Harde schijf gaat vanzelf volg - geschiedenis

[AJKwak]

Goedenavond

Zou iemand me kunnen helpen met het volgende probleem.

Eerder deze week constateerde ik opeens dat mijn harde schijf bijna vol is. Ik heb toen zitten kijken waar dat aan lag (recent geïnstalleerde / gedownloade dingen), maar toch niet volledig kunnen verklaren. Ik had wat dingen verwijderd en daarna weer een goede 4 gigabyte over.

Vanavond kreeg ik weer in de gaten dat mijn harddisk bijna vol was. Omdat ik, gezien het voorval eerder deze week, eerder op de avond had gekeken waar de ruimte op mijn harddisk bleef, kon ik relatief eenvoudig achterhalen waar die 4 gigabyte gebleven was. Deze zat in de map c:\documents and settings\mijn naam\local settings(deze map is normaal verborgen)\Geschiedenis. Onder mijn gewone account kon ik in deze map niets zien. Wel als admin (dat ben ik ook zelf, deze inlognaam wordt verder nooit gebruikt, ik ben de enige gebruiker van deze computer). Er zat een map in History.IES gevold door submappen als MSHist012006012020060121 (dus blijkbaar een verwijzing naar de datum). In deze mappen stond steeds één bestand, dat index heette en van het type DAT-bestand is. In de submappen waren deze erg groot (die van vandaag zelfs 4 gigabyte), daarnaast ook een kleintje van 16 KB die niet in een submap, maar in de map History.IES zelf stond. Dit laatste bestand is al een aantal maanden terug aangemaakt, de mappen die in de map History.IES staan, zijn recent aangemaakt. De map History.IES bestaat ook al langer, de aanmaakdatum is zelfs nog van voor ik deze computer kocht. Ik heb de mappen van de voorgaande dagen kunnen verwijderen, voor de zekerheid zitten die vooralsnog in de prullenbak. De map van van vandaag zou in gebruik zijn, en heb ik nog niet naar de prullenbak kunnen verplaatsen.

Gezien de mate waarin ik mijn computer vandaag heb gebruikt, kan ik me niet voorstellen dat dat ding daarover voor 4 gigabyte aan informatie kan, laat staan moet opslaan. Ik vraag me dan ook af wat er aan de hand is? Kan iemand mij dit vertellen, en, aannemende dat er iets fout zit, wat ik er aan moet doen.

Wellicht kunnen de volgende punten van belang zijn:
- Mijn computer heeft windows XP.
- Recentelijk heb ik service pack 3 gedownload, maar kan dit niet installeren. De computer geeft nu steeds een melding dat hij het installeren wil.
- naar aanleiding van wat er gebeurd is heb ik spyware doctor een spyware scan laten doen. Het ontdekte 5 trojan.startpage.gen dingen of zoiets. Deze dingen zouden de start page van internet explorer hijacken. Hebben die er mogelijk mee te maken?
- Ik heb vanavond, toen ik onder mijn normale account niet in de map geschiedenis komen kon, alle temporary dingen getracht te wissen, omdat ik dacht dat deze misschien in die map stonden. Als het dus gebruikelijk is dat er temporary files in de door mij genoemde map staan, is dat mogelijk de reden dat ze er nu dus niet staan.
- Vanavond meldde Microsoft Antispyware dat er een application change was toegestaan dan wel geblokkeerd (ik meende zo gauw blokkeren te zien, maar volgens mij was die wel groen). Dit was op een moment waarop ik nog niet echt problemen vermoedde, en heb er weing aandacht aan geschonken toen. Op het moment van de melding was ik nergens mee bezig dat voor mij aanleiding kon zijn tot die melding. Op het moment van de melding was ik niet met internet verbonden.

[D@mien]

hmz...een Hijackthis log plaatsen lijkt me nuttig in dit geval..
Voor informatie hierover kan je kijken in het Centrale Spyware topic ..

Index.dat heeft iets met de cache van Internet Explorer te maken, maar hoe dat precies zit weet ik niet..

Bedoel je dat je Service pack 2 wil installeren? (Service pack 3 bestaat nl niet)

[AJKwak]

Om met je tweede vraag te beginnen. Volgens mij is het echt service pack 3. Service Pack 2 heb ik al een hele tijd volgens mij. Het kan ook wel zijn dat ik deze download zelf heb geïnitieerd, in plaats van de auto update van windows, dus dat ik het ding zelf ten onrechte heb aangevraagd. Voor de installatie vraagt die ook om een CD van Microsoft XP Professional, dat is waarom ik er niet mee verder kom.

Hieronder de hijack this log. Bedenk wel dat ik dus al een vijftal trojan.startpage.gen gevallen of zo heb verwijderd, zie bovenste post. Microsoft antispyware en spyware doctor vonden bij mijn laatste scan gisteravond niets meer.

Logfile of HijackThis v1.99.1
Scan saved at 10:17:15, on 21-1-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\Program Files\McAfee\McAfee VirusScan\Webscanx.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Microsoft Office\Office10\msoffice.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\dhr. van de Weerdhof\Mijn documenten\Mijn ontvangen bestanden\virus spyware ed\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vogclub.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Program Files\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ontvang alle bestanden door Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Ontvangst door Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1136483342703
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {E9790C6C-DCAA-4E4F-8048-FFEC3B62DFED} (VOGWeb2 Class) - http://67.18.204.35/activex/vogweb29.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVSync Manager (AvSynMgr) - Networks Associates Technologies, Inc. - C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[AJKwak]

Even een update

In de map geschiedenis\History.IES staat inmiddels ook een submap met een omschrijving die refereert aan de datum van vandaag. Het index bestandje dat niet in een submap van deze map maar in de map zelf staat, is nu 32 kb in plaats van 16.

Zojuist heeft een scan met spyware doctor geen resultaten opgeleverd.

Wat me ook nog verbaast:
Dat bestand was dus 4 gigabyte groot. Dat bestand moet volgens mij in een kleine 3 uur zijn gemaakt, waarvan ik misschien goed de helft was verbonden met internet, en een nog veel kleiner deel daarvan gebruik heb gemaakt van internet explorer. Dat bestand moet dus echt in een moordend tempo zijn aangemaakt, zonder dat me dat opgevallen is.

[freyk]

In je log zijn er geen bijzondere dingen te vinden.
Ik raad je aan om een Online virusscanner te gebruiken, bijvoorbeeld die van symantec.
En Crap Cleanen kan altijd.

Aan die spyware doctor heb je niks, omdat het eigenlijk zelf voor spyware/adware zorgt.

Citaat:

D@mien schreef op 21-01-2006 @ 01:57 :
Bedoel je dat je Service pack 2 wil installeren? (Service pack 3 bestaat nl niet)

SP3 komt eraan en sp3 bestaat wel voor office.

[D@mien]

Citaat:

freyk schreef op 21-01-2006 @ 11:11 :
SP3 komt eraan en sp3 bestaat wel voor office.

Dat ie er voor Office is weet ik..maar dat ie voor XP eraan komt is nieuw voor me
Gaat dat weer zo'n vertragend drama worden als SP2?
[edit]Ik lees net op tweakers dat ie helf 2007 geplant staat..tegen die tijd heb ik hier Vista wel draaien denk ik [/edit]

[AJKwak]

Prima bedankt, zou best kunnen wat jullie zeggen, dat het office betreft, want dat geeft inderdaad meldingen bij het opstarten?

Maarreh, kan ik die bestanden in de map History.IES gewoon verwijderen?

[M@rco]

Je bedoelt History.IE5? Dat is de map waarin IE je tijdelijke internetbestanden bewaart. Je kunt de ruimte die hij hiervoor reserveert verkleinen door in IE naar Extra, Internetopties te gaan en op Instellingen te klikken bij 'Tijdelijke internetbestanden'. Ik heb 'm zelf op 100MB staan, dat vind ik meer dan genoeg. Standaard reserveert ie daar echter een hoop ruimte voor.

Als ik jou was zou ik ook eens alle tijdelijke bestanden opruimen (Start > Uitvoeren > cleanmgr intikken, <Enter>).

Oh en zoals gezegd, SP3 voor XP bestaat niet! Als dat al bestaat dan is het iets dat iemand zelf in elkaar heeft geflanst, niet echt aan te bevelen om dat te installeren. Als je gewoon automatische updates aan hebt staan krijg je alles wat je nodig hebt

[AJKwak]

Bedankt,

dat sp3 kwam van de microsoft site, waar ik toen aan het zoeken was. Zal het dus wel ten onrechte hebben geselecteerd. Weet iemand of het mogelijk is om die gedownloade, maar niet geïnstalleerde updates te verwijderen? Ik krijg nu steeds zo'n schildje met een uitroepteken rechtsonderin mijn scherm, dat de updates gereed zijn voor installatie, terwijl ik die niet kan installeren. Dat is niet erg handig.

Je opmerking over de mapnaam klopt, inderdaad niet goed gelezen.

Wat me echter nog steeds bevreemd, is dat er opeens in een paar uur tijd 4 gigabyte in zo'n bestand komt te staan (het bestand nam met 4 gigabyte toe), terwijl ik internet explorer amper gebruikte. Daar kan die nooit 4 gigabyte voor nodig hebben gehad. En nog krommer, de ruimte voor tijdelijke internetbestanden zou tot 625 mb zijn gelimiteerd, dus dan is die daar sterk overheen gegaan?

Heb de bestanden inmiddels verwijderd en er geen last mee gehad tot dusverre.

[ExVaal]

Een foute berekening kan altijd voor dat soort onzin zorgen.