Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Überdimensionierter Windows Ordner (https://www.trojaner-board.de/16420-uberdimensionierter-windows-ordner.html)

maple.leaf 08.04.2005 20:43
Überdimensionierter Windows Ordner
 
Hi, habe schon seit einiger Zeit das Problem dass ich dauernd Warnmeldungen bekomme, dass mein Laufwerk C voll sei. Erstaunlicher Weise ist es auch immer so gewesen, dass der Windows Ordner stattliche 6 GB oder mehr umfasste. Anfangs ging es noch da man den Virus immer recht gut deaktivieren konnte und die Daten löschen konnte. (haben sich im versteckten Ordner CSC befunden). Nach einer Zeit war es aber so, dass es diesen Ordner CSC nciht mehr gab, der Windows Ordner aber immer noch so voll war. Selbst wenn ich die Menge aller im Windows Ordner enthaltenen Dateien (auch versteckte) zusammengenommen habe bin ich nur auf die normale Windows XP Menge von ca. 1.6 Gb gekommen. Nun ist es so, dass ich seit gestern einen neuen PC habe...an diesen Virus oder Trojaner habe ich schon längst nicht mehr gedacht. Dann ahbe ich gestern einen kleinen Datenabgleich mit meiner alten Festplatte gemacht und habe mich nciht weiter um irgendetwas gekümmert. Durch Zufall bin ich vorhin mal auf die Eigenschaften von C gegangen die mir wieder erschreckende Zahlen anzeigten. Nun ist es so, dass ich mir nicht vorstellen kann, dass sich dieses Ding irgendwie gestern von der alten Platte schnell auf die neue gequetscht hat. Viel logischer erscheint mir, dass sich das Teil in meinem Profil versteckt hat und nun mehr oder weniger mit jedem Neustart und somit auch mit jeder neuen Anmeldung auf mienem Server wieder bei mri auf dem Rechner aktiviert.

Ich hoffe irgendjemand hat eine Idee wie ich das Teil bekämpfen kann.
Freue mich über jeden helfenden Post oder auch jede mail.

Danke im Vorraus - Alex

Chris14 08.04.2005 20:47
oh.. 6GB so groß ist mein ordner net (ok meiner ist 254MB groß aber is ja auch win98SE^^)
naja ich weiß net von welchem ordner das im windows ordner kommt.
deswegen führ das alles mal aus:
-lade dir escan runter und gehe genau nach dieser Anleitung vor
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-lade dir hijackthis runter und poste ein hijackthis log

maple.leaf 08.04.2005 21:30
HJT LogFile
 
Logfile of HijackThis v1.99.1
Scan saved at 22:22:59, on 08.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\Internet Security\PCClient.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\bases\mwavscan.com
C:\bases\kavss.exe
D:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arv-heusenstamm.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = plankl.metalheadz.intranet
O17 - HKLM\Software\..\Telephony: DomainName = plankl.metalheadz.intranet
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = plankl.metalheadz.intranet
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = plankl.metalheadz.intranet
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\tmproxy.exe

chaosman 08.04.2005 21:35
@maple.leaf
wo bleibt das ergebnis von escan?
poste auch bitte
Öffne C:\bases\mwav.log
Am Ende folgendes suchen und hier rein kopieren:
Zitat:
Total Files Scanned:
Total Virus(es) Found:
Total Disinfected Files:
Total Files Renamed:
Total Deleted Files:
Total Errors:
Time Elapsed:
Virus Database Date:
Virus Database Count:

chaosman


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131