|
Rechner und Internet extrem langsam und Systempartition wird voll geschrieben Hallo zusammen. Ich habe mich hier registriert da ich nicht mehr weiter weiß. Dieses Forum hat mir in der Vergangenheit des öfteren geholfen meine Probleme mit diversen Plagegeistern zu lösen. Diesmal allerdings bin ich mit meinem Latein am Ende und die Lösungsansätze die auf mein Problem passen haben leider nicht geholfen. Nun zu meinem Problem. Ich habe seit kurzem das Problem, das mein Rechner und mein Internet sehr langsam sind. Bisweilen ist ein laden von Internetseiten und Updates für Malwarebytes Antivir etc. nicht mehr möglich. Auch friert der Rechner z.B. beim Scannen sproradisch ein sodass nur ein Hardreset hilft. Mein größtes Problem ist im Moment, das meine Systempartition (C:) keinen freien Speicherplatz mehr hat, obwohl knapp 4 GB frei sein müssten. Sobald ich Speicherplatz frei gebe, kann ich zuschauen wie der soeben frei gemachte Speicher innerhalb von ein paar Minuten wieder verschwindet und der verfügbare Speicher dann zwischen 2MB und 0Byte liegt. Habe verschiedene vorgelschlagene Lösungsansätze aus dem Forum versucht, leider ohne Erfolg. Da ich die Systemwiederherstellung eh abgeschaltet habe ist dieser Ordner nur ein paar MB groß. Meine Auslagerungsdatei habe ich nicht auf der Systempartion und Dateien werden sofort gelöscht und nicht erst in den Papierkorb verschoben. Aber obwohl ich den Papierkorb deaktiviert habe zeigt mir Windows in den c:\recycled Eingenschaften 2 Dateien an. Wenn ich den recycled öffne ist der allerdings leer. Das HiJackThis Log habe ich mal angehangen. Ich hoffe es kann mir wer von euch helfen. :( Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hm, das sieht nach Rootkit aus... RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
Hui. Das ging schnell. Anbei das Gmer Log und das RSIT Log. habs als txt Datei angehangen. Zum posten wars zu lang Edit: Da ich grade auf Arbeit bin, kann ich PrevX erst heute Abend testen lassen. |
Hallo, folgende Dateien online prüfen: Dateien Online überprüfen lassen:
Code:
Mal sehen was Prevx so von sich gibt... Chris |
Liste der Anhänge anzeigen (Anzahl: 1) So. Habe eben PrevX laufen lassen. hier der Screenshot im Anhang. Die Dateien konnte ich nicht prüfen lassen, da sie nicht vorhanden sind. |
Hi, die Dateien die ich Dir angegeben habe sind größtenteils gestoppte Treiber (d.h. Reste der Infektion)... Prüfe die von Prevx angegebenen Dateien ebenfalls bei Virustotal (kennst Du ja schon)... Falls die Dateien erkannt wurden (nicht erkannt rausnehmen, kann auch false/positiv von Prevx sein!): Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Registry values to replace with dummy:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Scanne mal mit Kaskpersky OnlineScanner http://www.kaspersky.com/de/virusscanner chris |
Habe Avenger aus geführt. Hier ist das Log. Code: //////////////////////////////////////////Die Dateien die PrevX gefunden hat waren False positives, habe sie desshalb nicht ins Avanger Script eingetragen. Hier nochmal die Ergebnisse der von PrevX gefundenen Dateien. E:\ETKA\prog\meprogup.exe: Code: MD5: de6e518c4cfbd28899f2355e7470cb1cCode: MD5: 31a583464faf2d9d622f276fcaf2ce50Code: MD5: db365b93ec9816503298bde342c4f8aeCode: MD5: 7eb0488ae9323e01afa13c9f46b4a012 |
Hi, mit sowas hatte ich gerechnet, wobei die zwei letzten Dateien von einigen Scannern erkannt wurden.... Avenger wurde nicht richtig ausgeführt, die Befehlszeilen (Files to delete: müssen stehen bleiben...) Brauchst Du das Vistapack unbedingt, schon schmeiss es mal runter... Deinstalliere Prevx und gehe wie folgt vor: Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris |
k. Werde das Vista Pack deinstallieren. Bei Avenger hatte ich Files to delete vergessen. Habe dann die Ausführung abgebrochen und Files to delete noch nachgetragen. Steht auch im Log, das Avenger ausgeführt wurde er die Dateien aber nicht löschen konnte, da sie nicht da sind. Werde dann Combofix ausführen. hier das Combofix Log Code: ComboFix 09-10-30.01 - Anwender 31.10.2009 16:07.2.2 - FAT32x86 |
Hi, da gefällt mir noch einiges nicht: c:\windows\system32\runouce.exe -> http://www.prevx.com/filenames/X3087383384935609688-X1/RUNOUCE.EXE.html (The EUROPEAN UNION on Oct 30 2009!) c:\windows\VDLL.DLL -> http://www.threatexpert.com/files/vDll.dll.html Weiterhin wurde Dein Explorer verändert (siehe den SIG-Check von ComboFix).... Das deutet darauf hin, dass er "gepached" wurde, das kann von Deinem Vistapack herrühren, oder aber von den netten kleinen Viechern... Bitte umgehend die drei Files bei virustotal prüfen lassen (inkl. explorer.exe)! chris |
Habe eben die explorer.exe scannen lassen. Virustotal meldet bei keinem Scanner eine Infektion. hier mal der Link zu dem Ergebnis: h**p://***.virustotal.com/de/analisis/8e36b956f541f5a6a30e69911530c94d23dad803a0d8aa11278a5e9ab2bd58f2-1257013106 Runouce.exe und VDLL.DLL sind keine Dateien, sondern werden als Ordner angezeigt und ich kann sie somit nicht zum testen hochladen. |
Hi, stimmt habe ich übersehen (Notebookscreen, wir scrollen hin- und her). Da hat schon einer "immunisiert"... Was macht der Rechner (Performance/HDD)? chris Ps.: Der Link ist schon "abgelaufen"... Weisst Du was die Festplatte vollstopft? Sonst EasyCleaner (http://www.chip.de/downloads/EasyCle..._13000332.html) ausprobieren, dort gibt es eine Funktion um sich Ordner und Datei nach Grösse sortiert anzeigen lassen, ein Verzeichnis/Datei muss ja ständig wachsen... Weiterhin hat CF die Datei für die Quotenverwaltung (proquota.exe) wiederhergestellt... Da gibt es einige nette Teile die die originaldatei löschen uns sich dahin setzten (dafür spricht auch der Ordner wo sie gefunden wurde)... |
Rechner scheint wieder stabil zu laufen, auch das Internet ist wieder in normalem Tempo sowie der Rechner. Das Problem ist das der Speicherplatz auf C: jetzt zwar konstant bleibt und nicht mehr fällt :) , allerdings sind nur 312MB frei,, dabei müsste der Speicherplatz eigentlich im GB Bereich liegen. :/ Das mit dem Bericht von Virus Total is unschön. gibt es eine möglichkeit den Bericht zu speichern? |
Hi, probiere mal wie oben empfohlen den EasyCleaner aus (Bereinigen und große Dateien/Verz. suchen), lass die Festplatte mit chkdsk prüfen. Eventuell sind jetzt auch bei dem Benutzerkonto Quoten für die Festplatte eingerichtet, prüfen! Kennst Du Dich mit Regedit aus? Prüfe mal den Eintrag hier: Code: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]chris |
So. Habe jetzt wieder den Speicher frei, der Ursprünglich frei war :) Es ist ein zusätzliches Benutzerkonto angelegt worden, welches mit Daten voll geschrieben wurde. Habe das dann gelöscht. Ebenfalls wurde auf C: eine Pagefile.sys angelegt was insofern falsch ist, als das ich meine Auslagerungsdatei nicht auf der Systempartion habe, sondern auf einer anderen Festplatte. Somit habe ich dieses Pagefile auch gelöscht. Chkdsk hat bei dem dem zusätzlich angelegten Konto auch massive Probleme gefunden. Das ist jetzt aber nicht wirklich von Bedeutung da ich das Konto ja gelöscht habe. Bei dem RegKey den du gepostet hast ist der Schlüssel "EnableProfileQuota" nicht vorhanden. Nochmal vielen Dank für deine Hilfe. :applaus: :applaus: :dankeschoen: Man gut das es dieses Forum hier gibt. :daumenhoc |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board