Ab und zu schaue ich mal bei meinen SSD´s durch und lösche Papierkorb Temps etc.
Da fiel mir auf das auf Win11 in Benutzer appdata temp sehr viele kleine Dateien angelegt wurden, über mehrere Wochen.
Es sind .txt .temp und .JSON Dateien.
Mittlerweile über 20 GB !!!
Nur was ist das, ein Programm, Virus?
Wenn man eine .txt Datei öffnet steht dort was mit „Felix Geisendörfer github“
gefolgt von irgendwelchen Befehlen wie HTTML Programmier dingens.
Nur, wer wie was steckt dahinter um das dauerhaft loszuwerden.
Virenscann ohne befund.
Wer weiß da mehr bescheid und wie bekomme ich das los?
Liegen die Dateien direkt in AppData, oder in einem Unterordner? Eigentlich ist AppData ein Ordner, in dem Programme alles mögliche speichern können, aber meist in einem Ordner mit ihrem Namen.
Und was sind denn die HTML Programmier-Dingens? Zeig mal was davon.
Dass Windows json-Dateien nutzt, wäre mir neu und ich glaube es auch nicht. Bei mir gibt es auch keinen Ordner “Benuzter appdata temp”!
Bitte drücke dich so exakt wie möglich aus. Das ist nicht nur, aber besonders bei technischen Problemen elementar wichtig.
Es wäre hilfreich zu wissen, ob die temporären Dateien beim Systemstart oder während des Betriebs erstellt werden. Bei ersterem würde ich auf eine App im Autostart tippen.
Und GitHub jein, davon aber nichts installiert oder runtergeladen. Der Inhalt ändert sich auch immer irgendwie. Sonst waren es Datein mit dem Felix etc. und gerade eben ist der Inhalt wieder etwas anderes.
Eventuell könnte systemseitig ein Programm namens “Github Repo Downloader” oder “Github Desktop” (oder andere) installiert oder aktiviert worden sein, das die genannten Inhalte automatisiert herunterlädt.
Das sind Konfigurationsdateien von npm, dem Paketmanager von node.js, hier die Beschreibung. Die braucht man eigentlich nur, wenn man selbst ein node.js-Packet erstellt. Wie diese Dateien auf deinen Rechner kommen, erklärt das auch nicht. Vielleicht hast du ja eine Anwendung installiert, die mit node.js erstellt wurde.
Ich habe darüber mal mit einer KI (Mistral) diskutiert. Die KI bestätigt meine Vermutung und nennt Discord und Slack als mögliche Verursacher, da beide auf node.js basieren und Winston für das Logging verwenden.
Ich tippe auch darauf, dass hier ggf. unbewusst im Rahmen der Installation eines Programms, welches über Github angeboten wurde, oder bei der Einrichtung einer Entwicklungsumgebung, um selbst etwas programmieren zu können, ein Repository der Quelltexte, … (z.B. auch die Informationen um aus den diversen benötigten Dateien ein npm-Paket zu bauen) eines Programs lokal geclont wurde. Und dieses wird jetzt auch noch automatisch durch einen hierzu angelegten Task aktuell gehalten, weshalb da immer wieder neue Dateien entstehen, wenn man die Verzeichnisse bereinigt. Ich nutze Github auch nur sehr sporadisch und lade mir da nur Dinge manuell runter. Aber da gibt es ja eine Menge Tools, die deutlich mehr können.
Die Idee von @Axurit klingt auch gut, aber aufgrund der ständigen neuen Dateien, würde sie mE voraussetzen, dass da jemand die entsprechende Anwendung immer wieder neu installiert. Und dann müssten die dabei entstehenden temporären Dateien eigentlich auch immer wieder recht identisch sein.
Das habe ich auch eben gelesen, und daran gedacht. Ich stecke da auch nicht tief genug drin. Aber man könnte natürlich mal die Liste betroffener Pakete gegen Fundstücke aus dem Ordner abgleichen, ob es da einen Treffer gibt, also etwas von dem in dem Ordner sich einem der betroffenen Pakete zuordnen lässt. Dann wäre natürlich Holland in Not!
Und hattest Du diese Addons manuell über den Browser in Form einzelner Dateien geladen? Oder hast Du hierfür Git-Tools / Git-Befehle genutzt und dabei - unbewusst - eine dauerhafte Verbindung zwischen dem gehosteten Repository und einem durch dieses Tool/diese Befehle erzeugten lokalen Clon hergestellt. Dann würde jede automatische Aktualisierung zu neuen temporären Dateien führen, und hätten deine Löschaktionen keine dauerhafte Wirkung, bis Du diese Verbindung/Aktualisierung entfernst.
Befehle oder Kommandos nein. Eigentlich alles über CurseForge offiziell geladen. Selbst bei WeakAura über CurseForge ist in der Weakaura irgendwas mit GitHub.dll oder sowas dabei. Addon erstmal gelöscht. Nach nur 1 Tag waren wieder 2 GB !!! angelegt.
Meine Vermutung irgendein Wurm der sich vervielfälltigt?
Mein Bitdefender findet nichts. Er block nur bei opera irgendwas mit cozycountryredirectiii.addons.business. Habe dazu kein Bezug.
Dann irgendwann kommt mit files.dat in den appdata temp Ordner. Schlägt aber keine Aktion vor. Leider sehe ich diese Datei nicht in den Ordner, auch bei alles anzeigen, versteckte Datein anzeigen etc. nichts.
Ich gehe mal davon das es da irgendwo eine .bat Datei versteckt ausgeführt wird und jedesmal den Wurm? neu anlegt und startet?
Wenn du heraus bekommen möchtest. woher diese Dateien stammen, dann mach doch mal folgendes: Lösche die *.tmp.json-Dateien. Lasse Windows einfach laufen, ohne eine Anwendung zu starten. Schaue nach einiger Zeit nach, ob solche Dateien angelegt wurden. Wenn nicht, starte WeakAuras. Schaue erneut nach einiger Zeit nach, ob die Dateien angelegt wurden. Und so weiter mit den dicksten von dir installierten Brocken. Ich bin mir ziemlich sicher, dass die Daten von einem deiner Spiele erzeugt werden.
