Win2000: Voller Speicher ohne zugehörige Anwendungen

Ok. Gemacht. Und es hat geholfen.

War doch einiges drauf. Ich glaub, ich wechsel die AntiViren-Software.

Für mich bedeutet das jetzt wohl: Alle Passwörter ändern.
Ätzend. Aber besser so als anders ^^

Logfiles siehe unten.

Achja. Kann mir jemand den genauen Grund für den Speicherfraß nennen?
War es wirklich aktive Malware, wenn ja welche?

Rein aus Interesse.

Danke nochmal für die Hilfe.

Liebe Grüße,
Ryu

Die Logfiles:

HiJack-This

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:13:08, on 30.10.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\System32\Ati2evxx.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\system32\hidserv.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\system32\stisvc.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\Ati2evxx.exe
F:\WINNT\Explorer.EXE
F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
G:\Programme\ICQLite\ICQLite.exe
F:\Programme\Java\jre1.6.0_07\bin\jusched.exe
G:\Programme\QuickTime\qttask.exe
G:\Programme\iTunes\iTunesHelper.exe
F:\WINNT\system32\internat.exe
F:\Programme\iPod\bin\iPodService.exe
F:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
F:\WINNT\System32\svchost.exe
G:\Programme\Mozilla Firefox\firefox.exe
G:\Programme\CCleaner\ccleaner.exe
G:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.youtube.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] "G:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] F:\WINNT\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [iTunesHelper] "G:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "F:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "F:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [WAB] F:\Dokumente und Einstellungen\Ryutaro\Anwendungsdaten\Macromedia\Common\4ccdc00a19.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] F:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1253723343343
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - F:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe

--
End of file - 5011 bytes


Malware-Bytes:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3059
Windows 5.0.2195 Service Pack 4

30.10.2009 13:33:27
mbam-log-2009-10-30 (13-33-27).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 149451
Laufzeit: 1 hour(s), 13 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wab (Trojan.Dropper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (F:\DOKUME~1\Ryutaro\ANWEND~1\MACROM~1\Common\4ccdc00a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (F:\DOKUME~1\Ryutaro\ANWEND~1\MACROM~1\Common\4ccdc00a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (F:\DOKUME~1\Ryutaro\ANWEND~1\MACROM~1\Common\4ccdc00a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (F:\DOKUME~1\Ryutaro\ANWEND~1\MACROM~1\Common\4ccdc00a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (F:\DOKUME~1\Ryutaro\ANWEND~1\MACROM~1\Common\4ccdc00a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (F:\DOKUME~1\Ryutaro\ANWEND~1\MACROM~1\Common\4ccdc00a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (F:\DOKUME~1\Ryutaro\ANWEND~1\MACROM~1\Common\4ccdc00a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (F:\DOKUME~1\Ryutaro\ANWEND~1\MACROM~1\Common\4ccdc00a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
F:\Programme\Save (Adware.WhenU) -> Quarantined and deleted successfully.

Infizierte Dateien:
G:\Programme\CryptLoad\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\Ryutaro\Anwendungsdaten\Macromedia\Common\4ccdc00a1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
F:\WINNT\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINNT\wuasirvy.dll (Trojan.Banker) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\Ryutaro\Anwendungsdaten\Macromedia\Common\4ccdc00a19.exe (Trojan.Dropper) -> Quarantined and deleted successfully.


 

denke desswegen
O4 - HKCU\..\Run: [internat.exe] internat.exe
und der IE, sollte auf 8 geupdatet werden (auch wenn nur der Firefox genutzt wird)

system würde ich aber mal sauber neu aufsetzen,dazu dann java aus dem system lassen,auch die dienste auf das nötigste mit dem pogramm von dingens.org einstellen.

Um ehrlich zu sein, denk' ich mir das schon lange, aber hab' weder Zeit noch Lust dazu.

Bisher lief das System auch problemlos. Ich komme gut damit zurecht, auch wenn einige Hardware-Komponenten noch aus grauer Vorzeit stammen (128 MB SDRam, kein DVD-Laufwerk, etc. pp.).

Die Internat.exe läuft immernoch und birgt keine Probleme, braucht jetzt gerade 900 KB Speicher.

Das wirkliche Problem war wohl die o.g. Malware, die nu aber auch runter ist (Gott sei Dank).

Und ganz ehrlich: Es gibt 'n Haufen Systeme, die ein Format wesentlich nötiger haben, glaub ich. Wenn ich so seh', was um mich rum so existiert.

Aber was nun genau der Grund für den Speicherfraß war, weiß auch niemand, offensichtlich. Schade. Naja ^^ Ist ja wieder ok

Achja, System ist inzwischen auch komplett geupdatet, auch IE und so.
Und Java brauch ich ab und an

Antwort 3
Desswegen, vieleicht habe ich mich vorher falsch ausgedrückt...mein Fehler!
Ansonsten beweise mir das Gegenteil..oder pack dein System ein und geh woanderst fragen. 

Hey, tschuldige, war nicht so wegwischend gemeint, wie's vielleicht ankam. Ich wollte niemandem auf'n Schlips treten.

Ihr habt mir ja schonmal echt geholfen, ich kann meinen Rechner wenigstens wieder vernünftig nutzen.

Neu aufgesetzt wird er. Nach dem kommenden Umzug, vorher isses einfach zu stressig.

Jedenfalls ist der Speicher jetzt wieder auf Normallevel, passt auch wieder alles zusammen.

Danke euch für eure Hilfe.