mbr: Windows 10 Festplatten-Speicherfresser mit Bordmtteln finden

Hallo Forum,

ich habe seit ca. zwei Wochen plötzlich nur noch sehr wenig Speicher auf meinem Laufwerk C (siehe screenshot). Der freie Speicher schwankt zwischen 100 GB und 0(!) GB Ich würde gerne herausfinden, wer oder was da die Platte zumüllt. Folgende Versuche habe ich bereits unternommen:

  1. versucht, über die Systemsteuerung Speicher freizugeben. Dort wurden mir auf der ersten Ebene 622 GB in den Temporären Dateien angezeigt, wenn ich dann auf die Details geklickt habe, um auszuwähln, was ich löschen will, waren es nur noch ca. 40 GB (habe die genauen Zahlen jetzt leider gerade nicht mehr)

  2. Ich habe von allen Ordnern auf C.\ über Rechtsklick ==> "Eigenschaften" den Speicherverbrauch rausgesucht.

Benutzer		      9.05     GB
Intel			        0.000431 GB
Logs			        0.015    GB
mbr			          1.8      GB
MinGW			        0.559    GB
OEM			          1.64     GB
PerfLogs		      0.0      GB
ProgramData	      3.4      GB
Programme		      4.12	   GB
Programme (x86)  23.2      GB
siemens			      0.997    GB
spg			          0.463    GB
Windows          21.4      GB
xampp.7.3.5	     76.1      GB
=========================================   
                142.744431 GB

Speicherbelegung PC

Ich werde am Wochenende - falls ich dazu komme - auch nochmal Desinfect 2019 drüberlaufen lassen - nicht dass ich mir doch was eingefangen habe

Ich würde ungern irgendwelche "dubiosen" Drittnbieter tools einsetzen. bin aber für jede Hilfe dankbar. Vielleicht kann man ja auch vom Linux der Desinfect CD aus was sehen...

Michael

  1. Hallo,

    ich habe seit ca. zwei Wochen plötzlich nur noch sehr wenig Speicher auf meinem Laufwerk C (siehe screenshot). Der freie Speicher schwankt zwischen 100 GB und 0(!) GB

    das heißt, irgendwer belegt da massig Speicherplatz, gibt ihn aber irgendwann auch wieder frei??

    Ich würde gerne herausfinden, wer oder was da die Platte zumüllt.

    Verständlich. Das erste, was mir dazu einfiele, wäre das TEMP-Verzeichnis. Das gibt's AFAIK einmal global (für Windows selbst), und einmal pro User im Benutzerprofil.
    Auf meinem PC in der Firma hatten sich da neulich rund 60GB Müll angesammelt. Outlook 2016 schmeißt nämlich Anhänge, die man direkt aus einer e-Mail öffnet, einfach ins TEMP-Verzeichnis, löscht sie aber nicht wieder.

    Folgende Versuche habe ich bereits unternommen:

    1. versucht, über die Systemsteuerung Speicher freizugeben. Dort wurden mir auf der ersten Ebene 622 GB in den Temporären Dateien angezeigt, wenn ich dann auf die Details geklickt habe, um auszuwähln, was ich löschen will, waren es nur noch ca. 40 GB (habe die genauen Zahlen jetzt leider gerade nicht mehr)

    Merkwürzig.

    1. Ich habe von allen Ordnern auf C.\ über Rechtsklick ==> "Eigenschaften" den Speicherverbrauch rausgesucht.

    Dann fehlen dir aber ein paar Kandidaten, allen voran C:\System Volume Information. Dort legt Windows z.B. Dateien für die System-Wiederherstellung ab, und das kann locker einige GB ausmachen.

    Ich werde am Wochenende - falls ich dazu komme - auch nochmal Desinfect 2019 drüberlaufen lassen

    Was immer das ist.

    Ich würde ungern irgendwelche "dubiosen" Drittnbieter tools einsetzen. bin aber für jede Hilfe dankbar. Vielleicht kann man ja auch vom Linux der Desinfect CD aus was sehen...

    Zumindest hättest du von Linux aus keine Taschenspielertricks, wie Windows sie gern vollführt und uns nicht immer das zeigt, was wirklich im Dateisystem existiert.

    Ciao,
     Martin

    --
    "Wenn man ein Proton aufmacht, sind drei Quarks drin."
    - Joachim Bublath in der Knoff-Hoff-Show
    1. Hallo, Der Martin,

      viele Dank für deine Antwort und die hilfreichen Anregungen - und entschuldige, dass ich erst so spät antworte

      1. Ich habe von allen Ordnern auf C.\ über Rechtsklick ==> "Eigenschaften" den Speicherverbrauch rausgesucht.

      Dann fehlen dir aber ein paar Kandidaten, allen voran C:\System Volume Information. Dort legt Windows z.B. Dateien für die System-Wiederherstellung ab, und das kann locker einige GB ausmachen.

      Danke für den Hinweis - ich hatte mir eingebildet, alle Dateien anzuzeigen - naja: Einbildung ist auch eine Bildung. Leider zieht Windows bei diesem Ordner bei mir einen seiner Tashenspielertricks ab, die du weiter unten erwähnst. Der Ordner "C:\System Volume Information" ist bei mir laut Eigenschaften 0 Bytes groß

      Ich werde am Wochenende - falls ich dazu komme - auch nochmal Desinfect 2019 drüberlaufen lassen

      Was immer das ist.

      Ein Antivirentool, das von der c't bereitgestellt wird (sorry, ich hatte das Apostroph vergessen - es sollte natürlich "Desnfec't 2019" heißen) Wie Rolf B in seiner Antwort zu Encoders Beitrag anmerkte, fürchte ich nämich auch, dass mein PC evtl. etwas ausbrütet

      Ich würde ungern irgendwelche "dubiosen" Drittnbieter tools einsetzen. bin aber für jede Hilfe dankbar. Vielleicht kann man ja auch vom Linux der Desinfect CD aus was sehen...

      Zumindest hättest du von Linux aus keine Taschenspielertricks, wie Windows sie gern vollführt und uns nicht immer das zeigt, was wirklich im Dateisystem existiert.

      Ja - Im übrigen bin ich bei meinen Recherchen noch auf etwas gestossen: "alternate datastreams" - so wie es ich anhört, könnte man damit eine Menge Unsinn anstellen (zum Beispiel Gigabyte große Dateien erzeugen, die scheinbar aber nur wenige Bytes verbrauchen 😉). Ich habe es noch nicht im Detail ausprobiert - hast du vielleicht schon Erfahrungen damit gesammelt?

      Viele Grüße

      Michael

      1. Moin,

        das kann auch daran liegen, dass du als gewöhnlicher Nutzer keine Berechtigungen für dieses Verzeichnis hast, aber ganz sicher bin ich mir da nicht,

        Im übrigen bin ich bei meinen Recherchen noch auf etwas gestossen: "alternate datastreams" - so wie es ich anhört, könnte man damit eine Menge Unsinn anstellen (zum Beispiel Gigabyte große Dateien erzeugen, die scheinbar aber nur wenige Bytes verbrauchen 😉). Ich habe es noch nicht im Detail ausprobiert - hast du vielleicht schon Erfahrungen damit gesammelt?

        Erfahrungen nicht. Ich kenne das Konzept aus der Theorie. Das ist ein NTFS-Feature, um noch beliebige Metadaten an Dateien zu binden. An den Dateinamen einen Doppelpunkt und einen beliebigen Bezeichner anhängen, dann kannst du solche Alternate Data Streams erzeugen und auch wieder lesen. Aber es gibt AFAIK keine Möglichkeit, das Vorhandensein, geschweige denn die Größe eines solchen Streams anzuzeigen.
        Was die in Redmond eigentlich damit vorhatten ... keine Ahnung.

        Mir ist auch keine Anwendung bekannt.

        Ciao,
         Martin

        --
        "Wenn man ein Proton aufmacht, sind drei Quarks drin."
        - Joachim Bublath in der Knoff-Hoff-Show
  2. Da könnte man gleich noch dranhängen, wie kann ich finden warum meine Festplatte ständig Zugriffe hat wenn ich den Rechner sperre?

    Irgendein drecks... Prozess scheint da irgendwas zu scannen.
    Virenscanner abschalten hilft nicht komplett. Es muss noch was anderes sein. Aber was?

    Taskmanager sagt "System". Tolle Hilfe, das kann praktisch alles sein was unter Windows meint es würde mir helfen.
    Dienste gibts wie Sand am Meer. Die lästigsten hab ich schon abgestellt, aber ich weiß nicht was ich noch alles nicht brauche.

    1. Hallo encoder,

      ein Vielzugreifer ist der Indexierungsdienst, ohne den die Windows Suche nicht performant ist. Der rennt immer wieder über die Platte und guckt, ob was zu tun ist. Auf einem alten Laptop von mir konnte ich den nur abschalten, das Ding wurde unbedienbar lahm (das war noch Vista).

      Bloß: "System" ist der Windows Kernel. Dienste sind Prozesse und werden oft unter svchost aufgeführt. Ob ein Prozess einen Dienst hostet, siehst Du auf dem Dienste Tab des Taskmanagers. Schalte über Ansicht - Spalten auswählen die Prozess-ID in der Prozessliste ein - die ist meines Wissens defaultmäßig aus.

      Wenn der Kernel an der Platte nagt, könnte das das NTFS sein. Das defragmentiert die Platte im Hintergrund (kann man nicht abschalten), und wenn da irgendwoher dauernd Dateien erzeugt und gegrillt werden, könnte das ein Grund sein, weshalb NTFS aktiv wird.

      Die Hardcore-Waffe ist der Prozessmonitor von Sysinternals, aber damit bekommst Du meistens viel mehr als Du willst...

      Es kann natürlich immer auch ein böser Wurm sein, der Bitcoins ausbrütet oder sowas...

      Rolf

      --
      sumpsi - posui - clusi
    2. Hallo Encoder,

      Da könnte man gleich noch dranhängen, wie kann ich finden warum meine Festplatte ständig Zugriffe hat wenn ich den Rechner sperre?

      Irgendein drecks... Prozess scheint da irgendwas zu scannen.
      Virenscanner abschalten hilft nicht komplett. Es muss noch was anderes sein. Aber was?

      Taskmanager sagt "System". Tolle Hilfe, das kann praktisch alles sein was unter Windows meint es würde mir helfen.
      Dienste gibts wie Sand am Meer. Die lästigsten hab ich schon abgestellt, aber ich weiß nicht was ich noch alles nicht brauche.

      gut, dass du es ansprichst. Ich hatte im OP "verschwiegen" (ncht absichtlich), dass ich auch 100% Festplattenauslastung (dauerhaft) hatte. Allerdings habe ich hier den Grund gefunden. Seit ich den Dienst "App-Vorbereitung" deaktiviert habe ist die Auslastung - zumindest einige Minuten nach dem Hochfahren - nur noch bei ca. 0 - 5 %. Ob ich damit leben kann, den Dienst dauerhaft deaktiviert zu lassen, muss ich noch herausfinden.

      Viele Grüße

      Michael

      1. Moin,

        Seit ich den Dienst "App-Vorbereitung" deaktiviert habe ist die Auslastung - zumindest einige Minuten nach dem Hochfahren - nur noch bei ca. 0 - 5 %. Ob ich damit leben kann, den Dienst dauerhaft deaktiviert zu lassen, muss ich noch herausfinden.

        auf meinem PC beim Arbeitgeber habe ich das Phänomen, dass nach der Anmeldung eine Zwangspause von exakt 10min herrscht. In dieser Zeit bleiben die Bildschirme schwarz, der Mauszeiger ist sichtbar und reagiert - und das ist auch alles. Der Lüfter dreht hoch, was auf eine hohe CPU-Auslastung schließen lässt. Nach 10min erscheint dann der Windows-Desktop, und alles ist prima.
        Sowohl ich selbst als auch zwei Kollegen von der IT haben schon einige Stunden investiert, um der Sache auf den Grund zu gehen. Bisher erfolglos. Das Event-Log von Windows verrät nur, dass da zwei am Login beteiligte Prozesse aufeinander warten. Hat wohl mit irgendwelchen Policies zu tun.

        Bei einer Internet-Recherche bin ich mehrmals auf den Hinweis gestoßen, dass eben dieser Dienst ("App Readiness") ein solches Verhalten bewirken kann und man den deshalb deaktivieren solle.

        Habe ich getan - das hat zwar nichts geändert, ich habe aber auch nichts veremisst. Offensichtlich ist besagter Dienst also überflüssig.

        Ciao,
         Martin

        --
        "Wenn man ein Proton aufmacht, sind drei Quarks drin."
        - Joachim Bublath in der Knoff-Hoff-Show
        1. Hello,

          auf meinem PC beim Arbeitgeber habe ich das Phänomen, dass nach der Anmeldung eine Zwangspause von exakt 10min herrscht. In dieser Zeit bleiben die Bildschirme schwarz, der Mauszeiger ist sichtbar und reagiert - und das ist auch alles. Der Lüfter dreht hoch, was auf eine hohe CPU-Auslastung schließen lässt. Nach 10min erscheint dann der Windows-Desktop, und alles ist prima.
          Sowohl ich selbst als auch zwei Kollegen von der IT haben schon einige Stunden investiert, um der Sache auf den Grund zu gehen. Bisher erfolglos. Das Event-Log von Windows verrät nur, dass da zwei am Login beteiligte Prozesse aufeinander warten. Hat wohl mit irgendwelchen Policies zu tun.

          Gibt es innerhalb dieses Zeitrahmens typischs Netzwerknutzungen?

          Glück Auf
          Tom vom Berg

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
          1. Hallo Tom,

            auf meinem PC beim Arbeitgeber habe ich das Phänomen, dass nach der Anmeldung eine Zwangspause von exakt 10min herrscht. In dieser Zeit bleiben die Bildschirme schwarz, der Mauszeiger ist sichtbar und reagiert - und das ist auch alles. Der Lüfter dreht hoch, was auf eine hohe CPU-Auslastung schließen lässt. Nach 10min erscheint dann der Windows-Desktop, und alles ist prima.
            Sowohl ich selbst als auch zwei Kollegen von der IT haben schon einige Stunden investiert, um der Sache auf den Grund zu gehen. Bisher erfolglos. Das Event-Log von Windows verrät nur, dass da zwei am Login beteiligte Prozesse aufeinander warten. Hat wohl mit irgendwelchen Policies zu tun.

            Gibt es innerhalb dieses Zeitrahmens typischs Netzwerknutzungen?

            was genau meinst du mit dieser Frage? Ob in der Zeit "irgendwer" eifrig Daten hin- und herschaufelt? - Nein, nicht dass ich wüsste.

            Ich habe die Details aber gerade nicht mehr alle im Kopf. Wir haben anhand der Eventlog-Einträge festgestellt, dass Windows beim Anwenden einer Group Policy während des Logins auf irgendein Ereignis wartet - worauf auch immer. Dieses Warten auf Godot ist mit einem Timeout von 600s behaftet.
            Starte ich die Büchse ohne Netzwerkverbindung und stöpsle das Netzwerkkabel erst nach dem Login ein, ist alles gut. Aber das ist ja nicht Sinn der Sache.

            Das Internet weiß übrigens auch, dass dieser Effekt (10min Warten mit schwarzem Bildschirm nach dem Login) bei HP-Notebooks öfters vorkommt. Da müsse man durch einen Registry-Eintrag irgendwas deaktivieren.

            Ja, es handelt sich tatsächlich um ein HP-Notebook. Den Tipp haben wir natürlich gleich zu Anfang schon ausprobiert. Keine Änderung.

            Ciao,
             Martin

            --
            Merkwürdig: Auch das Endlospapier ist irgendwann zu Ende.
            1. Hallo Martin,

              das klingt doch so, als wäre das eine HP spezifische Software, die da wartet. Kann man da nicht einen Hersteller identifizieren und den in die Pflicht nehmen? Oder HP? Als Unternehmen hat man normalerweise mehr Druck gegenüber Herstellern als ein Privatmensch. 10min pro Tag kosten richtig Geld, da kann man schon fast Schadenersatz einklagen.

              Rolf

              --
              sumpsi - posui - clusi
              1. Hi,

                das klingt doch so, als wäre das eine HP spezifische Software, die da wartet.

                eher nicht, der hp-Ansatz hatte sich ja in meinem Fall als nicht zutreffend erwiesen.

                Als Unternehmen hat man normalerweise mehr Druck gegenüber Herstellern als ein Privatmensch.

                Das ist sicher richtig, aber unsere Leute sind da leider auch eher träge.

                10min pro Tag kosten richtig Geld, da kann man schon fast Schadenersatz einklagen.

                Die Behelfslösung im Sinne von "works for me" ist: Zum Feierabend Windows nicht komplett runterfahren, sondern nur in den Energiesparmodus versetzen. Dann ist das Wieder-Anfahren am nächsten Morgen nur eine Sache von Sekunden. Die lange Wartezeit habe ich so nur am Montagmorgen, wenn ich die Kiste übers Wochenende doch mal komplett runterfahre.
                Und da ist diese Zwangspause auch nicht wirklich verlorene Zeit: Die paar Minuten nutze ich, um mir erstmal einen Kaffee zu holen und den Kollegen kurz "hallo" sage. Das sind 10min schnell vorbei. :-)

                So long,
                 Martin

                --
                "Wenn man ein Proton aufmacht, sind drei Quarks drin."
                - Joachim Bublath in der Knoff-Hoff-Show
  3. Moin Michael,

    1. Ich habe von allen Ordnern auf C.\ über Rechtsklick ==> "Eigenschaften" den Speicherverbrauch rausgesucht.
    xampp.7.3.5	     76.1      GB
    

    was macht denn dein XAMPP mit so viel Speicher?

    Viele Grüße
    Robert

    1. Hallo Robert

      1. Ich habe von allen Ordnern auf C.\ über Rechtsklick ==> "Eigenschaften" den Speicherverbrauch rausgesucht.
      xampp.7.3.5	     76.1      GB
      

      was macht denn dein XAMPP mit so viel Speicher?

      Ja,ich gebe zu, da habe ich ein bisschen rumgeaast. Erstens habe ich das htdocs Verzeichnis missbraucht, um einige Datensicherungen zu speichern, die ich seit 2018 wöchentlich mache (und natürlich unprofessionellerweise nicht inkrementell 😉) Zweitens habe ich solche schicken Sachen wie Listen von (allen) Primzahlen zwischen 1 und 94100000000 und drittens habe ich noch ein hobby Projekt mit relativ vielen Bildern - OK das sind nur 0.5 GB wie ich gerade sehe. Ich will auch gar nichts schönreden, aber die 76 GB sind wenig im Vergleich zu den 650 GB (833 - 40 - 143) die mir scheinbar fehlen.

      Viele Grüße

      Michael

  4. Moin mbr,

    Ich würde ungern irgendwelche "dubiosen" Drittnbieter tools einsetzen. bin aber für jede Hilfe dankbar. Vielleicht kann man ja auch vom Linux der Desinfect CD aus was sehen...

    Kennst du die Microsoft Tool-Sammlung sysinternals? Die enthalten ein Tool Namens 'du'* Disk Usage

    Das Tool 'du' zeigt auch den Speicherverbrauch von Versteckten- und Systemordnern an. Die Ausgabe ist ein bisschen Basic, nur CSV.

    
    Path,CurrentFileCount,CurrentFileSize,FileCount,DirectoryCount,DirectorySize,DirectorySizeOnDisk
    "c:\$GetCurrent",0,0,8,3,181439,217088
    "c:\$Recycle.Bin",0,0,64,3,18888565,19099968
    "c:\$SysReset",3,2239,11,7,67957074,68014080
    "c:\$Windows.~WS",0,0,7,3,323982,139264
    …
    …
    "c:\Program Files",1,174,111340,13671,22297881470,22600914784
    "c:\Program Files (x86)",1,174,63079,6788,9758850978,9945075712
    "c:\ProgramData",1,57,16861,3336,14103517643,14165778432
    

    *'du' habe ich absichtlich in Anführungsstriche gesetzt, um zwischen du und 'du' zu unterscheiden

    🖖 jens

    1. Hallo Jens,

      vielen Dank für deinen Tip (Danke auch an alle anderen, die sich Gedanken gemacht haben)

      Für das Archiv: Die Untersuchung mit DU ergab, dass im Verzeichnis "C:\Windows\Temp" ca. 650 GB(!) an Datenmüll lagen. Rechtsklick auf das Verzeichnis im Windows Explorer und Aufrufen der Eigenschaften zeigt aber 0 Byte (WTF?) Erst wenn man das Verzeichnis einmal per Doppelklick geöffnet hat (und dabei die Nachfrage nach dauerhaftenDateizugriff mit "ja" beantwortet hat - und lange genug wartet 😉) zeigt danach auch der Explorer die ca. 650 GB an.

      Ich habe die Dateien und Verzeicnisse jetzt einfach gelöscht und hoffe, dass es wirklich nur Datenschrott war. Seitdem sind auf jeden Fall wieder 683 von 833 GB frei und das blieb - bisher - auch stabil.

      Nochmals 1000 Dank und Viele Grüße

      Michael

      1. Ich habe die Dateien und Verzeicnisse jetzt einfach gelöscht und hoffe, dass es wirklich nur Datenschrott war.

        In einem Verzeichnis mit dem Name "Temp" sollten stets nur temporär benötigte Daten liegen. Insofern sollte das Löschen (Nach Beenden aller Anwendungen) stets gefahrfrei sein.

        Allerdings (1) stallt sich die Frage, woher eigentlich diese 650GB Daten kommen (Ich hätte da also nachgesehen, was das wohl für Zeug ist um z.B. die verursachende Anwendung zu ermitteln) und (2) woran es wohl liegt, dass der Explorierer etwas wie "0 Byte" behauptet wo er doch noch am Ermitteln und Addieren der Bytes von (wohl) aberhunderttausenden Dateien ist. Wahrscheinlich hat das (wahnwitzige Datenmengen) nie jemand getestet oder aber gedacht, dass die kleine M(ar)otte (a.k.a. "Bug") niemandem auffällt.

        1. Moin,

          Ich habe die Dateien und Verzeicnisse jetzt einfach gelöscht und hoffe, dass es wirklich nur Datenschrott war.

          In einem Verzeichnis mit dem Name "Temp" sollten stets nur temporär benötigte Daten liegen. Insofern sollte das Löschen (Nach Beenden aller Anwendungen) stets gefahrfrei sein.

          ja, das sehe ich auch so und räume da immer mal wieder radikal auf. Leider halten diverse Windows-Prozesse ihre abgelegten TEMP-Dateien geöffnet, so dass sie nicht gelöscht werden können.

          Allerdings (1) stallt sich die Frage, woher eigentlich diese 650GB Daten kommen

          Das interessiert mich dann auch brennend. Wie gesagt, ich habe mittlerweile schon Outlook als großen Umweltversch TEMP-Verschmutzer identifiziert. Aber auch Windows selbst legt hier jede Menge kleine und größere Kackhäufchen ab und räumt sie nicht wieder auf.

          Aktuell sehe ich da mal wieder eine Menge Dateien mit der Endung .vdf und einer Dateigröße so um 175kB - bei einer flüchtigen Untersuchung mit einem Texteditor entpuppen die sich als SQLite-Datenbankdateien. Aber woher sie stammen - keine Ahnung. Witzig: Die haben alle Timestamps aus dem Jahr 2016, der PC ist aber im April 2017 erst eingerichtet und in Betrieb genommen worden.

          Und nicht vergessen: Es gibt ein benutzerspezifisches TEMP-Verzeichnis (idR. %userprofile%\AppData\Local\Temp) und ein globales (C:\Windows\Temp).

          So long,
           Martin

          --
          "Wenn man ein Proton aufmacht, sind drei Quarks drin."
          - Joachim Bublath in der Knoff-Hoff-Show
          1. Hallo Martin,

            ich meinem Windows-Temp Order standen "nur" 150MB rum, und ein teil davon war sogar geöffnet.

            In meinem User-Temp Ordner (Eingabe %TEMP% in der Explorer-Adresszeile) sind's gerade 2,8 GB. Ich fang sofort an zu löschen! :)

            Aber keine Rede von 650GB, das ist schon heftig.

            Rolf

            --
            sumpsi - posui - clusi
          2. Hallo Der Martin,

            Aktuell sehe ich da mal wieder eine Menge Dateien mit der Endung .vdf und einer Dateigröße so um 175kB - bei einer flüchtigen Untersuchung mit einem Texteditor entpuppen die sich als SQLite-Datenbankdateien.

            AntiVir-DeFinition?

            Bis demnächst
            Matthias

            --
            Pantoffeltierchen haben keine Hobbys.
            ¯\_(ツ)_/¯