. dieses komische Phänomen ist wesentlich jünger. Aber trotzdem danke, ich bin für jede Idee dankbar.

Munter bleiben!

 

[fotoman]

Falls es kein Virus/Spyware ist, kann Du ja mal den
Process Monitor | heise Download
oder alternativ (direkt von Microsoft)
Process Monitor
mitlaufen lassen und dann, wenn Du ein neues Verzeichnis entdeckst, danach filtern. Dann sollte es Dir anzeigen, welche Applikation das Verzeichis angelegt hat.

 

[T-Drive]

Die aktuelle Office-Version (2016) benutze ich schon deutlich länger, bzw. dieses komische Phänomen ist wesentlich jünger.
Munter bleiben!

Neue updates (W10)? -Neue Ordner, neues Glück

 

[DataDino]

Jag mal nen Junkware-Remover wie AdwCleaner oder Junkware Removal durch. Es kann auch einfach eine amoklaufende Adware sein. Das automatische Anlegen von Ordnern und befüllen mit kaputten Dateien ist erstmal generell nichts, wo ein Anti-Malware Tool Alarm schlägt. So lange die Dateiinhalte sauber sind, sehen es die AMT's als harmlos an und denken, das dieses Vorgehen zur allgemeinen Funktionalität einer Anwendung gehört.

Malwarebytes | AdwCleaner
Malwarebytes | Junkware Removal Tool

Ansonsten checke mal mit Autoruns den kompletten Autostart mal ab. Irgendwo muss der Störenfried ja geladen werden ^^
https://technet.microsoft.com/de-de/sysinternals/bb963902.aspx

Analysieren kannst du das ganze auch ganz gut mit dem Process Monitor. Das mit Abstand beste Tool meiner Meinung nach. Es loggt alle Aktivitäten in deinen Prozessen auf. Programm starten, das loggen nur auf Dateisystem-Operationen eingrenzen, ne Weile laufen lassen und dann schauen, welcher Prozess da auf den Platten schreibt.
Process Monitor