Skocz do zawartości
Zakładanie tematu: pomocne raporty i informacje
Nadchodzące zmiany w logowaniu

mielenie dyskiem

leasz

Przez leasz
w Windows XP

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Autor tematu "boi" się podać logi jawnie, więc jestem zmuszona cytować logi "z powietrza", bo jak w inny sposób mam odpowiedzieć publicznie. ;) Mielenie dysku zwłaszcza notowalne przy korzystaniu z przeglądarki, toteż:

 

1. Po pierwsze, plik HOSTS przetwarza kilkanaście tysięcy wpisów (!):

 

O1 HOSTS File: ([2011-07-15 11:09:27 | 000,435,272 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\HOSTS
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	pretty-tools.com
O1 - Hosts: 127.0.0.1	webslideshow.pretty-tools.com
O1 - Hosts: 127.0.0.1       applian.securesites.com
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 15000 more lines...

To zażyna usługę Klienta DNS. Pochodna modyfikacji: Spybot. Zresetuj plik do poziomu domyślnego narzędziem Fix-it z KB972034. A Spybot - Search & Destroy polecam odinstalować, to archaiczny program, mało przydatny w aktualnych warunkach, a jego rolę pełnią już nowoczesne antywirusy.

 

2. Po drugie, jeśli powyższe nie będzie mieć skutków dla problemu, sprawdzanie ESET (zwłaszcza - czy on przypadkiem nie nabija szczególnych plików TMP?) i Outpost nadal aktualne. Testy stopniowane: wyłączenie wszystkich osłon rezydentnych + restart, testowa deinstalacja (tylko to jest jedyną pełną drogą na odładowanie wszystkich aktywności takiego rodzaju aplikacji).

 

3. Ilość wolnego miejsca na dysku systemowym nie poraża:

 

Drive C: | 15,19 Gb Total Space | 1,32 Gb Free Space | 8,69% Space Free | Partition Type: NTFS

Jeśli ten skrawek jest w stanie pofragmentowanym, możliwa silna aktywność męczącego się dysku.

 

4. Jeśli nic nie pomoże, przyjrzyj się jakie operacje chodzą w tle posługując się narzędziem Process Monitor. na tej podstawie można wytypować proces, który coś silnie przetwarza.

 

 

 

PS. Dodatkowa uwaga, to chyba jakiś XP kastrat, sztucznie modyfikowany. Są braki w usługach systemowych:

 

SRV - File not found [Disabled | Stopped] --  -- (WmdmPmSp)
SRV - File not found [Disabled | Stopped] --  -- (uploadmgr)
SRV - File not found [Disabled | Stopped] --  -- (SCardDrv)
SRV - File not found [On_Demand | Stopped] --  -- (RpcLocator) Lokalizator usługi zdalnego wywołania procedury (RPC)
SRV - File not found [Disabled | Stopped] --  -- (NtLmSsp)
SRV - File not found [Disabled | Stopped] --  -- (LanmanWorkStation)
SRV - File not found [Disabled | Stopped] --  -- (LanmanServer)
SRV - File not found [Disabled | Stopped] --  -- (Alerter)

 

 

 

.

Odnośnik do komentarza
leasz

leasz

Opublikowano
  • Autor
Opublikowano

1. Zrobione. Trzymałem go, aby dodawał wpisy do hosts, ff i opery. "Klienta dns" wyłączyłem jakiś czas temu, bo po starcie kompa wariował. Teraz nic nie ma w drivers\etc\, skasowałem stare kopie. ;)

 

2. Jak szukać tych tempów, przez szukajkę?

 

3. Generalnie plik wymiany jest na d, na c przeważnie jest ponad 2,5GB-3GB. Chyba wczoraj przestawiłem na c, aby sprawdzić czy to coś da. Defragmentuję dysk jak mi się przypomni, średnio raz w miesiącu (defraggler). ;)

 

4. "[...] na tej podstawie można wytypować proces, który coś silnie przetwarza"-chodzi o silne obciążenie procesora? Czasami było, że dysk chodził na pełnych obrotach, a menadżer zadań pokazywał użycie procesora na 20-30%.

 

PS. Instalka potraktowana nlitem, potem Twój poradnik o usługach (genialny), drtweakxp, xp-antispy, safexp i jakieś inne tweakery. Zrobić coś z tym "SRV - File not found*"?

 

Dodane: wyedytowałem plik, gdy Picasso pisała odpowiedź

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
1. Zrobione. Trzymałem go, aby dodawał wpisy do hosts, ff i opery. Klienta dns wyłączyłem jakiś czas temu, bo po starcie kompa wariował.

 

A to konflikt z Klientem wykluczony, skoro wyłączony. Skoro HOSTS wyzerowany, przywróć Klienta na domyślny status.

 

 

2. Jak szukać tych tempów przez szukajkę?

 

Mam na myśli, że ESET w niejasnych dla mnie okolicznościach może tworzyć kuriozalne obiekty w rodzaju C:\Windows\HTT*.TMP (przykład). Tego typu aktywność może być powiązana z silnym zapisem na dysku, a przy słabym procencie wolnego to tym gorzej. Poza tym, sprawdź ESET i Outpost dokładnie pod kątem aktywności rezydentów. To jednak silne oprogramowanie i objawy mogą być pochodną tego.

 

 

3. Generalnie plik wymiany jest na d, na c przeważnie jest ponad 2,5GB-3GB. Chyba wczoraj przestawiłem na c, aby sprawdzić czy to coś da.

 

vs.

 

Drive C: | 15,19 Gb Total Space | 1,32 Gb Free Space | 8,69% Space Free | Partition Type: NTFS
Drive D: | 21,49 Gb Total Space | 6,71 Gb Free Space | 31,21% Space Free | Partition Type: NTFS

D to osobny dysk fizyczny (po proporcjach partycji nie wygląda na to)? Jeśli nie, nie ma sensu przemieszczać z C na D, a wręcz działanie negatywne (KLIK i ustęp Should the file be left on Drive C:?).

 

 

4. "[...] na tej podstawie można wytypować proces, który coś silnie przetwarza"-chodzi o silne obciążenie procesora?

 

Nie. Uruchom program to zobaczysz co on pokazuje. Mam na myśli: szukać silnych aktywności odczytu bądź zapisu określonego procesu. Fakt, to co pokazuje program jest porażające, ale ProcMon ma dobry system filtrowania i możesz np ustawić na pokazywanie tylko procesów Opera i ESET oglądając co one robią i gdzie sięgają na dysk.

 

 

Zrobić coś z tym "SRV - File not found*"?

 

Nie ma potrzeby. W 99% są "Disabled". Tak tylko zaznaczałam, że widzę modyfikowany Windows i interesowało mnie jak bardzo celowe / świadome to działanie.

 

 

 

.

Odnośnik do komentarza
leasz

leasz

Opublikowano
  • Autor
Opublikowano (edytowane) 

13:33:26,4186085	ekrn.exe	1044	IRP_MJ_CREATE	C:\WINDOWS\system32\usp10.dll	SUCCESS	Desired Access: Read Attributes, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: N, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: PL\moiz78, OpenResult: Opened
13:33:26,4192639	ekrn.exe	1044	IRP_MJ_QUERY_VOLUME_INFORMATION	C:\WINDOWS\system32\usp10.dll	BUFFER OVERFLOW	Type: QueryInformationVolume, VolumeCreationTime: 2009-10-05 22:53:15, VolumeSerialNumber: E83F-70AA, SupportsObjects: True, VolumeLabel: sysŁ±
13:33:26,4198617	ekrn.exe	1044	IRP_MJ_QUERY_INFORMATION	C:\WINDOWS\system32\usp10.dll	SUCCESS	Type: QueryFileInternalInformationFile, IndexNumber: 0x170000000049b6
13:33:26,4204540	ekrn.exe	1044	FASTIO_QUERY_INFORMATION	C:\WINDOWS\system32\usp10.dll	SUCCESS	Type: QueryBasicInformationFile, CreationTime: 2008-04-14 21:50:58, LastAccessTime: 2011-10-30 13:20:03, LastWriteTime: 2010-04-16 16:38:53, ChangeTime: 2010-09-15 05:13:18, FileAttributes: ANCI
13:33:26,4210521	ekrn.exe	1044	FASTIO_QUERY_INFORMATION	C:\WINDOWS\system32\usp10.dll	SUCCESS	Type: QueryStandardInformationFile, AllocationSize: 409 600, EndOfFile: 406 016, NumberOfLinks: 1, DeletePending: False, Directory: False
13:33:26,4217846	ekrn.exe	1044	IRP_MJ_CLEANUP	C:\WINDOWS\system32\usp10.dll	SUCCESS	
13:33:26,4219235	ekrn.exe	1044	IRP_MJ_CLOSE	C:\WINDOWS\system32\usp10.dll	SUCCESS	
13:33:26,4226490	ekrn.exe	1044	IRP_MJ_CREATE	C:\WINDOWS\system32\usp10.dll	SUCCESS	Desired Access: Generic Read, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: N, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: PL\moiz78, OpenResult: Opened
13:33:26,4234547	ekrn.exe	1044	FASTIO_QUERY_INFORMATION	C:\WINDOWS\system32\usp10.dll	SUCCESS	Type: QueryStandardInformationFile, AllocationSize: 409 600, EndOfFile: 406 016, NumberOfLinks: 1, DeletePending: False, Directory: False
13:33:26,4240662	ekrn.exe	1044	IRP_MJ_READ	C:\WINDOWS\system32\usp10.dll	SUCCESS	Offset: 0, Length: 4 096
13:33:26,4249878	ekrn.exe	1044	FASTIO_READ	C:\WINDOWS\system32\usp10.dll	SUCCESS	Offset: 276 736, Length: 1 029
13:33:26,4250023	ekrn.exe	1044	FASTIO_CHECK_IF_POSSIBLE	C:\WINDOWS\system32\usp10.dll	SUCCESS	Operation: Read, Offset: 276 736, Length: 1 029
13:33:26,4250264	ekrn.exe	1044	IRP_MJ_READ	C:\WINDOWS\system32\usp10.dll	SUCCESS	Offset: 274 432, Length: 4 096, I/O Flags: Non-cached, Paging I/O, Synchronous Paging I/O
13:33:26,4520778	ekrn.exe	1044	FASTIO_READ	C:\WINDOWS\system32\usp10.dll	SUCCESS	Offset: 118 784, Length: 6 656
13:33:26,4520926	ekrn.exe	1044	FASTIO_CHECK_IF_POSSIBLE	C:\WINDOWS\system32\usp10.dll	SUCCESS	Operation: Read, Offset: 118 784, Length: 6 656
13:33:26,4521150	ekrn.exe	1044	IRP_MJ_READ	C:\WINDOWS\system32\usp10.dll	SUCCESS	Offset: 118 784, Length: 8 192, I/O Flags: Non-cached, Paging I/O, Synchronous Paging I/O
13:33:26,4644487	ekrn.exe	1044	IRP_MJ_CLEANUP	C:\WINDOWS\system32\usp10.dll	SUCCESS	
13:33:26,4711783	ekrn.exe	1044	IRP_MJ_CREATE	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Desired Access: Read Attributes, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: N, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: PL\moiz78, OpenResult: Opened
13:33:26,4719231	ekrn.exe	1044	IRP_MJ_QUERY_VOLUME_INFORMATION	C:\WINDOWS\system32\hhctrl.ocx	BUFFER OVERFLOW	Type: QueryInformationVolume, VolumeCreationTime: 2009-10-05 22:53:15, VolumeSerialNumber: E83F-70AA, SupportsObjects: True, VolumeLabel: sysŁ±
13:33:26,4725332	ekrn.exe	1044	IRP_MJ_QUERY_INFORMATION	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Type: QueryFileInternalInformationFile, IndexNumber: 0x100000000089c
13:33:26,4731590	ekrn.exe	1044	FASTIO_QUERY_INFORMATION	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Type: QueryBasicInformationFile, CreationTime: 2008-04-14 21:35:48, LastAccessTime: 2011-10-30 11:47:54, LastWriteTime: 2008-04-14 21:35:48, ChangeTime: 2010-05-06 18:48:39, FileAttributes: ANCI
13:33:26,4737507	ekrn.exe	1044	FASTIO_QUERY_INFORMATION	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Type: QueryStandardInformationFile, AllocationSize: 548 864, EndOfFile: 545 280, NumberOfLinks: 1, DeletePending: False, Directory: False
13:33:26,4743497	ekrn.exe	1044	IRP_MJ_CLEANUP	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	
13:33:26,4744854	ekrn.exe	1044	IRP_MJ_CLOSE	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	
13:33:26,4752925	ekrn.exe	1044	IRP_MJ_CREATE	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Desired Access: Generic Read, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: N, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: PL\moiz78, OpenResult: Opened
13:33:26,4762312	ekrn.exe	1044	FASTIO_QUERY_INFORMATION	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Type: QueryStandardInformationFile, AllocationSize: 548 864, EndOfFile: 545 280, NumberOfLinks: 1, DeletePending: False, Directory: False
13:33:26,4768427	ekrn.exe	1044	IRP_MJ_READ	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Offset: 0, Length: 4 096
13:33:26,4778007	ekrn.exe	1044	FASTIO_READ	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Offset: 432 768, Length: 310
13:33:26,4778163	ekrn.exe	1044	FASTIO_CHECK_IF_POSSIBLE	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Operation: Read, Offset: 432 768, Length: 310
13:33:26,4778403	ekrn.exe	1044	IRP_MJ_READ	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Offset: 430 080, Length: 4 096, I/O Flags: Non-cached, Paging I/O, Synchronous Paging I/O
13:33:26,4824918	ekrn.exe	1044	FASTIO_READ	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Offset: 399 872, Length: 6 656
13:33:26,4825041	ekrn.exe	1044	FASTIO_CHECK_IF_POSSIBLE	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Operation: Read, Offset: 399 872, Length: 6 656
13:33:26,4825203	ekrn.exe	1044	IRP_MJ_READ	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Offset: 397 312, Length: 12 288, I/O Flags: Non-cached, Paging I/O, Synchronous Paging I/O
13:33:26,4933968	ekrn.exe	1044	FASTIO_READ	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Offset: 4 096, Length: 5 120
13:33:26,4934119	ekrn.exe	1044	FASTIO_CHECK_IF_POSSIBLE	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Operation: Read, Offset: 4 096, Length: 5 120
13:33:26,4952582	ekrn.exe	1044	FASTIO_READ	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Offset: 423 668, Length: 5 120
13:33:26,4952713	ekrn.exe	1044	FASTIO_CHECK_IF_POSSIBLE	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Operation: Read, Offset: 423 668, Length: 5 120
13:33:26,4952942	ekrn.exe	1044	IRP_MJ_READ	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Offset: 421 888, Length: 8 192, I/O Flags: Non-cached, Paging I/O, Synchronous Paging I/O
13:33:26,4962759	ekrn.exe	1044	FASTIO_READ	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Offset: 428 788, Length: 4 364
13:33:26,4962874	ekrn.exe	1044	FASTIO_CHECK_IF_POSSIBLE	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	Operation: Read, Offset: 428 788, Length: 4 364
13:33:26,4970975	ekrn.exe	1044	IRP_MJ_CLEANUP	C:\WINDOWS\system32\hhctrl.ocx	SUCCESS	
13:33:26,5096041	ekrn.exe	1044	IRP_MJ_CREATE	C:\WINDOWS\system32\mui\0015\hhctrlui.dll	SUCCESS	Desired Access: Read Attributes, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: N, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: PL\moiz78, OpenResult: Opened
13:33:26,5111270	ekrn.exe	1044	IRP_MJ_QUERY_VOLUME_INFORMATION	C:\WINDOWS\system32\mui\0015\hhctrlui.dll	BUFFER OVERFLOW	Type: QueryInformationVolume, VolumeCreationTime: 2009-10-05 22:53:15, VolumeSerialNumber: E83F-70AA, SupportsObjects: True, VolumeLabel: sysŁ±
13:33:26,5124805	ekrn.exe	1044	IRP_MJ_QUERY_INFORMATION	C:\WINDOWS\system32\mui\0015\hhctrlui.dll	SUCCESS	Type: QueryFileInternalInformationFile, IndexNumber: 0x10000000001f3
13:33:26,5140234	ekrn.exe	1044	FASTIO_QUERY_INFORMATION	C:\WINDOWS\system32\mui\0015\hhctrlui.dll	SUCCESS	Type: QueryBasicInformationFile, CreationTime: 2001-10-26 18:28:00, LastAccessTime: 2011-10-30 11:47:54, LastWriteTime: 2001-10-26 18:28:00, ChangeTime: 2010-05-06 18:48:57, FileAttributes: ANCI
13:33:26,5162198	ekrn.exe	1044	FASTIO_QUERY_INFORMATION	C:\WINDOWS\system32\mui\0015\hhctrlui.dll	SUCCESS	Type: QueryStandardInformationFile, AllocationSize: 90 112, EndOfFile: 89 088, NumberOfLinks: 1, DeletePending: False, Directory: False
13:33:26,5177203	ekrn.exe	1044	IRP_MJ_CLEANUP	C:\WINDOWS\system32\mui\0015\hhctrlui.dll	SUCCESS	
13:33:26,5179214	ekrn.exe	1044	IRP_MJ_CLOSE	C:\WINDOWS\system32\mui\0015\hhctrlui.dll	SUCCESS	
13:33:26,5194277	ekrn.exe	1044	IRP_MJ_CREATE	C:\WINDOWS\system32\mui\0015\hhctrlui.dll	SUCCESS	Desired Access: Generic Read, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: N, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: PL\moiz78, OpenResult: Opened
13:33:26,5210503	ekrn.exe	1044	FASTIO_QUERY_INFORMATION	C:\WINDOWS\system32\mui\0015\hhctrlui.dll	SUCCESS	Type: QueryStandardInformationFile, AllocationSize: 90 112, EndOfFile: 89 088, NumberOfLinks: 1, DeletePending: False, Directory: False
13:33:26,5225259	ekrn.exe	1044	IRP_MJ_READ	C:\WINDOWS\system32\mui\0015\hhctrlui.dll	SUCCESS	Offset: 0, Length: 4 096
13:33:26,5303224	ekrn.exe	1044	IRP_MJ_CLEANUP	C:\WINDOWS\system32\mui\0015\hhctrlui.dll	SUCCESS

 

Jakie filtry można zastosować na noda i operę? W operze wyłączyłem katalog profilu (cache jest w innym miejscu) i katalog w którym jest opera, można coś jeszcze?

Edytowane przez picasso
12.12.2011 - Temat zostaje zamknięty. Wygasła jego żywotność ustalona zasadami. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...