Hallo,
kann mir jemand helfen,meine Festplatte ist unterteilt in vier abteilungen.
c: d: e: f:
Auf der Abteilung c: ist nur windows drauf und diverse Programme wie Zonealarm und icq.Die kapazität von c: ist 19,5 gb und davon sind nur noch 600 mb frei.
Ich weiss nicht wieso nur noch so wenig platz auf c: ist.Hat jemand einen Tipp?
Kann es sein das ich ein unerwünschtes Programm habe das irgendetwas ohne mein wissen speichert?Also ein Virus kann es nicht sein da Zonealarm keinen Virus anzeigt.Ich habe ständig das Problem das ich zu wenig Speicherplatz habe,und die Datenträgerbereinigung bringt auch nicht viel,nach spätestens zwei tagen kriege ich wieder diese meldung.
Vielen Dank im voraus!!

Hier ist der HijackThis Log falls der weiterhilft:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:45:12, on 19.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
D:\ICQ6\ICQ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [e4053169] rundll32.exe "C:\WINDOWS\system32\yxiniqjj.dll",b
O4 - HKCU\..\Run: [ICQ] "D:\ICQ6\ICQ.exe" silent
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 1416 bytes

Was hat dies im Diskussionsforum über Sicherheitsprogramme verloren?
"Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches. Störer werden "sanft aus dem Raum begleitet"."

*Verschoben*

lasse C:\WINDOWS\system32\yxiniqjj.dll mal bei http://virusscan.jotti.org/ und/oder http://www.virustotal.com/ überprüfen.
Ergebnis komplett hier rein

Ist das Logfile wirklich komplett?
Jemand der ICQ und Zonealarm installiert, sollte tatsächlich so ein kurzes Log haben? *wunder*


Hast du schon mal den "Datenträger bereinigen" lassen?
Lehre mal alle Temp-Verzeichnisse.
Schau auch mal auf c:\windows nach versteckten Dateien nach dem Muster $NtUninstallKB...., diese können entfernt werden (macht u.U. ein paar hundert MB), sie dienen einem "Uninstall" von Patches.

Schau auch mal, wie groß der verborgene Ordner "Installer" in c:\windows ist. NUR SCHAUEN und melden.

Hallo,
sorry erstmal das ich das Thema ins falsche Forum gesetzt habe,war keine Absicht.
Also die Datei,die ich prüfen soll ist nicht mehr vorhanden.
Die Temp verzeichnisse hab ich gelehrt,hat aber nicht viel gebracht.eine Datenträgerbereinigung mache ich alle zwei Tage,da mein Rechner mich immer drauf hinweist.Und der Logfile ist nicht grösser,keine ahnung warum.Ich habe nochmal einen gemacht,der ist auch nicht grösser.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:02:13, on 19.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
D:\ICQ6\ICQ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [e4053169] rundll32.exe "C:\WINDOWS\system32\xpxuwrrv.dll",b
O4 - HKCU\..\Run: [ICQ] "D:\ICQ6\ICQ.exe" silent
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 1416 bytes

Ich habe die Datei C:\WINDOWS\System32\xpxuwrrv.dll",b scannen lassen.
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.19 -
AntiVir 7.8.0.19 2008.05.18 -
Authentium 5.1.0.4 2008.05.18 -
Avast 4.8.1195.0 2008.05.18 -
AVG 7.5.0.516 2008.05.18 -
BitDefender 7.2 2008.05.19 -
CAT-QuickHeal 9.50 2008.05.17 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.19 -
eSafe 7.0.15.0 2008.05.18 -
eTrust-Vet 31.4.5798 2008.05.16 -
Ewido 4.0 2008.05.18 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.19 -
Fortinet 3.14.0.0 2008.05.19 -
GData 2.0.7306.1023 2008.05.19 -
Ikarus T3.1.1.26.0 2008.05.19 -
Kaspersky 7.0.0.125 2008.05.19 -
McAfee 5297 2008.05.17 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3107 2008.05.18 -
Norman 5.80.02 2008.05.16 -
Panda 9.0.0.4 2008.05.18 -
Prevx1 V2 2008.05.19 Cloaked Malware
Rising 20.45.01.00 2008.05.19 -
Sophos 4.29.0 2008.05.19 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.19 -
TheHacker 6.2.92.313 2008.05.19 -
VBA32 3.12.6.6 2008.05.18 -
VirusBuster 4.3.26:9 2008.05.18 -
Webwasher-Gateway 6.6.2 2008.05.19 Win32.Malware.gen!92 (suspicious)
weitere Informationen
File size: 91264 bytes
MD5...: 13ed91e5b3c86325efcb99e1e1583597
SHA1..: 1cf7d3842c4916e8f6593eb48a9e8c5387d62ed6
SHA256: 415465889ebc083ed37dc6cb0723d5fce6100dd224be3387564f733fee0dfd5a
SHA512: 657873cd65402bcdc031294fc450d39119bb2cb274436090cd946e76f8f52cda
343a4142e77af1287a56fd8747dd86fb2177cbbc4d8deeffb15b36ce6b48376c
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001242
timedatestamp.....: 0x48219e78 (Wed May 07 12:20:08 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 4.74 6bd960adfde956dc9084e43ee01bc455
.rsrc 0x3000 0x1000 0xa00 4.40 1c278592f807e74963d6653bd1c4a837
.text 0x4000 0x5000 0x4800 7.99 770ad09679ac2726c4f49f90f0bfab1e
.reloc 0x9000 0x1d000 0xd480 7.99 4d496c074990f5bec3d5a9842b29da7e

( 5 imports )
> kernel32.dll: GetCurrentThreadId, GetProcAddress, InitializeCriticalSection, LoadLibraryA, LocalAlloc, LocalFree, MultiByteToWideChar, VirtualAlloc, VirtualFree, VirtualProtect, WideCharToMultiByte
> user32.dll: BeginPaint, CheckMenuRadioItem, CheckRadioButton, CreateMenu, CreateWindowExA, DestroyCursor, DestroyWindow, EndPaint, ExitWindowsEx, FindWindowExA, GetCapture, GetCursorPos, GetDC, GetSystemMetrics, GetWindow, GetWindowDC, GetWindowDC, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA, TranslateMessage, UpdateWindow, ValidateRect, WaitMessage, wvsprintfA
> gdi32.dll: CreateSolidBrush, DeleteDC, DeleteObject, GetDeviceCaps, GetPixel, GetStockObject, MoveToEx, Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA
> shell32.dll: SHBrowseForFolder, SHGetPathFromIDList
> comdlg32.dll: ChooseColorA

( 0 exports )
Prevx info: LTGVWQDE.DLL - Prevx

Ich hoffe es hilft weiter.
Danke im voraus!

Die Datei ist deswegen nicht mehr zu finden, da sie nach jedem Neustart einen anderen Namen hat. Häufig ändert der Prozess beim Herunterfahren den Dateinamen inklusive Autostarteintrag (Dienst, HKLM...\run, etc).

Schau Dir folgende Zeile an:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [e4053169] rundll32.exe "C:\WINDOWS\system32\xpxuwrrv.dll",b
         

Hier findest Du den aktuellen Dateinamen. In diesem Fall "xpxuwrrv.dll".

%ComSpec%

Hallo,
was isn das für ne Datei?Und wie werd ich die los.Die gehört doch sicher nicht in mein System oder??
Ich habe die Datei ja scannen lassen,ich kann mit dem Report nur leider nix anfangen.

Zitat:

Zitat von koile

Hallo,was isn das für ne Datei?

Das steht vermutlich in dem Scanreport.

Zitat:

Die gehört doch sicher nicht in mein System oder??

Mit an Sicherheit grenzender Wahrscheinlichkeit gehört dieser Binärklumpen nicht zu einer erwünschten Anwendung, schon gar nicht zum Betriebssystem.

Zitat:

Ich habe die Datei ja scannen lassen,ich kann mit dem Report nur leider nix anfangen.

Poste den Report hier. Irgendjemand wird schon was damit anfangen können.

%ComSpec%

Hier der Report von Virustotal:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.19 -
AntiVir 7.8.0.19 2008.05.18 -
Authentium 5.1.0.4 2008.05.18 -
Avast 4.8.1195.0 2008.05.18 -
AVG 7.5.0.516 2008.05.18 -
BitDefender 7.2 2008.05.19 -
CAT-QuickHeal 9.50 2008.05.17 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.19 -
eSafe 7.0.15.0 2008.05.18 -
eTrust-Vet 31.4.5798 2008.05.16 -
Ewido 4.0 2008.05.18 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.19 -
Fortinet 3.14.0.0 2008.05.19 -
GData 2.0.7306.1023 2008.05.19 -
Ikarus T3.1.1.26.0 2008.05.19 -
Kaspersky 7.0.0.125 2008.05.19 -
McAfee 5297 2008.05.17 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3107 2008.05.18 -
Norman 5.80.02 2008.05.16 -
Panda 9.0.0.4 2008.05.18 -
Prevx1 V2 2008.05.19 Cloaked Malware
Rising 20.45.01.00 2008.05.19 -
Sophos 4.29.0 2008.05.19 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.19 -
TheHacker 6.2.92.313 2008.05.19 -
VBA32 3.12.6.6 2008.05.18 -
VirusBuster 4.3.26:9 2008.05.18 -
Webwasher-Gateway 6.6.2 2008.05.19 Win32.Malware.gen!92 (suspicious)
weitere Informationen
File size: 91264 bytes
MD5...: 13ed91e5b3c86325efcb99e1e1583597
SHA1..: 1cf7d3842c4916e8f6593eb48a9e8c5387d62ed6
SHA256: 415465889ebc083ed37dc6cb0723d5fce6100dd224be338756 4f733fee0dfd5a
SHA512: 657873cd65402bcdc031294fc450d39119bb2cb274436090cd 946e76f8f52cda
343a4142e77af1287a56fd8747dd86fb2177cbbc4d8deeffb1 5b36ce6b48376c
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001242
timedatestamp.....: 0x48219e78 (Wed May 07 12:20:08 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 4.74 6bd960adfde956dc9084e43ee01bc455
.rsrc 0x3000 0x1000 0xa00 4.40 1c278592f807e74963d6653bd1c4a837
.text 0x4000 0x5000 0x4800 7.99 770ad09679ac2726c4f49f90f0bfab1e
.reloc 0x9000 0x1d000 0xd480 7.99 4d496c074990f5bec3d5a9842b29da7e

( 5 imports )
> kernel32.dll: GetCurrentThreadId, GetProcAddress, InitializeCriticalSection, LoadLibraryA, LocalAlloc, LocalFree, MultiByteToWideChar, VirtualAlloc, VirtualFree, VirtualProtect, WideCharToMultiByte
> user32.dll: BeginPaint, CheckMenuRadioItem, CheckRadioButton, CreateMenu, CreateWindowExA, DestroyCursor, DestroyWindow, EndPaint, ExitWindowsEx, FindWindowExA, GetCapture, GetCursorPos, GetDC, GetSystemMetrics, GetWindow, GetWindowDC, GetWindowDC, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA, TranslateMessage, UpdateWindow, ValidateRect, WaitMessage, wvsprintfA
> gdi32.dll: CreateSolidBrush, DeleteDC, DeleteObject, GetDeviceCaps, GetPixel, GetStockObject, MoveToEx, Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA
> shell32.dll: SHBrowseForFolder, SHGetPathFromIDList
> comdlg32.dll: ChooseColorA

( 0 exports )
Prevx info: LTGVWQDE.DLL - Prevx

Ist das HijackThis Logfile wirklich so kurz? Wenn ja, dann erstell mal bitte mit dieser umbenannten hijackthis.exe ein neues Logfile und vergleiche es. Sollte es länger sein bzw. "normal" lang aussehen sofort posten.

Mach auch mal:

- silentrunners
- blacklight (blacklight nur durchlaufen lassen und den Report posten, wenn es versteckte Objekte gefunden hat)
- combofix



Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hier schon mal der Logfile von dem unbenannten Hijackthis,er ist etwas länger:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:26:32, on 19.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\ICQ6\ICQ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\****\Desktop\qlketzd.com

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Module - {221BBF54-3327-4548-9006-84385B1A5840} - ssymman.dll (file missing)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: DVA Media - {82B8E0B5-45F5-4779-966A-C474164F8F7F} - C:\WINDOWS\temlxopqgdk.dll (file missing)
O2 - BHO: (no name) - {84FEBFF8-945B-4F9A-B9B8-B68EC5020770} - C:\WINDOWS\system32\vtUnmMde.dll (file missing)
O2 - BHO: Macromedia Movie - {AECB328C-AD19-A18C-386F-35A24BB56081} - C:\WINDOWS\system\bfdtsc32.dll (file missing)
O2 - BHO: (no name) - {D19BB6AF-D04D-474D-B4FF-14BDC4900971} - C:\WINDOWS\system32\urqOGXrS.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ICQ] "D:\ICQ6\ICQ.exe" silent
O20 - Winlogon Notify: vtUnmMde - vtUnmMde.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 2423 bytes

- silentrunners
- blacklight (blacklight nur durchlaufen lassen und den Report posten, wenn es versteckte Objekte gefunden hat)
- combofix
Das lässt sich nicht öffnen,Verbindung zum Server unterbrochen!

Ich befürchte Dein Rechner wurde gekapert. Aber richtig. Zum einen ist die Platte voll ohne Ende (oje, hoffentlich funktioniert Dein PC nicht als warez-plattform) und zum anderen versteckt sich alles vor Dir, Windows und sogar hijackthis!

Aber warten wir mal die anderen Logs ab.

Zitat:

Zitat von koile

- silentrunners
- blacklight (blacklight nur durchlaufen lassen und den Report posten, wenn es versteckte Objekte gefunden hat)
- combofix
Das lässt sich nicht öffnen,Verbindung zum Server unterbrochen!

Alle Programme lassen sich nicht öffnen?

Nein,keins davon geht.
Jedesmal verbindung unterbrochen.Was bedeutet Warez-Plattform??

Zitat:

Zitat von koile

Nein,keins davon geht.
Jedesmal verbindung unterbrochen.Was bedeutet Warez-Plattform??

Warez = gecrackte Programme
Ich lad Dir die Programme mal eben hoch und hoffe, dass Du sie dann herunterladen kannst. Ich meld mich gleich noch mal.

Wie root24 bereits bemerkte ist Dein Rechner unter Umständen zu einer Dateiaustauschplattform geworden (würde den Speicherplatzverlust erklären). Die Symptomatik ist derart unangenehm, dass man von Bereinigungsversuchen absehen sollte (Totes Pferd ...). Vertrauen würde ich diesem System auch nach erfolgreicher Behebung der Symptome nicht mehr.

%ComSpec%