Systempartition immer wieder voll

[Tristan_inaktiv]

Hallo!

ich habe folgendes Problem, aber erstmal zu meiner Systemkonfiguration:

Laptop mit p4 3ghz, 512mb ram, ati mobility radeon 9600,
os: win xp mit sp 2 und allen updates
Partition C: - 12 GB - Windows und einige Progs (Antivir, Firefox...)
Partition D: - 50 GB - Programme (Office...), Spiele, Daten

so nun zu dem Problem, jedes Mal wenn ich Laptop länger benutze (egal ob Spiele, zB BW oder CS, oder Programme oder auch einfach mal zum DL laufen lasse) ist nach einer Zeit meine Systempartition (C: ) komplett zugemüllt und kein Speicher mehr frei, ich kann dann die Datenträgerbereinigung durchführen, aber das bringt sogut wie garnix, höchstens ein paar MB.

nach einen Neustart sieht es auf C: wie folgt aus:

4.6GB von 12 GB frei
Ordnergrößen:
Dokumente und Einstellungen: 712MB
Programme: 2.42GB
Windows: 2.71 GB
Root C: 1.24 GB

und jetzt das kuriose, wenn kein Speicher mehr frei ist, sieht es folgendermassen aus:

36.0kb von 12 GB frei
Ordnergrößen:
Dokumente und Einstellungen: 718MB
Programme: 2.42GB
Windows: 2.71 GB
Root C: 1.24 GB

ansonsten gibts es noch 2 Ordner: Recycler ist 36kb groß (benutze keinen Papierkorb) und System Vaolume Information kann ich mir nicht anzeigen lassen.

ich weiss also überhaupt nicht, wo der Platzverbrauch herkommt, ich habe vor einiger Zeit schonmal die Systempartition um ein paar GB vergrössert, hab aber nichts gebracht. Die grossen Dateien im Root-Verzeichnis sind: hiberfil.sys mit 511MB und pagefile.sys mit 768MB, also eigentlich auch nichts auffälliges.

Ich hoffe ich habe alles genau genug beschrieben und mir kann irgendjemand helfen

Gruss

 

[Shihatsu]

du gibst dir die antwort doch quasi selber: system volume information. da landen zb die dateien der automatischen systemwiederherstellung, die ausmachen sollte wunder wirken. ka wo das genau ist, glaube start->einstellungen->systemsteuerung->system->systemwiederherstellung

 

[FoxDie]

kannst auch einach mal nachschauen wie groß die sind

einfach bei ordneroptionen versteckte dateien und systemordner sichtbar machen und dann unter c: nachschauen.

 

[Sodom&Gomorrha]

Auf meinem XP-Rechner ist meine Systempartition 10 GB groß, die Systemwiederherstellung ist aktiviert und auf Maximum gestellt - dennoch belegt Windows nicht mehr als knapp mehr als 4,6 GB (pagefile.sys und Firefox' Profil, dessen temporäre Dateien sind auf G:\ ausgelagert), daran sollte es nicht liegen.

Wenn du die Systemwiederherstellung wie in Daves Tip nicht ausschalten willst, versuche mal, alle bis auf den letzten Wiederherstellungspunkte zu löschen, was auf derselben Registerkarte wie die Datenträgerbereinigung bei Festplattensymbol zu finden sein sollte. Das muß für jede Partition einzeln gemacht werden.

Um den genauen Speicher des System Vokume Information-Ordners anzuzeigen, empfehlen sich Programme wie Treesize Professional, welche zuverlässig von sämtlichen Ordnern die richtige Speicherplatzbelegung anzeigen.
FoxDie: Das klappt leider nicht mit System Volume Information.
Ich habe NTFS und Windows XP verweigert mir den Zugriff auf den Ordner, was auch ganz normal ist, dabei soll der Ordner laut Eigenschaften auch 0 Byte groß sein.

 

[Busta_inaktiv]

den inhalt des system volume information kannst du dir angucken, indem du dir in den eigenschaften des ordners selbst leserechte einräumst

lässt du dir versteckte dateien und ordner anzeigen? (ordneroptionen - anzeige)

 

[Tristan_inaktiv]

versteckte und systemdateien werden bei mir angezeigt.
ich habe jetzt mal die wiederherstellung deaktiviert, dachte aber nicht, dass da während so kurzer zeit (vielleicht 1-6h) soviel zusammenkommen kann.

Ich find nichts um mir Leserechte in diesem Ordner zu geben, wie mach ich das genau?

 

[Gast]

auslagerungsdatei-einstellungen?

 

[Tristan_inaktiv]

768MB eingestellt

 

[Tristan_inaktiv]

Hab es jetzt geschafft den Ordner anzeigen zu lassen, da sind insgesamt Daten von 20kb drin ansonsten alles wie oben beschrieben, die einzelnen Ordnergrößen und die Dateien im Root Verzeichnis, trotzdem momentan freier Speicherplatz: 2.35GB, wo sind die seit heute morgen verlorengegangenen 2gb hin??

 

[Gast]

mach doch mal ne suche nach datum, dann findest du die vielleicht.

 

[Tristan_inaktiv]

Auch nichts auffälliges zu finden
Aber ich kann fast zuschaun, wie der Speicherplatz weniger wird, wenn ich auf C. im Explorer bin und nach einiger Zeit F5 drücke ist es immer etwas weniger.

 

[[For]Hood2]

Dann mach mal ein intensiv checkdisk

-> start/ausführen eingeben: chkdsk c: /F/R
allen fragem mit J beantworten udn neustarten. Das wird etwas 30 - 60 minuten dauern.

Danach gibst Du mir mal einen HijackThis log:
http://216.180.233.162/~merijn/files/HijackThis.exe

 

[Gast]

die müssen dann ja in nem ordner sein, für den du keine rechte hast... also system volume information? als admin im safe mode mal reingeschaut?

 

[Tristan_inaktiv]

Ich habe mir, wie gesagt, auf den System Volume Information Ordner Vollzugriff gegeben und nur die 20kb Datei gefunden.

Ich mach dann jetzt mal den checkdisk und poste dann den Log.
Danke auf alle Fälle schon mal an alle die sich hier Mühe geben mir zu helfen!

 

[Tristan_inaktiv]

Der Check mit checkdisk sagt, das Volume ist fehlerfrei.

Der hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 23:54:31, on 25.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Dokumente\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gericom.com/
F1 - win.ini: run= D:\SPIELE\CUCII\INSTICON.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Bootvis.lnk = C:\Dokumente und Einstellungen\All Users\Desktop\Bootvis_Sleep.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1094402144546
O17 - HKLM\System\CCS\Services\Tcpip\..\{8147E215-D9D1-4F7F-95E8-A7F768516233}: NameServer = 10.0.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

 

[Tristan_inaktiv]

Ich hab mal Screenshots gemacht, die ich anhängen werde, da kann man auch anhand der Zeit erkennen, dass man förmlich sehen kann wie die MB schwinden.

 

[Busta_inaktiv]

hm faszinierend.

zwei ansätze dem phänomen auf den grund zu gehen:

1. filemon http://www.sysinternals.com/files/NTFILMON.ZIP

unter filter "D:\" excluden, nur writes loggen lassen

2. die gute alte methode:
kommandozeile

dir /a-d /s /t:w c: >> vorher.txt

(erstellt eine textdatei vorher.txt mit allen dateinamen, schreibzugriffszeiten und größen usw)

ein paar minuten warten, NICHTS bzw möglichst wenig machen um nicht unnötig viel durchsehen zu müssen

dir /a-d /s /t:w c: >> nachher.txt

mittels diff vorher.txt nachher.txt (http://user.cs.tu-berlin.de/~beneke/diff.zip) dateivergleich der beiden machen lassen, gucken welche dateien größer geworden sind.

 

[Tristan_inaktiv]

Ok, erstmal der erste diff log, eigentlich nichts auffälliges glaub ich, nur 1 Datei mehr, und das ist dann ja die vorher.txt, sonst ist mir nix aufgefallen

13a14
> 26.04.2005  08:11                 0 nachher.txt
24,25c25,26
< 26.04.2005  08:01                 0 vorher.txt
<               19 Datei(en)  1.342.028.098 Bytes
---
> 26.04.2005  08:02         2.062.316 vorher.txt
>               20 Datei(en)  1.344.090.414 Bytes
1563c1564
< 26.04.2005  08:01             1.024 ntuser.dat.LOG
---
> 26.04.2005  08:03             1.024 ntuser.dat.LOG
42231,42237c42232,42238
< 26.04.2005  08:01         1.703.936 INDEX.BTR
< 26.04.2005  08:01               908 INDEX.MAP
< 26.04.2005  08:01                 4 MAPPING.VER
< 26.04.2005  08:00             5.012 MAPPING1.MAP
< 26.04.2005  08:01             5.012 MAPPING2.MAP
< 26.04.2005  08:01         8.339.456 OBJECTS.DATA
< 26.04.2005  08:01             4.128 OBJECTS.MAP
---
> 26.04.2005  08:10         1.703.936 INDEX.BTR
> 26.04.2005  08:10               908 INDEX.MAP
> 26.04.2005  08:10                 4 MAPPING.VER
> 26.04.2005  08:09             5.012 MAPPING1.MAP
> 26.04.2005  08:10             5.012 MAPPING2.MAP
> 26.04.2005  08:10         8.339.456 OBJECTS.DATA
> 26.04.2005  08:10             4.128 OBJECTS.MAP
42497,42498c42498,42499
<            36676 Datei(en)  7.828.184.102 Bytes
<                0 Verzeichnis(se),  2.182.328.320 Bytes frei
---
>            36677 Datei(en)  7.830.246.418 Bytes
>                0 Verzeichnis(se),  2.136.223.744 Bytes frei

 

[Tristan_inaktiv]

dieser filemonitor zeigt mir garnix an, wenn ich nichts mache, egal wie lange ich warte

 

[Busta_inaktiv]

na gut, dann wissen wir wenigstens dass es nicht "von alleine" passiert; auch zwischen den beiden dateilistings hat sich ja nichts großartig verändert. mit welchen programmen spielst du denn so rum? wird der platz auch weniger wenn du offline bist?

 

[Picard]

haste oder hattest mal bootvis installiert und dann deinstalled?
das hat bei mir nämlich immer während des betriebs ne 100GB (!!!) logfile angelegt ...

 

[Tristan_inaktiv]

Offline denk ich auch, bin hier in nem LAN, das mit nem Router über das Internet verbunden ist.

Zu Bootvis: habe es nicht wissentlich installiert, aber laut dem Hijack Log müsste es ja installiert sein:

O4 - Global Startup: Bootvis.lnk = C:\Dokumente und Einstellungen\All Users\Desktop\Bootvis_Sleep.exe

Mal schaun was das macht bzw ob man das brauchst.

 

[Tristan_inaktiv]

Also es ist anscheinend wirklich diese Datei:


c:\windows\system32\logfiles\wmi\trace.log


Sie wird mir zwar mit 0kb angezeigt, aber ist zu groß für den Editor und bei Eigenschaften steht dann 4.6 GB, jetzt muss ich nur noch rausfinden, was sie genau macht und am wichtigstens wie man das abschaltet.

 

[thecure82]

http://www.digital-inn.de/showthread.php?t=5947&goto=nextoldest

 

[Tristan_inaktiv]

So habs geschafft, musste bootvis installieren und dann konnte ich die trace.log löschen, hab sie dann durch eine schreibgeschütze kleine version von mir ersetzt

Vielen Dank an alle! Ihr seid wirklich super!

Gruss

ani

 

[Picard]

naja, net so elegant. das is wie gesagt dieses wmi teil. da gabs inner regedit so nen entry den du auf 0 setzen musstest. sonst is das ding trotzdem noch aktiv.

HKLM/System/CurrentControlSet/Control/WMI/GlobalLogger/

den wert start hexadezimal auf "0" setzen.

dann restart und du kannst den mist löschen

 

[Tristan_inaktiv]

Der steht bei mir standardmäßig auf 0

 

[Picard]

gehts doch ^^

hab das programm damals btw widerstrebend installiert... es soll ja solche wunder bringen.... hat man gesehen

 

[Tristan_inaktiv]

Ich kann mich nichtmal daran erinnern, das jemals installiert zu haben, und sowas merk ich mir eigentlich!