|
Festplatte voll Hallo, kann mir jemand helfen,meine Festplatte ist unterteilt in vier abteilungen. c: d: e: f: Auf der Abteilung c: ist nur windows drauf und diverse Programme wie Zonealarm und icq.Die kapazität von c: ist 19,5 gb und davon sind nur noch 600 mb frei. Ich weiss nicht wieso nur noch so wenig platz auf c: ist.Hat jemand einen Tipp? Kann es sein das ich ein unerwünschtes Programm habe das irgendetwas ohne mein wissen speichert?Also ein Virus kann es nicht sein da Zonealarm keinen Virus anzeigt.Ich habe ständig das Problem das ich zu wenig Speicherplatz habe,und die Datenträgerbereinigung bringt auch nicht viel,nach spätestens zwei tagen kriege ich wieder diese meldung. Vielen Dank im voraus!! Hier ist der Hijackthis Log falls der weiterhilft: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:45:12, on 19.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\rundll32.exe D:\ICQ6\ICQ.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [e4053169] rundll32.exe "C:\WINDOWS\system32\yxiniqjj.dll",b O4 - HKCU\..\Run: [ICQ] "D:\ICQ6\ICQ.exe" silent O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 1416 bytes |
Was hat dies im Diskussionsforum über Sicherheitsprogramme verloren? "Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches. Störer werden "sanft aus dem Raum begleitet"." *Verschoben* lasse C:\WINDOWS\system32\yxiniqjj.dll mal bei http://virusscan.jotti.org/ und/oder http://www.virustotal.com/ überprüfen. Ergebnis komplett hier rein Ist das Logfile wirklich komplett? Jemand der ICQ und Zonealarm installiert, sollte tatsächlich so ein kurzes Log haben? *wunder* ;) Hast du schon mal den "Datenträger bereinigen" lassen? Lehre mal alle Temp-Verzeichnisse. Schau auch mal auf c:\windows nach versteckten Dateien nach dem Muster $NtUninstallKB...., diese können entfernt werden (macht u.U. ein paar hundert MB), sie dienen einem "Uninstall" von Patches. Schau auch mal, wie groß der verborgene Ordner "Installer" in c:\windows ist. NUR SCHAUEN und melden. |
Hallo, sorry erstmal das ich das Thema ins falsche Forum gesetzt habe,war keine Absicht. Also die Datei,die ich prüfen soll ist nicht mehr vorhanden. Die Temp verzeichnisse hab ich gelehrt,hat aber nicht viel gebracht.eine Datenträgerbereinigung mache ich alle zwei Tage,da mein Rechner mich immer drauf hinweist.Und der Logfile ist nicht grösser,keine ahnung warum.Ich habe nochmal einen gemacht,der ist auch nicht grösser. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:02:13, on 19.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\rundll32.exe D:\ICQ6\ICQ.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [e4053169] rundll32.exe "C:\WINDOWS\system32\xpxuwrrv.dll",b O4 - HKCU\..\Run: [ICQ] "D:\ICQ6\ICQ.exe" silent O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 1416 bytes Ich habe die Datei C:\WINDOWS\System32\xpxuwrrv.dll",b scannen lassen. Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.16.0 2008.05.19 - AntiVir 7.8.0.19 2008.05.18 - Authentium 5.1.0.4 2008.05.18 - Avast 4.8.1195.0 2008.05.18 - AVG 7.5.0.516 2008.05.18 - BitDefender 7.2 2008.05.19 - CAT-QuickHeal 9.50 2008.05.17 - ClamAV 0.92.1 2008.05.19 - DrWeb 4.44.0.09170 2008.05.19 - eSafe 7.0.15.0 2008.05.18 - eTrust-Vet 31.4.5798 2008.05.16 - Ewido 4.0 2008.05.18 - F-Prot 4.4.2.54 2008.05.16 - F-Secure 6.70.13260.0 2008.05.19 - Fortinet 3.14.0.0 2008.05.19 - GData 2.0.7306.1023 2008.05.19 - Ikarus T3.1.1.26.0 2008.05.19 - Kaspersky 7.0.0.125 2008.05.19 - McAfee 5297 2008.05.17 - Microsoft 1.3408 2008.05.13 - NOD32v2 3107 2008.05.18 - Norman 5.80.02 2008.05.16 - Panda 9.0.0.4 2008.05.18 - Prevx1 V2 2008.05.19 Cloaked Malware Rising 20.45.01.00 2008.05.19 - Sophos 4.29.0 2008.05.19 - Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.19 - TheHacker 6.2.92.313 2008.05.19 - VBA32 3.12.6.6 2008.05.18 - VirusBuster 4.3.26:9 2008.05.18 - Webwasher-Gateway 6.6.2 2008.05.19 Win32.Malware.gen!92 (suspicious) weitere Informationen File size: 91264 bytes MD5...: 13ed91e5b3c86325efcb99e1e1583597 SHA1..: 1cf7d3842c4916e8f6593eb48a9e8c5387d62ed6 SHA256: 415465889ebc083ed37dc6cb0723d5fce6100dd224be3387564f733fee0dfd5a SHA512: 657873cd65402bcdc031294fc450d39119bb2cb274436090cd946e76f8f52cda 343a4142e77af1287a56fd8747dd86fb2177cbbc4d8deeffb15b36ce6b48376c PEiD..: Armadillo v1.xx - v2.xx PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10001242 timedatestamp.....: 0x48219e78 (Wed May 07 12:20:08 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2000 0x2000 4.74 6bd960adfde956dc9084e43ee01bc455 .rsrc 0x3000 0x1000 0xa00 4.40 1c278592f807e74963d6653bd1c4a837 .text 0x4000 0x5000 0x4800 7.99 770ad09679ac2726c4f49f90f0bfab1e .reloc 0x9000 0x1d000 0xd480 7.99 4d496c074990f5bec3d5a9842b29da7e ( 5 imports ) > kernel32.dll: GetCurrentThreadId, GetProcAddress, InitializeCriticalSection, LoadLibraryA, LocalAlloc, LocalFree, MultiByteToWideChar, VirtualAlloc, VirtualFree, VirtualProtect, WideCharToMultiByte > user32.dll: BeginPaint, CheckMenuRadioItem, CheckRadioButton, CreateMenu, CreateWindowExA, DestroyCursor, DestroyWindow, EndPaint, ExitWindowsEx, FindWindowExA, GetCapture, GetCursorPos, GetDC, GetSystemMetrics, GetWindow, GetWindowDC, GetWindowDC, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA, TranslateMessage, UpdateWindow, ValidateRect, WaitMessage, wvsprintfA > gdi32.dll: CreateSolidBrush, DeleteDC, DeleteObject, GetDeviceCaps, GetPixel, GetStockObject, MoveToEx, Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA > shell32.dll: SHBrowseForFolder, SHGetPathFromIDList > comdlg32.dll: ChooseColorA ( 0 exports ) Prevx info: LTGVWQDE.DLL - Prevx Ich hoffe es hilft weiter. Danke im voraus! |
Die Datei ist deswegen nicht mehr zu finden, da sie nach jedem Neustart einen anderen Namen hat. Häufig ändert der Prozess beim Herunterfahren den Dateinamen inklusive Autostarteintrag (Dienst, HKLM...\run, etc). Schau Dir folgende Zeile an: Code: O4 - HKLM\..\Run: [e4053169] rundll32.exe "C:\WINDOWS\system32\xpxuwrrv.dll",b%ComSpec% |
Hallo, was isn das für ne Datei?Und wie werd ich die los.Die gehört doch sicher nicht in mein System oder?? Ich habe die Datei ja scannen lassen,ich kann mit dem Report nur leider nix anfangen. |
Zitat:
Zitat:
Zitat:
%ComSpec% |
Hier der Report von Virustotal: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.16.0 2008.05.19 - AntiVir 7.8.0.19 2008.05.18 - Authentium 5.1.0.4 2008.05.18 - Avast 4.8.1195.0 2008.05.18 - AVG 7.5.0.516 2008.05.18 - BitDefender 7.2 2008.05.19 - CAT-QuickHeal 9.50 2008.05.17 - ClamAV 0.92.1 2008.05.19 - DrWeb 4.44.0.09170 2008.05.19 - eSafe 7.0.15.0 2008.05.18 - eTrust-Vet 31.4.5798 2008.05.16 - Ewido 4.0 2008.05.18 - F-Prot 4.4.2.54 2008.05.16 - F-Secure 6.70.13260.0 2008.05.19 - Fortinet 3.14.0.0 2008.05.19 - GData 2.0.7306.1023 2008.05.19 - Ikarus T3.1.1.26.0 2008.05.19 - Kaspersky 7.0.0.125 2008.05.19 - McAfee 5297 2008.05.17 - Microsoft 1.3408 2008.05.13 - NOD32v2 3107 2008.05.18 - Norman 5.80.02 2008.05.16 - Panda 9.0.0.4 2008.05.18 - Prevx1 V2 2008.05.19 Cloaked Malware Rising 20.45.01.00 2008.05.19 - Sophos 4.29.0 2008.05.19 - Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.19 - TheHacker 6.2.92.313 2008.05.19 - VBA32 3.12.6.6 2008.05.18 - VirusBuster 4.3.26:9 2008.05.18 - Webwasher-Gateway 6.6.2 2008.05.19 Win32.Malware.gen!92 (suspicious) weitere Informationen File size: 91264 bytes MD5...: 13ed91e5b3c86325efcb99e1e1583597 SHA1..: 1cf7d3842c4916e8f6593eb48a9e8c5387d62ed6 SHA256: 415465889ebc083ed37dc6cb0723d5fce6100dd224be338756 4f733fee0dfd5a SHA512: 657873cd65402bcdc031294fc450d39119bb2cb274436090cd 946e76f8f52cda 343a4142e77af1287a56fd8747dd86fb2177cbbc4d8deeffb1 5b36ce6b48376c PEiD..: Armadillo v1.xx - v2.xx PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10001242 timedatestamp.....: 0x48219e78 (Wed May 07 12:20:08 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2000 0x2000 4.74 6bd960adfde956dc9084e43ee01bc455 .rsrc 0x3000 0x1000 0xa00 4.40 1c278592f807e74963d6653bd1c4a837 .text 0x4000 0x5000 0x4800 7.99 770ad09679ac2726c4f49f90f0bfab1e .reloc 0x9000 0x1d000 0xd480 7.99 4d496c074990f5bec3d5a9842b29da7e ( 5 imports ) > kernel32.dll: GetCurrentThreadId, GetProcAddress, InitializeCriticalSection, LoadLibraryA, LocalAlloc, LocalFree, MultiByteToWideChar, VirtualAlloc, VirtualFree, VirtualProtect, WideCharToMultiByte > user32.dll: BeginPaint, CheckMenuRadioItem, CheckRadioButton, CreateMenu, CreateWindowExA, DestroyCursor, DestroyWindow, EndPaint, ExitWindowsEx, FindWindowExA, GetCapture, GetCursorPos, GetDC, GetSystemMetrics, GetWindow, GetWindowDC, GetWindowDC, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA, TranslateMessage, UpdateWindow, ValidateRect, WaitMessage, wvsprintfA > gdi32.dll: CreateSolidBrush, DeleteDC, DeleteObject, GetDeviceCaps, GetPixel, GetStockObject, MoveToEx, Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA > shell32.dll: SHBrowseForFolder, SHGetPathFromIDList > comdlg32.dll: ChooseColorA ( 0 exports ) Prevx info: LTGVWQDE.DLL - Prevx |
Ist das Hijackthis Logfile wirklich so kurz? Wenn ja, dann erstell mal bitte mit dieser umbenannten hijackthis.exe ein neues Logfile und vergleiche es. Sollte es länger sein bzw. "normal" lang aussehen sofort posten. Mach auch mal: - silentrunners - blacklight (blacklight nur durchlaufen lassen und den Report posten, wenn es versteckte Objekte gefunden hat) - combofix Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren: Über ein filelisting mit diesem script:Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
Hier schon mal der Logfile von dem unbenannten Hijackthis,er ist etwas länger: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:26:32, on 19.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe D:\ICQ6\ICQ.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\****\Desktop\qlketzd.com O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Module - {221BBF54-3327-4548-9006-84385B1A5840} - ssymman.dll (file missing) O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: DVA Media - {82B8E0B5-45F5-4779-966A-C474164F8F7F} - C:\WINDOWS\temlxopqgdk.dll (file missing) O2 - BHO: (no name) - {84FEBFF8-945B-4F9A-B9B8-B68EC5020770} - C:\WINDOWS\system32\vtUnmMde.dll (file missing) O2 - BHO: Macromedia Movie - {AECB328C-AD19-A18C-386F-35A24BB56081} - C:\WINDOWS\system\bfdtsc32.dll (file missing) O2 - BHO: (no name) - {D19BB6AF-D04D-474D-B4FF-14BDC4900971} - C:\WINDOWS\system32\urqOGXrS.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [ICQ] "D:\ICQ6\ICQ.exe" silent O20 - Winlogon Notify: vtUnmMde - vtUnmMde.dll (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 2423 bytes |
- silentrunners - blacklight (blacklight nur durchlaufen lassen und den Report posten, wenn es versteckte Objekte gefunden hat) - combofix Das lässt sich nicht öffnen,Verbindung zum Server unterbrochen! |
Ich befürchte Dein Rechner wurde gekapert. Aber richtig. Zum einen ist die Platte voll ohne Ende (oje, hoffentlich funktioniert Dein PC nicht als warez-plattform) und zum anderen versteckt sich alles vor Dir, Windows und sogar hijackthis! Aber warten wir mal die anderen Logs ab. :balla: |
Zitat:
|
Nein,keins davon geht. Jedesmal verbindung unterbrochen.Was bedeutet Warez-Plattform?? |
Zitat:
Ich lad Dir die Programme mal eben hoch und hoffe, dass Du sie dann herunterladen kannst. Ich meld mich gleich noch mal. |
Wie root24 bereits bemerkte ist Dein Rechner unter Umständen zu einer Dateiaustauschplattform geworden (würde den Speicherplatzverlust erklären). Die Symptomatik ist derart unangenehm, dass man von Bereinigungsversuchen absehen sollte (Totes Pferd ...). Vertrauen würde ich diesem System auch nach erfolgreicher Behebung der Symptome nicht mehr. %ComSpec% |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board