Niuzasadniona intensywna praca dysku, zawieszanie systemu


(Kafu7) #1

Witam,

Mój problem przedstawia się następująco - od jakiegoś czasu obserwuję nieuzasadnioną pracę dysku twardego, mimo że w tle nie są uruchomione żadne procesy. Nie aktualizuje się antywirus (KIS 2010), nie aktualizuje się Advanced System Protector, nie działa żaden program do pobierania danych, nie jest uruchomiona żadna aplikacja. Można powiedzieć, że powinno być spokojnie, lampka sygnalizująca pracę dysku powinna być nie aktywna, jednak jest inaczej, jest podświetlona przez kilka sekund, następnie mruga bardzo intensywnie przez kilka sekund, potem znowu świeci ciągle, zaś po jakimś czasie "gaśnie", dysk nie pracuje jak szalony. Dodam, że oprócz obserwacji migania lampki pracy dysku słyszę pracę dysku, po której wnoszę że pracuje intensywnie.

Oprócz tego często zdarza się że system zwiesza się na jakieś 2-4 sekundy, kiedy np chcę uruchomić jakiś program, otworzyć plik itp (zdarza się że na belce aktywnego otwartego okna programu lub folderu pokazuje się "brak odpowiedzi" po czym ten zapis znika i wszystko dalej pracuje normalnie).

Kilka dni temu po gruntownym skanowaniu KIS 2010 całego komputera wykryte zostały trojany, które według informacji z raportu zostały usunięte. Po tej akcji wykonałem kolejne skanowanie całego komputera i KIS nie zgłosił już żadnej infekcji. Poniżej zrzut ekranu z tym co zostało wykryte i usunięte.

cd09d412d73af223m.jpg

Do skanowania systemu używam także programu Advanced System Protector - roczna licencja z gazety PC World. Ten program niczego nie wykrywa.

Wklejam logi z trzech programów: OTL, Hijack, SilentRunners.

OTL - http://www.wklejto.pl/74421

Hijack - http://www.wklejto.pl/74422

SilentRunners - http://www.wklejto.pl/74423

Zwracam się do Was jako profesjonalistów z prośbą o pomoc. Jestem świadomy tego, że nie wskazane jest wklejanie logów bez uzasadnionej przyczyny, jednak uważam, że zachowanie mojego systemu nie jest normalne. Proszę o pomoc.

Z góry bardzo dziękuję za poświęcony czas.

Pozdrawiam


(77isabelle77) #2

usuń ask toolbary -to tak na marginesie ,a nie zauważyłeś czy komputer się zawiesza gdy go lekko trącisz?

-- Dodane 13.08.2010 (Pt) 23:32 --

masz spyware - zainstaluj i przeskanuj - http://www.dobreprogramy.pl/Emsisoft-Em ... 13269.html ten program nigdy mnie nie zawiódł .


(suchmen) #3

Możliwe, że dalej siedzi jakieś ustrojstwo i to powoduje pracę dysku i procesora. Sądząc po objawach to pewnie jakiś trojan lub spyware.


(Kafu7) #4

Witam,

na wstępie dzięki wielkie za odpowiedzi.

Komputer nie zawiesza się poprzez trącenie. Jest ustawiony na stabilnym podłożu, poza tym stoi na podkładce chłodzącej, która ma gumowe nóżki, więc ewentualne drgania podłoża są tłumione.

Przeskanowałem komputer dwoma programami - polecanym Emsisoft Emergency Kit 1.0.0.11 oraz Malwarebytes'.

Emsisoft wykrył takie coś:

  • Trojan-PWS.Win32.Xilon!IK

Wykryte ustrojstwo nie znajdowało się na dysku systemowym, tylko na innej partycji. Program usunął wykryte skażenie (po czym wykonał restart). Po restarcie wykonałem ponowne skanowanie komputera, nic nie wykrył.

Malwarebytes' wykrył coś takiego:

  • Trojan.Agent.CK

Program usunął skażenie, w logu po usuwaniu widnieje zapis - Quarantined and deleted successfully

Wykonałem ponowne logi z trzech programów:

OTL - http://www.wklejto.pl/74460

Hijack - http://www.wklejto.pl/74461

SilentRunners - http://www.wklejto.pl/74462

Proszę także o wskazówkę, jak usunąć te ask toolbary ?

Dzięki !

P.S. Wrzucam jeszcze log ze skanowania GMER-em

http://www.wklejto.pl/74472


(77isabelle77) #5

ask toolbar usuwasz chociażby hijack 'iem - pozycja

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) oraz

O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

zainstaluj nowszy serwis pack ,możesz jeszcze przeczyścic komputer programem odkurzacz - głównie modułami- menager rejestru,menager porzuconych folderów ,do pobrania : http://www.dobreprogramy.pl/Odkurzacz,P ... 12322.html

dla wszystkiego wejdź prawym myszki we właściwości " mój komputer" wybierz zakładkę " przywracanie systemu " -wybierz zahaczając "wyłączenie przywracania systemu na wszystkich dyskach " odczekaj chwilkę potem ponownie odhacz - czyli na nowo włącz przywracanie systemu .

Pytałam o relacje na drgania bo tak się zachowuje komputer przy bad sektorach ,to tak na wypadek wszelki,ale skoro nie zawiesza się przy tupaniu ani potrącanu to oki toki


(Łukash) #6

W logu jest tu coś dziwnego

przeskanuj na virustotal i daj link do raportu.


(Kafu7) #7

Witam,

dzięki za wskazówki.

ToolBary usunąłem, także przywracanie systemu przestawiłem wedle wskazówek.

Daję log ze skanowania Virustotal - http://www.wklejto.pl/74489. Tylko jeden program rozpoznał w skanowanym pliku trojana.

włączyłem Chkdsk z polecenia uruchom, przeprowadził testy ale nie zwrócił żadnej informacji.

Info na temat dysku z programu HD Tune (zakładka Helath)

HD Tune: WDC WD1600BEVT-22ZCT Health


ID Current Worst ThresholdData Status   

(01) Raw Read Error Rate 200 200 51 0 Ok       

(03) Spin Up Time 160 159 21 1000 Ok       

(04) Start/Stop Count 100 100 0 438 Ok       

(05) Reallocated Sector Count 200 200 140 0 Ok       

(07) Seek Error Rate 200 200 0 0 Ok       

(09) Power On Hours Count 99 99 0 924 Ok       

(0A) Spin Retry Count 100 100 51 0 Ok       

(0B) Calibration Retry Count 100 100 0 0 Ok       

(0C) Power Cycle Count 100 100 0 406 Ok       

(C0) Power Off Retract Count 200 200 0 26 Ok       

(C1) Load Cycle Count 194 194 0 18511 Ok       

(C2) Temperature 100 87 0 43 Ok       

(C4) Reallocated Event Count 200 200 0 0 Ok       

(C5) Current Pending Sector 200 200 0 0 Ok       

(C6) Offline Uncorrectable 100 253 0 0 Ok       

(C7) Ultra DMA CRC Error Count 200 200 0 0 Ok       

(C8) Write Error Rate 100 253 51 0 Ok       


Power On Time : 924

Health Status : Ok

Dołączam także zrzut ekranu ze sprawdzania dysku :

http://zapodaj.net/f7d9a0b1a28f.jpg.html

Przepuściłem odkurzaczem system, skanowanie rejestru, porzuconych folderów (oczywiści wcześniej wykonałem backup)

Logi

OTL http://www.wklejto.pl/74531

Silent http://www.wklejto.pl/74532

Hijack http://www.wklejto.pl/74533

Czy proponujecie jakieś działania ?

P.S. Dzięki !


(77isabelle77) #8

http://www.bezpieczenstwosystemow.pl/in ... opic=266.0 - zainstaluj stąd Windows Worms Doors Cleaner - zamknie on porty ,którymi mogą się dostawać trojany do Twojego komputera,bad sectorów nie widać

-- Dodane 15.08.2010 (N) 20:03 --

masz jeszcze malware,koniecznie pozamykaj te porty, przeskanuj malwarbytes - http://download.cnet.com/Malwarebytes-A ... 04572.html

-- Dodane 15.08.2010 (N) 20:30 --

i sprawdź jeszcze co siedzi w windows tasks jak nic to dobrze,jak coś jest to podaj

-- Dodane 15.08.2010 (N) 20:32 --

http://www.immunet.com/main/index3.html - bardzo dobry program,u mnie chodzi łącznie z avastem- przeskanuj też i tym


(Kafu7) #9

Witam,

dzięki za wskazówki.

Windows Door Cleaner - zainstalowałem, pozamykałem wszystkie porty.

Malwarebytes - zapuściłem skanowanie, nic nie wykryto

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org


Wersja bazy: 4427


Windows 5.1.2600 Dodatek Service Pack 3

Internet Explorer 8.0.6001.18702


2010-08-15 22:43:44

mbam-log-2010-08-15 (22-43-44).txt


Typ skanowania: Pełne skanowanie (C:\|D:\|F:\|)

Przeskanowano obiektów: 197513

Upłynęło: 32 minut(y), 36 sekund(y)


Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 0

Zainfekowanych wartości rejestru: 0

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 0

Zainfekowanych plików: 0


Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)


Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)


Zainfekowanych kluczy rejestru:

(Nie znaleziono zagrożeń)


Zainfekowanych wartości rejestru:

(Nie znaleziono zagrożeń)


Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)


Zainfekowanych folderów:

(Nie znaleziono zagrożeń)


Zainfekowanych plików:

(Nie znaleziono zagrożeń)

Windows tasks - w tym folderze ustawione było jedno zadanie - okresowe skanowanie komputera programem Advanced System Protector (wspominałem o nim w pierwszym poście). Zadanie zostało usunięte w folderze, nic tam nie ma (oprócz ikonki umożliwiającej dodanie nowego zadania)

Immunet - wykonałem gruntowne skanowanie, wykryło mi 7 plików.

http://zapodaj.net/944b1a35037c.bmp.html

Pojawiają się trzy nazwy robaków -

http://zapodaj.net/0406554e1dbb.bmp.html

http://zapodaj.net/06c68497f04f.bmp.html

http://zapodaj.net/819762b2dcb3.bmp.html

w.32 Dropper znajduje się w plikach z rozszerzeniem .tmp Program część z nich usunął, część, na podstawie komunikatów, nie została usunięte. Na zrzutach ekranu nie podałem pełnej listy plików w których wykryto infekcje, gdyż lista jest przewijana i nie można (albo ja nie potrafię) wygenerować loga ze skanowania. Wszystkie ścieżki do wykrytych plików to dysk C: (systemowy)

Logi

OTL - http://www.wklejto.pl/74587

OTL Extras - http://www.wklejto.pl/74588

Silent - http://www.wklejto.pl/74589

Hijack - http://www.wklejto.pl/74590

Co sugerujecie ?

Dzięki !


(77isabelle77) #10

odinstaluj winrara,ostatnio często jak naprawiam systemy komputerów pojawia się ten problem, , w32.dropper wyzbądź się - http://www.f-secure.com/pl_PL/security/ ... e-scanner/ wejdź ponownie w przywracanie systemu w zakładkach " mój komputer" ,pobierz Advenced System Care - http://www.dobreprogramy.pl/Advanced-Sy ... 12911.html przeskanuj 2 razy ,pokaż mi zrzut z zakładki w tym programie - " narzędzia admina- menager autostartu .


(Kafu7) #11

Witam,

dzięki za wskazówki.

Odinstalowałem winrara, przeczyściłem po tym dysk ccleanerem oraz naprawiłem wskazane przez ccleaner błędy w rejestrze.

Skaner on-line F-secure -> nie udało mi się przeskanować dysku, gdyż skaner się nie uruchomił. Po włączeniu skanera wyskoczył taki komunikat

http://zapodaj.net/8b84533c828f.bmp.html

Po kliknięciu Tak pokazał się taki komunikat

http://zapodaj.net/4f1e262e2378.bmp.html

jednak czekałem ok 15 min i nic się nie działo, w związku z tym wyłączyłem skaner. Próbowałem trzykrotnie, na różnych przeglądarkach (FF, IE, Chrome) i za każdym razem to samo.

Wyłączyłem i włączyłem przywracanie systemu.

Przeskanowałem komputer dwukrotnie programem Advanced System Care Pro. Znalzał sporo błędów, wszystko ponaprawiał. Podczas drugiego skanowania nie znalazł żadnych błędów czy innego syfu, w związku z czym nie miał co naprawiać.

Zrzut ekranu z zakładki o której wspominałeś:

http://zapodaj.net/ab4db9628a30.bmp.html

Następnie przeskanowałem gruntownie dysk programem Immunet Protect. Nic nie znalazł, zrzut ekranu:

http://zapodaj.net/bb2efa897643.bmp.html

Po tym wszystkim wygenerowałem logi:

OTL - http://www.wklejto.pl/74669

OTL Extras - http://www.wklejto.pl/74668

SIlent - http://www.wklejto.pl/74670

Hijack - http://www.wklejto.pl/74671

Co sugerujesz ?

P.S. Dzięki !


(77isabelle77) #12

co do zablokowanych skryptów na stronie - http://support.microsoft.com/kb/306831/pl ,podejrzewam problemy techniczne komputera - zasilacz,kondensatory


(Kafu7) #13

Chciałbym dopytać jeszcze o główny wątek tematu. Czy na podstawie przedstawionych logów i zrzutów ekranu, można stwierdzić że, dzięki Twojej pomocy, pozbyłem się syfu z komputera ? Czy potrzebne są jeszcze dalsze działania ?


(77isabelle77) #14

komputer jest jeszcze zainfekowany ale już nie w takim stopniu jak był.lecz tu proszę jeszcze kogoś innego o pomoc ,bo nie potrafię znaleźć rozwiązania, powiedz jeszcze jak się już komputer sprawuje,czy jest poprawa


(Kafu7) #15

Dziękuję za pomoc, przyłączam się do prośby o pomoc - proszę o rzucenie okiem na temat przez osobę, która będzie w stanie pomóc.

Dziś wieczorem bardzo dokładnie przyjrzę się pracy dysku.

Pozdrawiam

-- Dodane 17.08.2010 (Wt) 23:25 --

Witam,

trudno mi powiedzieć, czy dysk pracuje normalnie czy też nie. Obserwuje intensywność migania kontrolki od HDD na obudowie laptopa i co zauważam:

  • Przez dłuższe okresy czasu nic się nie dzieje, nawet po kilka minut

W związku z tym podejrzewam, że jakieś ustrojstwo nadal siedzi, bo nie wiem czym wytłumaczyć, że dysk pracuje sobie tak sam od siebie. Screen z użycia procesora

http://zapodaj.net/06a2d8a98c4e.jpg.html

Dodatkowo zauważyłem dziwną sprawę. Otóż, podczas przenoszenia ikonek na pulpicie są one podświetlone w sposób bardzo dziwny, jakby były przezroczyste. Nigdy czegoś takiego nie widziałem. Screen: http://zapodaj.net/060c6eb198cb.bmp.html

O co chodzi ?


(77isabelle77) #16

co do ikonek to szerze powiem że pierwszy raz w życiu zauważyłam to dzisiaj też u siebie -dotyczyło to microsoft office ,gdy próbowałam kliknąć wyskoczył szybko jakiś komunikat ,którego nie zdążyłam odczytać,jutro nad tym posiedzę ,w każdym bądź razie po jakimś czasie znikło mi to z pulpitu


(Kafu7) #17

Dziękuję za pomoc wszystkim, którzy wypowiadali się w tym wątku, szczególne słowa uznania należą się dla użytkowniczki mylastdream.

Niestety z racji tego, że nie wiedziałem co dalej robić i wątek pozostał niejako bez odpowiedzi, zdecydowałem się na formata całego dysku. Mam zainstalowany cały system od nowa, w związku z tym proszę Admina o zamknięcie tematu.