С момента загрузки плавно уменьшается дисковое пространство до нуля. - Операционные системы M$

29.07.2004, 20:35

Система: Win2k3 Ent English SP1 (билд не помню).

Винт: 40 Гб WD, 4 первичных(!) раздела; первый - FAT16 (1.5 Г, для чистой DOS), остальные - NTFS (20 + 4 + 4). Соответственно буквы C и D, E, F.

Буква системного раздела: F.

Время пользования без переустановки: около года.

Некоторые установленные программы: Outpost Firewall, NOD32 Antivirus System.

Свободное место: ~1 Гб

Память: Физическая - 512 Мб, swap-файл фиксирован, тоже 512 Мб.

Проблема: Система загружается, все работает, но каждые 3-5 секунд на 1 Мб уменьшается свободное место на системном разделе (обращение к диску происходит, но ни у одной директории размер не увеличивается), в конце концов остается 4-16 Кбайт(!), из-за чего глючат проги, которым нужно место во временной директории, к-рая, естественно, находится на диске F:\ ! Иногда к ним присоединяется и сама система, вываливаясь в BSOD. После перезагрузки опять полно места, и все начинается по новой.

Попытки решения: В первый раз был замечен какой-то неясный процесс, который тут же и был убит, но имя файла осталось незамеченным

. Потом, поглядев автозагрузку (и через msconfig тоже) и ничего подозрительного там не найдя, а также увидев отсутствие изменений в списке служб, - я воспользовался прогой AutoStart Control, с помощью к-рой выкинул из загрузки фигню под названием svchostx.exe. НО! Это не помогло. Уже было поздно, видимо. Еще делал sfc /SCANNOW. Пофиг - не помогло. Также не помогло удаление всех процессов и остановка всех служб, без которых система еще живет. Тогда я пересел на соседнюю систему на диске E:\ - там жила немного глючная Win2k3 Ent English SP1 + Russian MUI. Я до сих пор на ней сижу и пытаюсь понять, в чем дело. Перепробовал другие антивирусы (последних версий): Dr.WEB, VirusBuster, NetShield и еще кого-то. VirusBuster что-то нашел, но только из-за параноидальных установок эвристического анализа, потому как замена подозрительных файлов на чистые из дистрибутива не помогла.

Просьба: Переставлять систему не хочется, желательно разобраться все-таки, что произошло и как с этим бороться. Помогите, пожалуйста, может, у кого было так? Прошу обратить внимание на то, что я уже написал про условия и предпринятые меры. У меня есть еще пара неосуществленных идей, но если это у кого было, лучше спросить совета у вас, господа.

Итак, что мне делать? Спасибо за внимание и желание помочь

leon534 · 29.07.2004, 20:53

Поискал в Google: Без комментариев

Description:

This worm propagates via network shares. It uses an installer icon and poses as an mIRC installation file to lure users into executing it.

It connects to mIRC and acts as an mIRC client, which grants the remote user access over the machine to carry out malicious commands. It is also capable of terminating certain processes, as well as preventing access to certain Web sites by modifying the system's HOSTS file.

It runs on Windows NT, 2000, and XP.

Solution:

Terminating the Malware Program

This procedure terminates the running malware process.
Open Windows Task Manager.
» On Windows 95, 98, and ME, press
CTRL+ALT+DELETE
» On Windows NT, 2000, and XP, press
CTRL+SHIFT+ESC, then click the Processes tab.
In the list of running programs*, locate the process:
svchostx.exe
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your system.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On systems running Windows 95, 98, and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process. Otherwise, continue with the next procedure, noting additional instructions.

Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing at startup.
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
WSAConfiguration = "svchostx.exe"
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunServices
In the right panel, locate and delete the entry:
WSAConfiguration = "svchostx.exe"
Close Registry Editor.

30.07.2004, 01:15

ARTi
А размер свопа не пробовал ограничивать,фиксировать и т.д? Я так на своей машинке вообще без него работаю.

30.07.2004, 11:16

По поводу svchostx.exe

Цитата:

Потом, поглядев автозагрузку (и через msconfig тоже) и ничего подозрительного там не найдя, а также увидев отсутствие изменений в списке служб, - я воспользовался прогой AutoStart Control, с помощью к-рой выкинул из загрузки фигню под названием svchostx.exe. НО! Это не помогло.

И в процессах его НЕТ.

valeryks
Я написал же, что он у меня фиксирован. А без него работать с 600-метровым звуковым файлом "неудобно"

leon534 · 30.07.2004, 12:08

Цитата:

Сообщение от ARTi

По поводу svchostx.exe И в процессах его НЕТ.

Subj - собственно.
Дополнительно посмотри
Removing Malware Entries in the HOSTS File

Deleting entries in the HOSTS file prevents the redirection of Antivirus Web sites to the local machine.
Click Start>Search. Search for the file named HOSTS (this is usually located in %system%\drivers\etc\).
Open the file in NOTEPAD.
Delete the following entries:
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
Save the file and close it.

31.07.2004, 02:09

Спасибо, посмотрел. Но ничего такого нет, там буквально одна строчка (не считая комментариев):

Код:

127.0.0.1       localhost

Siddha · 31.07.2004, 07:18

Попробуй дефрагментировать все диски.

Gem Single · 01.08.2004, 01:01

Запусти прогу File monitor, и посмотри, кто тебе на диск гадит

[urlо]http:Все ссылки на проги - в разделе AppZ!NTFILMON.ZIP[/urlо]

10.08.2004, 19:53

В общем, посмотрел я filemon'ом. Закрыл почти все программы, поубивал все ненужные и сомнительные процессы. Остановил большинство служб. На диск пишет абстрактный процесс под именем System. Пишет либо в \TraceLog, либо в \WMI. Вообще-то это нормально, если бы дисковое пространство в гигабайт за 20-30 минут не сводилось к нулю

22.08.2004, 19:10

Значит так. Теперь, в результате моих же неправильных действий, у меня сверзилась резервная система, и мне пришлось пересесть на эту. Тут хоть просто уменьшается место, там же много чего работать перестало

...
Случайно заметил, что вся запись происходит в этот файл
F:\WINDOWS\system32\LogFiles\WMI\trace.log

На момент написания этого поста его размер равен объему свободного пространства при загрузке системы и составляет 1342 мегабайт. При освобождении свободного места он начинает плавно увеличиваться до упора. Это он.
Меня терзают смутные сомнения. Может, это и не вирус вовсе? Может, в системе где-то включено какое-нибудь усиленное протоколирование событий?
Вообще объясните, пожалуйста, для чего предназначен данный файл и где мне искать связанные с ним установки.
Да и кстати. Я пытался поиграться с правами, но ничего не получилось. Кто-то постоянно в него ср..т - и баста!

Grek · 22.08.2004, 19:33

ARTi
Тебе адо отключить WMI logging
My Computer-правый клик-manage-WMI control-правый клик-properties-logging---поставь disabled

23.08.2004, 21:11

Короче отключил я, не помогло, там в ключе и путь другой указан

24.08.2004, 02:57

ARTi
А попробуй в Оутпосте ограничить лог и с автоочисткой!

02.09.2004, 00:53

valeryks
Спасибо, но это не то, потому что, как я писал выше, отключение почти всех процессов и служб (в т.ч. и outpost) ни к чему не приводит.

А теперь я хотел бы сообщить всем, что проблема внезапно разрешилась. Это действительно система, а не вирус (слава Богу!). Действительно я своими ручками что-то где-то включил.
Точнее так. Я пользуюсь иногда bootviz, просто выбирая в нем пункт меню "optimize system", но однажды меня заинтересовала функциональность программы. Там есть много возможностей, связанных с... журналированием и трассировкой. Куда? Посмотрев bootviz.exe, без труда можно увидеть именно этот путь "LogFiles\WMI\trace.log".
Я включил трассировку, вот система и протоколировала саму себя в этот файл.
После запуска bootviz и выбора пункта меню "stop tracing" все остановилось. Больше проблемы не существует.
Спасибо всем, кто пытался помочь, и я надеюсь, что эта тема лишний раз заострит внимание на том, что нужно все помнить. Иначе, когда все станет вверх дном, а причина будет утеряна в глубинах памяти, трудно будет что-либо предпринять для устранения ошибок.
Просто, господа, будьте бдительны

.

31.07.2004, 02:09	# 6
ARTi Guest Сообщения: n/a	Спасибо, посмотрел. Но ничего такого нет, там буквально одна строчка (не считая комментариев): Код: 127.0.0.1 localhost

01.08.2004, 01:01	# 8
Gem Single Newbie Регистрация: 21.07.2004 Адрес: Брест Сообщения: 26	Запусти прогу File monitor, и посмотри, кто тебе на диск гадит [urlо]http:Все ссылки на проги - в разделе AppZ!NTFILMON.ZIP[/urlо] Последний раз редактировалось Borland; 02.08.2004 в 10:13.

22.08.2004, 19:33	# 11
Grek ::VIP:: Регистрация: 26.01.2003 Пол: Male Сообщения: 832	ARTi Тебе адо отключить WMI logging My Computer-правый клик-manage-WMI control-правый клик-properties-logging---поставь disabled Последний раз редактировалось Grek; 22.08.2004 в 19:35.

29.07.2004, 20:35	# 1
ARTi Guest Сообщения: n/a	С момента загрузки плавно уменьшается дисковое пространство до нуля. Система: Win2k3 Ent English SP1 (билд не помню). Винт: 40 Гб WD, 4 первичных(!) раздела; первый - FAT16 (1.5 Г, для чистой DOS), остальные - NTFS (20 + 4 + 4). Соответственно буквы C и D, E, F. Буква системного раздела: F. Время пользования без переустановки: около года. Некоторые установленные программы: Outpost Firewall, NOD32 Antivirus System. Свободное место: ~1 Гб Память: Физическая - 512 Мб, swap-файл фиксирован, тоже 512 Мб. Проблема: Система загружается, все работает, но каждые 3-5 секунд на 1 Мб уменьшается свободное место на системном разделе (обращение к диску происходит, но ни у одной директории размер не увеличивается), в конце концов остается 4-16 Кбайт(!), из-за чего глючат проги, которым нужно место во временной директории, к-рая, естественно, находится на диске F:\ ! Иногда к ним присоединяется и сама система, вываливаясь в BSOD. После перезагрузки опять полно места, и все начинается по новой. Попытки решения: В первый раз был замечен какой-то неясный процесс, который тут же и был убит, но имя файла осталось незамеченным . Потом, поглядев автозагрузку (и через msconfig тоже) и ничего подозрительного там не найдя, а также увидев отсутствие изменений в списке служб, - я воспользовался прогой AutoStart Control, с помощью к-рой выкинул из загрузки фигню под названием svchostx.exe. НО! Это не помогло. Уже было поздно, видимо. Еще делал sfc /SCANNOW. Пофиг - не помогло. Также не помогло удаление всех процессов и остановка всех служб, без которых система еще живет. Тогда я пересел на соседнюю систему на диске E:\ - там жила немного глючная Win2k3 Ent English SP1 + Russian MUI. Я до сих пор на ней сижу и пытаюсь понять, в чем дело. Перепробовал другие антивирусы (последних версий): Dr.WEB, VirusBuster, NetShield и еще кого-то. VirusBuster что-то нашел, но только из-за параноидальных установок эвристического анализа, потому как замена подозрительных файлов на чистые из дистрибутива не помогла. Просьба: Переставлять систему не хочется, желательно разобраться все-таки, что произошло и как с этим бороться. Помогите, пожалуйста, может, у кого было так? Прошу обратить внимание на то, что я уже написал про условия и предпринятые меры. У меня есть еще пара неосуществленных идей, но если это у кого было, лучше спросить совета у вас, господа. Итак, что мне делать? Спасибо за внимание и желание помочь Последний раз редактировалось ARTi; 29.07.2004 в 20:41. Причина: корректировка мелочей

29.07.2004, 20:53	# 2
leon534 ::VIP:: Регистрация: 10.07.2004 Адрес: Москва Пол: Male Сообщения: 2 030	worm Поискал в Google: Без комментариев Description: This worm propagates via network shares. It uses an installer icon and poses as an mIRC installation file to lure users into executing it. It connects to mIRC and acts as an mIRC client, which grants the remote user access over the machine to carry out malicious commands. It is also capable of terminating certain processes, as well as preventing access to certain Web sites by modifying the system's HOSTS file. It runs on Windows NT, 2000, and XP. Solution: Terminating the Malware Program This procedure terminates the running malware process. Open Windows Task Manager. » On Windows 95, 98, and ME, press CTRL+ALT+DELETE » On Windows NT, 2000, and XP, press CTRL+SHIFT+ESC, then click the Processes tab. In the list of running programs, locate the process: svchostx.exe Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your system. To check if the malware process has been terminated, close Task Manager, and then open it again. Close Task Manager. NOTE: On systems running Windows 95, 98, and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process. Otherwise, continue with the next procedure, noting additional instructions. Removing Autostart Entries from the Registry Removing autostart entries from the registry prevents the malware from executing at startup. Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter. In the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run In the right panel, locate and delete the entry: WSAConfiguration = "svchostx.exe" In the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>RunServices In the right panel, locate and delete the entry: WSAConfiguration = "svchostx.exe" Close Registry Editor.

30.07.2004, 01:15	# 3
valeryks Guest Сообщения: n/a	ARTi А размер свопа не пробовал ограничивать,фиксировать и т.д? Я так на своей машинке вообще без него работаю.

31.07.2004, 07:18	# 7
Siddha Full Member Регистрация: 25.12.2002 Адрес: неизвестен Сообщения: 782	Попробуй дефрагментировать все диски.

10.08.2004, 19:53	# 9
ARTi Guest Сообщения: n/a	В общем, посмотрел я filemon'ом. Закрыл почти все программы, поубивал все ненужные и сомнительные процессы. Остановил большинство служб. На диск пишет абстрактный процесс под именем System. Пишет либо в \TraceLog, либо в \WMI. Вообще-то это нормально, если бы дисковое пространство в гигабайт за 20-30 минут не сводилось к нулю

22.08.2004, 19:10	# 10
ARTi Guest Сообщения: n/a	Значит так. Теперь, в результате моих же неправильных действий, у меня сверзилась резервная система, и мне пришлось пересесть на эту. Тут хоть просто уменьшается место, там же много чего работать перестало ... Случайно заметил, что вся запись происходит в этот файл F:\WINDOWS\system32\LogFiles\WMI\trace.log На момент написания этого поста его размер равен объему свободного пространства при загрузке системы и составляет 1342 мегабайт. При освобождении свободного места он начинает плавно увеличиваться до упора. Это он. Меня терзают смутные сомнения. Может, это и не вирус вовсе? Может, в системе где-то включено какое-нибудь усиленное протоколирование событий? Вообще объясните, пожалуйста, для чего предназначен данный файл и где мне искать связанные с ним установки. Да и кстати. Я пытался поиграться с правами, но ничего не получилось. Кто-то постоянно в него ср..т - и баста!

23.08.2004, 21:11	# 12
ARTi Guest Сообщения: n/a	Короче отключил я, не помогло, там в ключе и путь другой указан

24.08.2004, 02:57	# 13
valeryks Guest Сообщения: n/a	ARTi А попробуй в Оутпосте ограничить лог и с автоочисткой!

02.09.2004, 00:53	# 14
ARTi Guest Сообщения: n/a	valeryks Спасибо, но это не то, потому что, как я писал выше, отключение почти всех процессов и служб (в т.ч. и outpost) ни к чему не приводит. А теперь я хотел бы сообщить всем, что проблема внезапно разрешилась. Это действительно система, а не вирус (слава Богу!). Действительно я своими ручками что-то где-то включил. Точнее так. Я пользуюсь иногда bootviz, просто выбирая в нем пункт меню "optimize system", но однажды меня заинтересовала функциональность программы. Там есть много возможностей, связанных с... журналированием и трассировкой. Куда? Посмотрев bootviz.exe, без труда можно увидеть именно этот путь "LogFiles\WMI\trace.log". Я включил трассировку, вот система и протоколировала саму себя в этот файл. После запуска bootviz и выбора пункта меню "stop tracing" все остановилось. Больше проблемы не существует. Спасибо всем, кто пытался помочь, и я надеюсь, что эта тема лишний раз заострит внимание на том, что нужно все помнить. Иначе, когда все станет вверх дном, а причина будет утеряна в глубинах памяти, трудно будет что-либо предпринять для устранения ошибок. Просто, господа, будьте бдительны .