Måske hacket?

Det kunne godt lyde lidt som om det er VSS (Volume Shadow Copy Service) der optager pladsen. Der er som udgangspunkt nemlig ikke sat en begrænsning på hvor meget plads den service må bruge.

VSS gemmer sine filer i "System Volume Information" folderen (skjult system folder) som kun "SYSTEM" brugeren har adgang til, så derfor vil den ikke tælle med når du undersøger hvor meget plads dine foldere bruger.

Prøv og begræns VSS's max størrelse som vist på nedenstående side - også selvom VSS måske ikke står til at være slået til på drevet.

http://www.windowsnetworking.com/articles_tutorials/Windows-Server-2003-Volume-Shadow-Copy-Service.html

Næhh VSS er disablet for drevet så det er ikke her fejlen ligger.

Det kunne lyde som om din maskine er blevet rootet og at de drev der ligger og fylder er skjult for almindelige værktøjer. Hvad der præcist er sket kan jeg kun udtale mig om ved at kikke på maskinen og foretage forskellige undersøgelser.

Der findes forskellige værktøjer der kan scanne for rootkits, brøv dig frem og se om der fanges noget.

Måske man lige skulle prøve de lidt mere basale ting først... feks en chkdsk for at rette inkonsistens i filsystemet.

Hvad mener du iøvrigt med livlig aktivitet? Har du prøvet tcpview for at se om der er mistænkelig net aktivitet?

Jeg har prøvet en chkdsk og efterfølgende en defragmentering.
Min harddisk har nu 7GB fri ud af 40GB der er brugt 6.5GB, så et eller ander stemmer ikke.

Der ser ikke ud til at være problemer med harddisken.
Jeg har mailenable installeret på maskinen og disabler jeg denne service stopper aktiviteten på nettet, så måske bliver min mailserver misbrugt, men det burde vel ikke gøre noget ved harddisken?

strych9 : hvad mener du med tcpview ? er det et program eller en kommando?

Tjah en mulighed kunne være at bruge det program der hedder tcpview http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx men du kan også starte med at bruge det indbyggede.

netstat -on viser dig aktive connections i IP format.

Har du tjekket det ikke måske "bare" er uninstall biblioteker der fylder.

Hej morten,
Jeg har ikke noget uninstall dir!

Jeg kan godt køre netstat -on, men vinduet lukker omgående.
Hvis jeg kører netstat i cms kan jeg nå at se 3-4 connections før vinduet lukker...er det normalt?

Så kører netstat, der er godtnok en del trafik på smtp fra kinesiske ip adresser, hvilket kunne tyde på misbrug via en mailclient.

Kan jeg på en måde se, hvilket program/side disse ip forsøger at bruge?

kommandoen netstat -on skal køres i cmd, og hvis du ikke kan have cmd åben så har du et eller anden form for problem.

Jeg har tidligere set på en klient hvor jeg ikke kunne have joblisten kørende, ej heller cmd, det var en messenger virus de havde fået.

At den blot popper op indikere egentlig bare du har kørt netstat -on nede fra "kør" hvis det er tilfældet er den god nok for det eneste den gør er at udfører kommandoen også er den egentlig "færdig" så lukker den cmd igen.

Det kan du med TCPview

TCPview er ikke en gyldig kommando!

notebookonline: Morten leth har givet dig et link hvor du kan downloade tcpview.

Og så må jeg indskyde at hvis han er ægte "rooted", så kan en kommando som netstat være trojaned på en måde så den fejlagtigt viser at alt er ok. Det er derfor jeg lægger ud med at foreslå et tredjeparts program. Det er dog ikke sikkert at det ville hjælpe, siden rootkits ofte patcher hele API kald på kerne niveau i windows..

Det eneste helt rigtige der er at gøre i den her situation er at geninstallere serveren med nyt OS osv.

En geninstallation kan godt være vejen frem hvis man har med en server at gøre som man ikke har tiltro til ja, klart den hurtigste vej hvis det ikke er en domain controller plus diverse.

Men prøv lige at hent det her program og installer på din server.

http://www.pcworld.com/downloads/file/fid,23075-order,1-page,1-c,alldownloads/description.html

Den giver et hurtigt let og overskueligt billed af hvad der fylder på maskinen...

Alt i alt så er der jo rigtig mange ting der kan gøre sig gældende mht. hvorfor man ikke lige umiddelbart kan se alt pladsen, det kan være man som snowball siger ikke lige umiddelbart har rettigheder over katalogerne (i tilfælde af man ikke er administrator over maskinen......).
Det kan også være de er skjulte, ikke bare "skjulte" men standard er systemfiler også skjulte mappeindstillinger kan man fjerne det flueben så man også kan se det...

Hvis denne her installation er nem at genskabe igen så er en geninstallation måske vejen frem for at være 100% sikker....

Mangetak for jeres svar, det viste sig at fejlen lå på mailenable.
Der lå en skjult logfil på 27GB, hvor alt illegal trafik var samlet.

Der er nu er lidt større arbejde forud med debug af logfil :-)