FP-Speicher variiert

Hallo ihr Lieben.
Mein Bruder hat ein ganz großes Problem. Sein Festplattenspeicher variiert. Mal hat er 75 MB und dann wieder 1,8 GB FP. Er hat 2 Partitionen und bei der anderen ist alles ok. Ich vermute mal einen Virus. Aber der normale Virenscanner und ein Onlinevirenscanner finden nicht. Zusätzlich hat er ZoneAlarm und Adaware, aber da kam auch nichts. Hab ihn mal Hijackthis drüberjagen lassen, aber ich kann das nicht auswerten:

Logfile of HijackThis v1.99.1
Scan saved at 16:07:59, on 07.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\win rar\temp\Rar$EX00.172\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www3.einfachstarten.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www3.einfachstarten.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www3.einfachstarten.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www3.einfachstarten.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www3.einfachstarten.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www3.einfachstarten.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www3.einfachstarten.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs
O4 - HKLM\..\RunOnce: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs
O4 - HKCU\..\Run: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs
O4 - HKCU\..\RunOnce: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Autor	Mitteilung
Antje Boardmeister Beiträge: 934	Gesendet: 16:11 - 07.06.2007 Hallo ihr Lieben. Mein Bruder hat ein ganz großes Problem. Sein Festplattenspeicher variiert. Mal hat er 75 MB und dann wieder 1,8 GB FP. Er hat 2 Partitionen und bei der anderen ist alles ok. Ich vermute mal einen Virus. Aber der normale Virenscanner und ein Onlinevirenscanner finden nicht. Zusätzlich hat er ZoneAlarm und Adaware, aber da kam auch nichts. Hab ihn mal Hijackthis drüberjagen lassen, aber ich kann das nicht auswerten: Logfile of HijackThis v1.99.1 Scan saved at 16:07:59, on 07.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\ICQLite\ICQLite.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE D:\Programme\win rar\temp\Rar$EX00.172\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www3.einfachstarten.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www3.einfachstarten.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www3.einfachstarten.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www3.einfachstarten.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www3.einfachstarten.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www3.einfachstarten.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www3.einfachstarten.de O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs O4 - HKLM\..\RunOnce: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs O4 - HKCU\..\Run: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs O4 - HKCU\..\RunOnce: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Donald Boardkaiser Beiträge: 2682	Gesendet: 17:42 - 07.06.2007 Wenn ich richtig geschaut habe, dann bruchst Du Dir erstmal keine Sorgen machen. HijackThis macht keinen besonderen "Alarm". Gruß Donald
Nubira Moderator Beiträge: 15134	Gesendet: 17:43 - 07.06.2007 Aber doch! Diese Dinge sind als schädlich eingestuft: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www3.einfachstarten.de Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www3.einfachstarten.de Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www3.einfachstarten.de Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www3.einfachstarten.de Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www3.einfachstarten.de Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www3.einfachstarten.de Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Diese Programme haben ein Achtungszeichen: O4 - HKLM\..\Run: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs Nicht bekanntes Programm. O4 - HKLM\..\RunOnce: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs Nicht bekanntes Programm. O4 - HKCU\..\Run: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs Nicht bekanntes Programm. O4 - HKCU\..\RunOnce: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs Nicht bekanntes Programm
Nubira Moderator Beiträge: 15134	Gesendet: 17:46 - 07.06.2007 Hier erfährst Du, wie man die bösartigen Einträge entfernt: http://www.dirks-computerecke.de/hijackthis-anleitung-3.htm Nubira
Donald Boardkaiser Beiträge: 2682	Gesendet: 17:52 - 07.06.2007 Entschuldigung, muß die Hitze sein, wohl zulange in der Sonne gesessen. Nubira hat natürlich Recht, und der Hinweis auf Dirk' Computerecke ist sehr gut. Gruß Donald
bomber Boardmeister Beiträge: 721	Gesendet: 19:32 - 07.06.2007 Ich häng mich da mal ran, weil es zum Thema gehört. Wie und wo erfährt man ob man schädliche Einträge hat? Gruß Bomber
Donald Boardkaiser Beiträge: 2682	Gesendet: 19:43 - 07.06.2007 Hallo Bomber, schau mal unter folgendem Link nach: http://www.hijackthis.de/ Hier einfach das Logfile von Hijackthis einfügen und dann auswerten lassen. Das Programm bekommst Du übrigens oben rechts auf dieser Seite unter "Direktdownload". Gruß Donald
Antje Boardmeister Beiträge: 934	Gesendet: 19:44 - 07.06.2007 Danke Donald und Nubirchen Bin jetzt bei meinem Bruder. Werden das mal fixen. Vielleicht reicht das dann ja schon.
bomber Boardmeister Beiträge: 721	Gesendet: 20:02 - 07.06.2007 Danke Donald. Habs gleich mal getestet. Ich bin sozusagen sauber. Gruß Bomber
Antje Boardmeister Beiträge: 934	Gesendet: 22:50 - 07.06.2007 Wunderbar, es hat gereicht. Haben das gefixt und seither ist das Problem nicht mehr aufgetreten
Nubira Moderator Beiträge: 15134	Gesendet: 23:03 - 07.06.2007 So schnell kann man jemanden glücklich machen