# Problem mit attrib.exe (langer Festplattenzugriff)



## buell (9. Juli 2008)

Hallo zusammen,

in letzter Zeit habe ich auf meinem Notebook noch Ewigkeiten (10-15min) nach dem Start von Windows XP SP3 heftigen Zugriff auf die Festplatte (also die Lampe geht gar nicht mehr aus). Dies ist verdammt nervig gerade wenn ich nur mal kurz was im INet nachschauen will. Ich habe den letzten Start mit einem Festplatten Monitoring Tool überwacht und dabei ist mir der Prozess attrib.exe aufgefallen. Mir scheint als würde dieser jedes einzelne Verzeichnis auf meiner Festplatte einmal öffnen und wieder schließen. Da ich leidenschaftlich programmiere habe ich sehr sehr viele Daten auf meiner Festplatte und demzufolge sehr viele Verzeichnisse. Soweit ich bis jetzt gelesen habe kann ich den Prozess nicht einfach deaktivieren (könnte schon, wäre aber nicht gut). 

Hat jemand eine Idee wie ich zumindest das Öffnen / Schließen von Verzeichnissen verhindern kann? Das geht mir verdammt auf die Nerven.

Danke!

PS: Mir ist grad aufgefallen, dass nur C indiziert wird. Leider kann da vieles nicht weg wie zB Cygwin (hat allein 4621 Ordner)


----------



## darkframe (10. Juli 2008)

Hi,

schau mal bei den Eigenschaften Deiner C-Platte nach. Hast Du da zufällig einen Haken bei "Laufwerk für schnelle Dateisuche indizieren"? Wenn ja, mache den mal weg und beobachte, ob das geholfen hat. Ich bin mir jetzt nämlich nicht sicher, ob bei der Indizierung die attrib.exe verwendet wird.


----------



## buell (10. Juli 2008)

Hallo,

danke für die Antwort. Ich werde das gleich mal probieren. 

Ich habe vorhin gerade folgendes im Netz gefunden: 



> If your pc has a process called attrib.exe running, your computer has possibly been infected with a form of the irc.cloner trojan



Ich versuche jetzt schon seit Stunden irgendwie diesen Trojaner zu finden aber leider ohne Erfolg :-( Mein Antivirenprogramm findet ihn nicht und auch Spybot meldet nichts.


----------



## darkframe (11. Juli 2008)

Hi,

naja, grundsätzlich wäre es möglich, dass Du Dir diesen Trojaner eingefangen hast. Ob das der Fall ist, kannst Du herausfinden, wenn Du mal auf Deinem System nachsiehst, ob das, was auf dieser Seite beschrieben ist, auf Dich zutrifft, also ob z.B. ein Eintrag wie "MSKCES32 %windir%\System32\SPOOL\DRIVERS\E3\shell32.bat" in den AutoRun-Einträgen Deiner Registry vorhanden ist und/oder ob das genannte E3-Verzeichnis existiert.

Der Trojaner nutzt wohl die attrib.exe. Die EXE an sich ist aber wohl okay, denn bei so einem alten Trojaner sollte das eigentlich von jedem aktuellen Anti-Virenprogramm erkannt werden, zumindest bei so einem alten Teil.


----------



## buell (11. Juli 2008)

Hallo,

die Seite die du verlinkt hast hatte ich schon gefunden. Es gibt weder den Ordner noch den Eintrag in der Registry.

- Ich habe die Indizierung abgeschaltet - hat aber nicht geholfen.
- Ich habe mit 2 Virenscannern meinen gesamten Rechner gescannt - ohne etwas zu finden
- Ich habe 2 Anti-Spyware Programme benutzt um nach Spyware zu suchen - auch nichts gefunden

Der Prozess ist trotzdem immernoch da und ich beende ihn jetzt nach jedem Systemstart manuell. Ich werde mal probieren ob meine Firewall ihn vollständig blocken kann. Ansonsten bin ich ratlos. Eigentlich sind meine Sicherheitseinstellungen ganz gut: 
- Firewall im Router
- SW-Firewall auf dem Rechner
- Antivir
- Spybot
- Cookies deaktiviert im Browser
- alle Windows Updates
und trotzdem so'n Sch****

Dieser Satz auf der Symantec Seite könnte natürlich erklären warum kein Virenscanner was findet:
NOTE: The files marked with an asterisk (*) are legitimate Windows or commercial files that Backdoor.IRC.Cloner has exploited. These files are not malicious, and as such, Symantec antivirus products do not detect them.


----------



## darkframe (15. Juli 2008)

Hi,

das einzige, was mir jetzt noch einfällt, um eventuell herauszubekommen, welches Programm die attrib.exe startet und verwendet wäre, mit dem ProcessExplorer aus der Sysinternals Suite nachzusehen. Die Suite ist kostenlos bei Microsoft erhältlich, und zwar hier. Auf der Seite ist rechts oben der Download-Link für die komplette Suite zu finden. Den ganzen Kram gibt's aber nur auf Englisch. Das könnte dann aussehen wie in dem Bild unten.

Da siehst Du beispielsweise, dass der Process Explorer vom SpeedCommander aus gestartet wurde und das mein SnagIt Capture-Tool eine TscHelp.exe und eine SnagPriv.exe gestartet hat. In Deinem Fall könnte dort also ein XYZ-Programm stehen, unter dem die attrib.exe ausgeführt wird. Vielleicht hilft Dir das ja weiter.

Ach ja, die Sysinternals Suite brauchst Du nur in einen Ordner Deiner Wahl zu entpacken und dort die gewünschte Exe per Doppelklick vom Explorer aus starten. Für den Process Explorer wäre das die procexp.exe. Und noch eins: Bei vielen der enthaltenen Programme sollte man genau wissen, was man tut. Zur Fehlersuche sind aber der Process Explorer sowie FileMon, ProcMon und RegMon sehr sehr hilfreich. Die verändern auch nichts am System.

Wenn Du mal einen Überblick bekommen willst, welche Programme eigentlich so wirklich automatisch gestartet werden, empfehle ich noch einen Doppelklick auf "autoruns.exe" (nicht autoruns*c*.exe, die ist für die Kommandozeile). Mit der kann man auch Programme am Autostart hindern, daher Vorsicht bei der Anwendung!


----------



## buell (15. Juli 2008)

Hallo

und wieder mal Danke für die Hilfe. Ich bin leider jetzt auch nicht wirklich schlauer geworden. Der Process attrib.exe wird von der svchost und diese wieder vom System ausgeführt. Wobei svchost ja nicht wirklich was zu sagen hat, führt eben dll's aus. Auf jeden Fall scheint es mir ein Dienst zu sein der ausgeführt wird, ich werde mal schauen ob ich in diese Richtung was finde. Eigentlich habe ich schon alle Dienste geprüft. 

Bin für weitere Anregungen dankbar!


----------



## buell (15. Juli 2008)

Hier nochmal der Screenshot besser lesbar... ;-)

PS:
Habe gerade eben mal die attrib.exe einfach umbenannt und PC neu gestartet. Danach war die Änderung der attrib.exe nicht mehr zu sehen...


----------



## darkframe (16. Juli 2008)

Hi,

tja, umbenennen ist natürlich eine Möglichkeit, kann aber zu Problemen führen, wenn Programme auf die attrib.exe zugreifen wollen, deren Ausführung erwünscht ist. Allerdings fallen mir auf Anhieb keine ein.

Das mit der svchost.exe ist sowieso etwas komplizierter. Ich habe hier noch eine Seite gefunden, die das ganz gut erklärt und Dir vielleicht auch helfen kann, doch noch den Dienst zu identifizieren, der über svchost die attrib.exe startet. Dazu musst Du natürlich erst noch einmal den Originalnamen wiederherstellen, falls Du bei der Suche in der Registry nicht fündig wirst. Die Seite bezieht sich zwar auf Windows 2000, aber selbst in Vista stimmt das da gesagte noch weitestgehend.

Falls Du Dir die Mühe machen willst: Viel Glück bei der Suche!


----------

