IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Операционные системы M$ (http://www.imho.ws/forumdisplay.php?f=2)
-   -   С момента загрузки плавно уменьшается дисковое пространство до нуля. (http://www.imho.ws/showthread.php?t=65260)

ARTi 29.07.2004 20:35
С момента загрузки плавно уменьшается дисковое пространство до нуля.
 
Система: Win2k3 Ent English SP1 (билд не помню).

Винт: 40 Гб WD, 4 первичных(!) раздела; первый - FAT16 (1.5 Г, для чистой DOS), остальные - NTFS (20 + 4 + 4). Соответственно буквы C и D, E, F.

Буква системного раздела: F.

Время пользования без переустановки: около года.

Некоторые установленные программы: Outpost Firewall, NOD32 Antivirus System.

Свободное место: ~1 Гб

Память: Физическая - 512 Мб, swap-файл фиксирован, тоже 512 Мб.

Проблема: Система загружается, все работает, но каждые 3-5 секунд на 1 Мб уменьшается свободное место на системном разделе (обращение к диску происходит, но ни у одной директории размер не увеличивается), в конце концов остается 4-16 Кбайт(!), из-за чего глючат проги, которым нужно место во временной директории, к-рая, естественно, находится на диске F:\ ! Иногда к ним присоединяется и сама система, вываливаясь в BSOD. После перезагрузки опять полно места, и все начинается по новой.

Попытки решения: В первый раз был замечен какой-то неясный процесс, который тут же и был убит, но имя файла осталось незамеченным :(. Потом, поглядев автозагрузку (и через msconfig тоже) и ничего подозрительного там не найдя, а также увидев отсутствие изменений в списке служб, - я воспользовался прогой AutoStart Control, с помощью к-рой выкинул из загрузки фигню под названием svchostx.exe. НО! Это не помогло. Уже было поздно, видимо. Еще делал sfc /SCANNOW. Пофиг - не помогло. Также не помогло удаление всех процессов и остановка всех служб, без которых система еще живет. Тогда я пересел на соседнюю систему на диске E:\ - там жила немного глючная Win2k3 Ent English SP1 + Russian MUI. Я до сих пор на ней сижу и пытаюсь понять, в чем дело. Перепробовал другие антивирусы (последних версий): Dr.WEB, VirusBuster, NetShield и еще кого-то. VirusBuster что-то нашел, но только из-за параноидальных установок эвристического анализа, потому как замена подозрительных файлов на чистые из дистрибутива не помогла.

Просьба: Переставлять систему не хочется, желательно разобраться все-таки, что произошло и как с этим бороться. Помогите, пожалуйста, может, у кого было так? Прошу обратить внимание на то, что я уже написал про условия и предпринятые меры. У меня есть еще пара неосуществленных идей, но если это у кого было, лучше спросить совета у вас, господа.

Итак, что мне делать? Спасибо за внимание и желание помочь :)

leon534 29.07.2004 20:53
worm
 
Поискал в Google: Без комментариев

Description:



This worm propagates via network shares. It uses an installer icon and poses as an mIRC installation file to lure users into executing it.

It connects to mIRC and acts as an mIRC client, which grants the remote user access over the machine to carry out malicious commands. It is also capable of terminating certain processes, as well as preventing access to certain Web sites by modifying the system's HOSTS file.

It runs on Windows NT, 2000, and XP.

Solution:



Terminating the Malware Program

This procedure terminates the running malware process.
Open Windows Task Manager.
» On Windows 95, 98, and ME, press
CTRL+ALT+DELETE
» On Windows NT, 2000, and XP, press
CTRL+SHIFT+ESC, then click the Processes tab.
In the list of running programs*, locate the process:
svchostx.exe
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your system.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On systems running Windows 95, 98, and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process. Otherwise, continue with the next procedure, noting additional instructions.

Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing at startup.
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
WSAConfiguration = "svchostx.exe"
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunServices
In the right panel, locate and delete the entry:
WSAConfiguration = "svchostx.exe"
Close Registry Editor.

valeryks 30.07.2004 01:15
ARTi
А размер свопа не пробовал ограничивать,фиксировать и т.д? Я так на своей машинке вообще без него работаю. :beer:

ARTi 30.07.2004 11:16
По поводу svchostx.exe
Цитата:
Потом, поглядев автозагрузку (и через msconfig тоже) и ничего подозрительного там не найдя, а также увидев отсутствие изменений в списке служб, - я воспользовался прогой AutoStart Control, с помощью к-рой выкинул из загрузки фигню под названием svchostx.exe. НО! Это не помогло.
И в процессах его НЕТ.

valeryks
Я написал же, что он у меня фиксирован. А без него работать с 600-метровым звуковым файлом "неудобно" ;)

leon534 30.07.2004 12:08
Антивирусной проге могут мешать !
 
Цитата:
Сообщение от ARTi
По поводу svchostx.exe И в процессах его НЕТ.
Subj - собственно.
Дополнительно посмотри
Removing Malware Entries in the HOSTS File

Deleting entries in the HOSTS file prevents the redirection of Antivirus Web sites to the local machine.
Click Start>Search. Search for the file named HOSTS (this is usually located in %system%\drivers\etc\).
Open the file in NOTEPAD.
Delete the following entries:
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
Save the file and close it.

ARTi 31.07.2004 02:09
Спасибо, посмотрел. Но ничего такого нет, там буквально одна строчка (не считая комментариев):

Код:
127.0.0.1      localhost

Siddha 31.07.2004 07:18
Попробуй дефрагментировать все диски.

Gem Single 01.08.2004 01:01
Запусти прогу File monitor, и посмотри, кто тебе на диск гадит ;)
[urlо]http:Все ссылки на проги - в разделе AppZ!NTFILMON.ZIP[/urlо]

ARTi 10.08.2004 19:53
В общем, посмотрел я filemon'ом. Закрыл почти все программы, поубивал все ненужные и сомнительные процессы. Остановил большинство служб. На диск пишет абстрактный процесс под именем System. Пишет либо в \TraceLog, либо в \WMI. Вообще-то это нормально, если бы дисковое пространство в гигабайт за 20-30 минут не сводилось к нулю :(

ARTi 22.08.2004 19:10
Значит так. Теперь, в результате моих же неправильных действий, у меня сверзилась резервная система, и мне пришлось пересесть на эту. Тут хоть просто уменьшается место, там же много чего работать перестало :biggrin: ...
Случайно заметил, что вся запись происходит в этот файл
F:\WINDOWS\system32\LogFiles\WMI\trace.log

На момент написания этого поста его размер равен объему свободного пространства при загрузке системы и составляет 1342 мегабайт. При освобождении свободного места он начинает плавно увеличиваться до упора. Это он.
Меня терзают смутные сомнения. Может, это и не вирус вовсе? Может, в системе где-то включено какое-нибудь усиленное протоколирование событий?
Вообще объясните, пожалуйста, для чего предназначен данный файл и где мне искать связанные с ним установки.
Да и кстати. Я пытался поиграться с правами, но ничего не получилось. Кто-то постоянно в него ср..т - и баста!

Grek 22.08.2004 19:33
ARTi
Тебе адо отключить WMI logging
My Computer-правый клик-manage-WMI control-правый клик-properties-logging---поставь disabled

ARTi 23.08.2004 21:11
Короче отключил я, не помогло, там в ключе и путь другой указан :(

valeryks 24.08.2004 02:57
ARTi
А попробуй в Оутпосте ограничить лог и с автоочисткой! :beer:

ARTi 02.09.2004 00:53
valeryks
Спасибо, но это не то, потому что, как я писал выше, отключение почти всех процессов и служб (в т.ч. и outpost) ни к чему не приводит.

А теперь я хотел бы сообщить всем, что проблема внезапно разрешилась. Это действительно система, а не вирус (слава Богу!). Действительно я своими ручками что-то где-то включил.
Точнее так. Я пользуюсь иногда bootviz, просто выбирая в нем пункт меню "optimize system", но однажды меня заинтересовала функциональность программы. Там есть много возможностей, связанных с... журналированием и трассировкой. Куда? Посмотрев bootviz.exe, без труда можно увидеть именно этот путь "LogFiles\WMI\trace.log".
Я включил трассировку, вот система и протоколировала саму себя в этот файл.
После запуска bootviz и выбора пункта меню "stop tracing" все остановилось. Больше проблемы не существует.
Спасибо всем, кто пытался помочь, и я надеюсь, что эта тема лишний раз заострит внимание на том, что нужно все помнить. Иначе, когда все станет вверх дном, а причина будет утеряна в глубинах памяти, трудно будет что-либо предпринять для устранения ошибок.
Просто, господа, будьте бдительны :).


Часовой пояс GMT +4, время: 08:09.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.