Найти зловредность

[aterentiev.livejournal.com]

На одной из машин под управлением Win XP (лицензия со всеми апдейтами) проявился странный глюк. Во внезапный момент времени кто-то начинает злобно есть свободное место на системном диске. Доевшись с изначально свободных 2 ГБ до примерно 100 мегабайт, а может и меньше, его "отпускает" и свободное место возвращается. Обычно никакого софта в это время не запущено и никого не залогинено (работаем только мы эпизодически и через RDP).

Мы бы и не заметили, если б не установленнай Symantec Endpoint Protection, орущий админским емайлом мне и коллегам, когда место начинает заканчиваться и у него health poor. И вот как раз эти емайлы и нервируют, ибо среди них можно пропустить на самом деле важный alert.

Происходит беда внезапно, 1-2 раза в сутки, в непонятные и ни к чему не привязанные моменты времени. Иногда даже ночью в выходные (машинка включена 24/7), в последние было 2 раза в субботу и 1 раз в воскресенье.

Известных вирусов не найдено.
Как найти зловреда? Сидеть и ждать перед компом с включенным таскменеджером просто нет времени и смысла... Спасибо!

Comments

В порядке бреда

[kraamis.livejournal.com]

Файл подкачки козлит?

Re: В порядке бреда

[aterentiev.livejournal.com]

хм... но кто-то ж должен спровоцировать сброс памяти на диск?
как минимум настройки подкачки гляну, спасибо за идею

Re: В порядке бреда

[kraamis.livejournal.com]

Антивирус может.

У меня каспер периодически начинает орать "Шеф, все пропало, гипс снимают, клиент уезжает".

Re: В порядке бреда

[aterentiev.livejournal.com]

то есть типа сам же Symantec место ест, потом видит, что его мало, орет и освобождает?
если будет так, то я буду долго ржать...

Re: В порядке бреда

[kraamis.livejournal.com]

Может быть. Или винда сама по себе тупит. Вариантов то масса.

[aterentiev.livejournal.com]

Профилактически перебросил подкачку на диск с большим количеством места. Посмотрим, поможет ли.

[dims12.livejournal.com]

А в Виндах вроде есть мониторинг, который по умолчанию отключён, но который позволяет записать, какие процессы запущены и кто жрёт ресурсы.

[aterentiev.livejournal.com]

если б можно его было запустить на ночь, а поутру глянуть и найти - цены б ему не было...

[dims12.livejournal.com]

Так можно же. Не помню, было ли это в ИксПи. Вроде было.

Вот: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/nt_command_perfmon.mspx?mfr=true

[aterentiev.livejournal.com]

почитаю на досуге...

[ikaktys.livejournal.com]

там не сложно, а так - первое средство, лучше не найдешь, оно отлично протокол пишет по 100500 параметрам которые сам можешь выбрать произвльно.

[vinitski.livejournal.com]

Уберите хром! :)

[aterentiev.livejournal.com]

хрома нет :)

[almoner.livejournal.com]

Может быть Win XP пытается перейти в режим гибернации, но из-за недостатка свободного места на диске не доводит дело до конца, ругается и возвращается в исходное состояние.

[mikser.livejournal.com]

Windows Update?

[aterentiev.livejournal.com]

Уж больно часто... Да и впрочем у этой машины есть вроде бы доступ к нету, пускай таскает...

[mikser.livejournal.com]

Ну если он раз в день ходит проверяет и скачивает, а потом раз в день устанавливает, то это чревато огромными тормозами, особенно установка.

[aterentiev.livejournal.com]

Завтра проверю - сообщу.

[karpion.livejournal.com]

Создание контрольной точки? Бэкап? Запуск ещё какой-то задачи по расписанию?

[aterentiev.livejournal.com]

Нет, планировщик пустой...
Да и затыки случаются уж больно нерегулярно. То есть, не прослеживается вообще никаких временных зависимостей.

[karpion.livejournal.com]

Тогда похоже на установку обновлений или типа того.

[lunohod.livejournal.com]

сильные сомнения по поводу того, что это вирус
хотя, скажу так - "известных вирусов не найдено" это по мнению самого Симантека?
проверьте чем нибудь еще... симантек далеко не идеален, и зачастую влегкую пропускает даже известную заразу... ну а с умением корректно лечить у него и вовсе беда
Я бы никогда не рекомендовал его для защиты сколь либо ценной информации... ненадежная шняга

[moxel.livejournal.com]

Поддержую отсутствие вируса. Еще не существует вируса, задачей которого было бы пожирание места на винчестере.

[lunohod.livejournal.com]

ну теоретически, как побочный эффект (например размножения самого себя), такое возможно
но все же обычно вирусы стараются себя проявлять как можно тише
Поэтому тут или что то с настройками системы, или какой то софт (да хоть тот же симантек) дурит

[moxel.livejournal.com]

Если бы было размножение самого себя, то почему он тогда себя один-два раза в день стирает? И в любом случае место какие-то куски файлов должны были оставаться. И какой должен быть размер у файла вируса, чтобы засрать своими копиями 2 гигабайта? Не, не вирус однозначно.
Я больше думаю на периодическую неудачную попытку гибернации виндов.

[lunohod.livejournal.com]

я бы скорее предположил, что дело в криво настроенном бэкапе с помощью какого то стороннего софта

[baikusha.livejournal.com]

Тут все такие грамотныепрофи, что даже и неловко мне, чайнику распоследнему, влезать с размышлениямисоветами. Но все-таки решусь: "У меня зверски жрал гигабайты агент мейл-ру, которым я вообще не пользуюсь, сам, паразитский гад, как-то пролез!"

[aterentiev.livejournal.com]

если у меня там агент мейлры - то я очень удивлюсь, ибо машина в рунете не была ни разу

пока что все сводится к "взбрыкиванию" подкачки, провожу опыты, сообщусь о результатах...