Moin,

vielleicht kennt das Problem jemand und kann mir auf die Sprünge helfen.
Installiert ist OpenSuSe 13.1 mit allen Updates.
Zusätzlich war noch VMWare-Player von deren Webseite installiert.

Mein Problem:
Beim Zugriff auf das Homeverzeichnis per Dolphin und/oder per Firefox (um ein Bild hochzuladen) erfolgte ein nicht enden wollender Zugriff auf die Platte (3TB - SATA2 - 4 Partionen (swp/root/home/srv)).

Ein e2fsck auf die Partionen ergab nur einen 0,3%igen Anteil nicht zusammenhängender Dateien. Ich liess es direkt korrigieren.
Das Problm blieb.

Heute stolperte ich dann über einen mir unbekannten versteckten Ordner
/home/BENUTZER/.LT-IDoswwr. Mit einer Grösse von einem Gigabyte.
Ich wusste nichts mit dem Ordner anzufangen und wollte den Inhalt anzeigen lassen, als das System wieder die Platte voll in Anspruch nahm.
Auch ein Versuch über die Konsole brachte den selben Erfolg.
Letztlich bootete ich ein KDE-Livesystem, mit dem ich auf den Inhalt zugreifen konnte.
Es befanden sich über 2 Millionen Dateien auf einer Ebene in diesem Ordner, die jeweils nur ein paar Byte hatten. Die Dateien waren mit einer "zufälligen" Namensvergabe ohne Endung gekennzeichnet ... also "3hg4bt7" als Beispiel. Zahlen und Nummern. Gross- und Kleinschreibung, keine Sonderzeichen.

Ich habe den Ordner dann über die Konsole gelöscht (was ein paar Stunden dauerte).

In den Logfiles sehe ich nichts, was darauf hinweisen könnte, dennoch hatte der Ordner und ein Teil der Dateien aktuelle Timestamps.

VMWare habe ich in Verdacht und nun gelöscht.
Den Verdacht kann ich allerdings nicht begründen.

Mein System hat eine aktive Firewall und nur die Ports 80 und 443 offen.
Ein Rootkit läuft als Dämon.
Anti-Viren-Soft ist nicht installiert.
Oberfläche ist KDE4.
Ich arbeite als Benutzer und hole mir root-Rechte nur zur Installation über Yast2, mittels su -.

Achja ... bei der Prüfung der Dienste fiel mir noch auf dass mein System Plymouth gestartet hatte. Ich kann mich nicht daran erinnern Plymouth installiert zu haben. Plymouth wurde in den Diensten dann gestoppt und im Nachhinein deinstalliert (alle Einträge die ich dazu fand).
Ich weiß das SuSE seit Version 12 damit rumhantiert. aber ich weiß auch, dass ich es schon bei der damaligen frischen Neuinstallation von 13 und 13.1 nicht mit installieren liess.
Möglicherweise wurde es durch ein anderes Programm (VMWare?) nachinstalliert.

Hat jemand eine Eingebung und kann sagen ..."Ja klar ... das Problem wurde durch Programm XY oder einem Virus ausgelösst."?

Mit besten Grüßen,
der Micha

Danke Dir freeflaoting,

VMWare habe ich bereits deinstalliert.
Bisher wurde kein neuer Ordner angelegt und das System verhält sich einwandfrei.
Allerdings gehe ich auch nicht davon aus, dass die 2 Millionen Einträge in einem Rutsch erstellt worden, sondern sich nach und nach angesammelt haben.

Die nächsten Tage will ich erst noch ohne AV-Soft weiter arbeiten und das System weiterhin unter Beobachtung halten.
Sollte sich Ende nächster Woche nichts neues ergeben, wird clamav installiert und das System einmal rundum gescannt. Wie bereits erwähnt läuft rkhunter als dämon schon länger ohne Auffälligkeiten mit, wodurch ich einen root-Befall eigentlich ausschliesse.

Ich habe mit SUSE 1.0 begonnen und arbeite seit Version 8 durchgehend und beinahe ausschliesslich damit (Windows ist auf einer weiteren Platte und wird nur für eine spezielle Software gebootet).
Ein Virus in freier Wildbahn unter Linux ist mir nicht bekannt ... aber nichts ist unmöglich.

Wenn es etwas Neues zu berichten gibt, werde ich hier weiter berichten.

Beste Grüße,
der Micha

Darf als erledigt betrachtet werden.
Was auch immer da bei VMWare falsch lief, es trat seit dem nicht mehr auf.

(.. und mittlerweile bin ich auf Debian umgestiegen )

Vielen Dank für eure Hilfe.