-
/1247620-2885312134_1e80bd8362_o.jpg)
Коррозия NTFS: эпидемия прямо
Теги:
Алдан-3
DSB> 1. Нет ли какого софта в конторе, который может портить логические структуры NTFS в результате своей некорректной работы?
chkdsk разве что
Я одно время грешил на FireFox, но потом и на машинах без него винты посыпались так же.
DSB> 2. Вирус.... что если взять такой HDD, форматнуть, поставить голую ОС и погонять на нём тесты без включения в LAN и прочих контактов с внешним миром. Если и на таком компе будет рецидив, то это точно не софтовое воздействие.
Эм... попробуем выделить машину.
DSB> 3. Не увольняли ли недавно со скандалом программеров? )
Нет, недавно не увольняли.
Принесли машину, возможный кандидат в "умруны", так же дохнет мышь и так же чекдиск постоянно гоняют.
Вот какая прелюбопытная картина в журнале событий:
Причём "тысячи их".
Ещё есть несколько про "внезапное отключение устройства", та же история с cd (ошибка при страничном обмене и внезапное отключение).
Зато про глюки "мыши" — ни слова.
chkdsk разве что
Я одно время грешил на FireFox, но потом и на машинах без него винты посыпались так же.
DSB> 2. Вирус.... что если взять такой HDD, форматнуть, поставить голую ОС и погонять на нём тесты без включения в LAN и прочих контактов с внешним миром. Если и на таком компе будет рецидив, то это точно не софтовое воздействие.
Эм... попробуем выделить машину.
DSB> 3. Не увольняли ли недавно со скандалом программеров? )
Нет, недавно не увольняли.
Принесли машину, возможный кандидат в "умруны", так же дохнет мышь и так же чекдиск постоянно гоняют.
Вот какая прелюбопытная картина в журнале событий:
Тип события: Предупреждение
Источник события: Disk
Категория события: Отсутствует
Код события: 51
Дата: 10.03.2009
Время: 12:15:43
Пользователь: Н/Д
Компьютер: [стёр]
Описание:
Обнаружена ошибка на устройстве \Device\Harddisk1\D во время выполнения операции страничного обмена.
Причём "тысячи их".
Ещё есть несколько про "внезапное отключение устройства", та же история с cd (ошибка при страничном обмене и внезапное отключение).
Зато про глюки "мыши" — ни слова.
Особенно его раздражало то, что его постоянно спрашивали, чем он так раздражен.
инфо
инструменты
Mishka
Это с питанием или наведённые чем-то. Температура на чипсете или диске тоже может вызывать такие проблемы. Продуть от пыли, проверить питание и перегрев. Ещё может быть битая память — у меня было один раз такое — прикупил память, а она оказалась битая. Вначале выражалось, как крэши и голубые экраны, потом, как на диске вылезло немного, стал проверять мемтестом — нашёл, что последние 64 мега от гига битые — как туда попадало, так и гремело.
Г-хм.
В деле вскрылись новые обстоятельства.
На "контрольную" машину поставили винт-умрун.
Прохлопали ушами и попыталась система стартовать с него (не запустилась, кстати, "Диск еррор" написала).
Перезапустили систему... а винтов BIOS не видит. Нету винтов и всё, только сидюк.
Решили, что нехватка электрической энергии, подкинули БП посильнее — нет винтов в системе!
Обнулили BIOS — винты появились.
Запускаем машину с "контрольного" винта и... упс.
Нет, она запускается и вроде работает, но в ней так-же "замораживается" мышка и так же проводник и браузер иногда запускается не в полный размер, а примерно в таком виде как на картинке. Явно будущий "умрун".
БитДефендер, КуреИт и Comodo ничего не видят, AVZ тоже.
Правда файрвол БитДефендера поймал запрос от lsass.exe на 213-155-154-50.customer.teliacarrier.com , причём утверждал что это его собственный апдейт (на самом деле БитДефендер апдейтится на нашем же корпоративном сервере и во внешке ему по хорошему делать нечего).
Есть у кого мудрые идеи ?
P.S> Наш админ настаивает на том что вирусов нет, а есть плохое схождение звёздных сфер и моя прогрессирующая паранойя
В деле вскрылись новые обстоятельства.
На "контрольную" машину поставили винт-умрун.
Прохлопали ушами и попыталась система стартовать с него (не запустилась, кстати, "Диск еррор" написала).
Перезапустили систему... а винтов BIOS не видит. Нету винтов и всё, только сидюк.
Решили, что нехватка электрической энергии, подкинули БП посильнее — нет винтов в системе!
Обнулили BIOS — винты появились.
Запускаем машину с "контрольного" винта и... упс.
Нет, она запускается и вроде работает, но в ней так-же "замораживается" мышка и так же проводник и браузер иногда запускается не в полный размер, а примерно в таком виде как на картинке. Явно будущий "умрун".
БитДефендер, КуреИт и Comodo ничего не видят, AVZ тоже.
Правда файрвол БитДефендера поймал запрос от lsass.exe на 213-155-154-50.customer.teliacarrier.com , причём утверждал что это его собственный апдейт (на самом деле БитДефендер апдейтится на нашем же корпоративном сервере и во внешке ему по хорошему делать нечего).
Есть у кого мудрые идеи ?
P.S> Наш админ настаивает на том что вирусов нет, а есть плохое схождение звёздных сфер и моя прогрессирующая паранойя
Прикреплённые файлы:
Особенно его раздражало то, что его постоянно спрашивали, чем он так раздражен.
P.S>> Наш админ настаивает на том что вирусов нет, а есть плохое схождение звёздных сфер и моя прогрессирующая паранойя
Выживает лишь параноик. Есть парочка вирусов которые я никак прищучить не могу. Drweb утверждает что все вылечил, Каспер их вообще не видит, а траблы имеются.
Выживает лишь параноик. Есть парочка вирусов которые я никак прищучить не могу. Drweb утверждает что все вылечил, Каспер их вообще не видит, а траблы имеются.
"Остановите Землю — я сойду" (С) Лесли Брикасс, Энтони Ньюли
Спокойный_Тип
можно предложить перешить биос мамке на свеже-скачанный
по железу (мамка, чипсет, биос) - компы разные?
ну и попробовать операционку гарантированно не поражаемую виндовым вирусом
лайв-сиди линуха взять и посмотреть, будут ли такие же эффекты
p.s. вообще похоже на что-то живущее в биосе, хз как но это единственная версия правдоподобная
p.s.s паранойя это профессиональное админское заболевание, хороший админ просто не может не быть параноиком
по железу (мамка, чипсет, биос) - компы разные?
ну и попробовать операционку гарантированно не поражаемую виндовым вирусом
лайв-сиди линуха взять и посмотреть, будут ли такие же эффекты
p.s. вообще похоже на что-то живущее в биосе, хз как но это единственная версия правдоподобная
p.s.s паранойя это профессиональное админское заболевание, хороший админ просто не может не быть параноиком
эволюционируй или вымри
Это сообщение редактировалось 17.04.2009 в 10:12
pokos
Алдан-3> Правда файрвол БитДефендера поймал запрос от lsass.exe на 213-155-154-50.customer.teliacarrier.com ,
Do not care. Big Brother is wathcing you.
Do not care. Big Brother is wathcing you.
Спокойный_Тип> p.s. вообще похоже на что-то живущее в биосе, хз как но это единственная версия правдоподобная
В БИОСЕ места хватит на многое. Просто молодежь в большинстве своем не знает как его готовить.
В БИОСЕ места хватит на многое. Просто молодежь в большинстве своем не знает как его готовить.
"Остановите Землю — я сойду" (С) Лесли Брикасс, Энтони Ньюли
Алдан-3> Г-хм.
Алдан-3> В деле вскрылись новые обстоятельства.
teliacarrier - это файловый хостинг для богатых. Например, там Adobe свои апдейты держит (а Microsoft предпочитает akamai). Скорее всего, это ложная версия.
Насчёт винтов - всё больше и больше похоже на MBR - вирус. Предлагаю на заведомо незаражённой машине сделать дискетку с DOS+MHDD, включить защиту от записи на этой дискете, загрузиться с неё на машине с зараженным диском и сделать в MHDD erase (предупреждаю: инфа, конечно, умрёт).
После чего попробовать поставить винду с DVD. И посмотреть, сохранятся ли симптомы.
Алдан-3> В деле вскрылись новые обстоятельства.
teliacarrier - это файловый хостинг для богатых. Например, там Adobe свои апдейты держит (а Microsoft предпочитает akamai). Скорее всего, это ложная версия.
Насчёт винтов - всё больше и больше похоже на MBR - вирус. Предлагаю на заведомо незаражённой машине сделать дискетку с DOS+MHDD, включить защиту от записи на этой дискете, загрузиться с неё на машине с зараженным диском и сделать в MHDD erase (предупреждаю: инфа, конечно, умрёт).
После чего попробовать поставить винду с DVD. И посмотреть, сохранятся ли симптомы.
... так пускай наступает на нас холодным рассветом новый день ...
Главное, на машине с заразой не забыть потом биос перепрошить. Кстати, а у мамок нет функции защиты биоса?
Но вы там держитесь!
Alexandrc> Главное, на машине с заразой не забыть потом биос перепрошить. Кстати, а у мамок нет функции защиты биоса?
Есть, ЕМНИП. Wirus warning
Есть, ЕМНИП. Wirus warning
"Остановите Землю — я сойду" (С) Лесли Брикасс, Энтони Ньюли
Alexandrc>> Главное, на машине с заразой не забыть потом биос перепрошить. Кстати, а у мамок нет функции защиты биоса?
Jerard> Есть, ЕМНИП. Wirus warning
Virus Warning, ИМХО, это защита 0-й дорожки. А в многих БИОСах можно загрузиться с первичной прошивки, которую нельзя изменить.
Jerard> Есть, ЕМНИП. Wirus warning
Virus Warning, ИМХО, это защита 0-й дорожки. А в многих БИОСах можно загрузиться с первичной прошивки, которую нельзя изменить.
Алдан-3> Обнулили BIOS — винты появились.
Алдан-3> Запускаем машину с "контрольного" винта и... упс.
Алдан-3> Нет, она запускается и вроде работает, но в ней так-же "замораживается" мышка и так же проводник и браузер иногда запускается не в полный размер, а примерно в таком виде как на картинке. Явно будущий "умрун".
У меня на моей нынешней машинке последовательно умерли 3 SATA диска.
Два раза я сдал винт и получил замену, третий раз купил в интернете и было лень сдавать. Вернее, получается, 4 диска. Первый, с которым куплено было, проработал месяца два и сдох внезапно - как ты описываешь, сначала ни с того ни с сего начала машина "застывать", потом все чаще, потом перестала загружаться. Последующие винты умирали уже с периодичностью от 2-3 дней до недели. Потом я поставил ATA диск (как он там сейчас называется , Ultra ATA?) - проблемы исчезли и более не появлялись больше года уже.
Алдан-3> Запускаем машину с "контрольного" винта и... упс.
Алдан-3> Нет, она запускается и вроде работает, но в ней так-же "замораживается" мышка и так же проводник и браузер иногда запускается не в полный размер, а примерно в таком виде как на картинке. Явно будущий "умрун".
У меня на моей нынешней машинке последовательно умерли 3 SATA диска.
Два раза я сдал винт и получил замену, третий раз купил в интернете и было лень сдавать. Вернее, получается, 4 диска. Первый, с которым куплено было, проработал месяца два и сдох внезапно - как ты описываешь, сначала ни с того ни с сего начала машина "застывать", потом все чаще, потом перестала загружаться. Последующие винты умирали уже с периодичностью от 2-3 дней до недели. Потом я поставил ATA диск (как он там сейчас называется , Ultra ATA?) - проблемы исчезли и более не появлялись больше года уже.
Bredonosec
Сергей-4030> Потом я поставил ATA диск (как он там сейчас называется , Ultra ATA?) - проблемы исчезли и более не появлялись больше года уже.
Parallel ATA vs Serial ATA ^)
наводит на мысли о глючащем сата контроллере или глючных сата дровах...
Parallel ATA vs Serial ATA ^)
наводит на мысли о глючащем сата контроллере или глючных сата дровах...
Voeneuch, учи физику, манажор ))
Алдан-3> Несколько Seagate, один IBM и один подключаемый через USB носимый винчестер неизвестной национальности.
я тут на днях наткнулся на новость. часть симптомов (пропажа в bios) похожа на твои
Ширится скандал вокруг дефектных винчестеров Seagate. [показать]
я тут на днях наткнулся на новость. часть симптомов (пропажа в bios) похожа на твои
Ширится скандал вокруг дефектных винчестеров Seagate. [показать]
Bredonosec> Parallel ATA vs Serial ATA ^)
Bredonosec> наводит на мысли о глючащем сата контроллере или глючных сата дровах...
А дрова тут при чём? Умер хард физически, а не поплыла ФС.
К слову, если зайти в раздел линя на Базе нашей, то можно увидеть, что у меня один из Seagate SATA начал плохо вести, а второй жил нормально. Думал, что помрёт. Проблема оказалась в том, что диски стояли в disk bay-е очень плотно — не охлаждались как надо (хотя температура на мониторах была в пределах). И винт у меня серверный с очередями команд. Как только разнёс винты так, чтобы рядом не стояли, так все глюки сразу прекратились. Поэтому, я сейчас у жены, у дочки и у себя поставил винты так, чтобы вокруг было достаточно пустого пространства — не менее двух пальцев.
Bredonosec> наводит на мысли о глючащем сата контроллере или глючных сата дровах...
А дрова тут при чём? Умер хард физически, а не поплыла ФС.
К слову, если зайти в раздел линя на Базе нашей, то можно увидеть, что у меня один из Seagate SATA начал плохо вести, а второй жил нормально. Думал, что помрёт. Проблема оказалась в том, что диски стояли в disk bay-е очень плотно — не охлаждались как надо (хотя температура на мониторах была в пределах). И винт у меня серверный с очередями команд. Как только разнёс винты так, чтобы рядом не стояли, так все глюки сразу прекратились. Поэтому, я сейчас у жены, у дочки и у себя поставил винты так, чтобы вокруг было достаточно пустого пространства — не менее двух пальцев.
Mishka> К слову, если зайти в раздел линя на Базе нашей, то можно увидеть, что у меня один из Seagate SATA начал плохо вести, а второй жил нормально.
"Начал плохо вести" - реаллокированные сектора стали появляться?
"Начал плохо вести" - реаллокированные сектора стали появляться?
Broken Windows® cures my ills and makes me feel alright... ©
Kernel3> "Начал плохо вести" - реаллокированные сектора стали появляться?
Нет, стал теряться. Линь вдруг говорит, диск не доступен более. Там было по 2-3 мм между дисками. И они равномерно прогревались. И электроника, и сами диски. Я думаю, что пределов компенсации на тепловое воздействие не хватало и он терял сервоповерхность или что-то в этом роде. Т.е. диск с точки зрения ОС даже не был форматирован на нижнем уровне.
Нет, стал теряться. Линь вдруг говорит, диск не доступен более. Там было по 2-3 мм между дисками. И они равномерно прогревались. И электроника, и сами диски. Я думаю, что пределов компенсации на тепловое воздействие не хватало и он терял сервоповерхность или что-то в этом роде. Т.е. диск с точки зрения ОС даже не был форматирован на нижнем уровне.
Bredonosec>> Parallel ATA vs Serial ATA ^)
Bredonosec>> наводит на мысли о глючащем сата контроллере или глючных сата дровах...
Mishka> А дрова тут при чём? Умер хард физически, а не поплыла ФС.
к тому, что до установки сата дров точно также мой ноут винта своего не видел. И прочие компы с сата, что с нуля ставил, изначально винтов не видели вообще. Типа нет их и всё тут.
Bredonosec>> наводит на мысли о глючащем сата контроллере или глючных сата дровах...
Mishka> А дрова тут при чём? Умер хард физически, а не поплыла ФС.
к тому, что до установки сата дров точно также мой ноут винта своего не видел. И прочие компы с сата, что с нуля ставил, изначально винтов не видели вообще. Типа нет их и всё тут.
Voeneuch, учи физику, манажор ))
Bredonosec> к тому, что до установки сата дров точно также мой ноут винта своего не видел. И прочие компы с сата, что с нуля ставил, изначально винтов не видели вообще. Типа нет их и всё тут.
Какие-то у тебя загадки. У Алдана диски исчезли из БИОС-а. У Сергея они умерли физически? Какие драйвера тут?
Какие-то у тебя загадки. У Алдана диски исчезли из БИОС-а. У Сергея они умерли физически? Какие драйвера тут?
"Примерно" одинаковые винты для серверов и для десктопов (SCSI и SATA) (один объем, интерфейс, частота вращения, кэш и т.д, последующее вскрытие особой разницы не выявило). Серверный дороже в 3-4 раза. Установленные вместо серверного "дешевые" десктопные дохнут с завидной регулярностью. На SATA с момента замены сдох уже 3-й десктоп (3 старых винта еще работают...).
Andrey_Kr
Алдан-3> Вот какая прелюбопытная картина в журнале событий:
>Обнаружена ошибка на устройстве \Device\Harddisk1\D во время выполнения операции страничного обмена.
Очень интересно. Может новый руткит. Скачайте и запустите на подозрительном компе это: http://www2.gmer.net/mbr/mbr.exe
В случае, если есть зверь, должно получиться примерно следующее:
Подробности здесь: Stealth MBR rootkit
>Обнаружена ошибка на устройстве \Device\Harddisk1\D во время выполнения операции страничного обмена.
Очень интересно. Может новый руткит. Скачайте и запустите на подозрительном компе это: http://www2.gmer.net/mbr/mbr.exe
В случае, если есть зверь, должно получиться примерно следующее:
code text
- <div style="background-color: #d8d8d8;">
- <pre style="font-size: 11px;">GMER 1.0.15.14966 - http://www.gmer.net
- Rootkit scan 2009-04-05 17:37:42
- Windows 5.1.2600 Service Pack 1
- ---- Devices - GMER 1.0.15 ----
- Device \Driver\atapi \Device\Ide\IdePort0 813A9560
- Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 813A9560
- Device \Driver\atapi \Device\Ide\IdePort1 813A9560
- Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 813A9560
- ---- Threads - GMER 1.0.15 ----
- Thread System [4:1672] 813DA300
- Thread System [4:1676] 813C69F6
- Thread System [4:1692] 813F8387
- Thread System [4:1700] 813C9971
- Thread System [4:1080] 813DA300
- Thread System [4:1084] 813C69F6
- Thread System [4:1016] 813F8387
- Thread System [4:1108] 813C9971
- ---- EOF - GMER 1.0.15 ----
- </pre>
- </div>
- <div style="background-color: #d8d8d8;">
- <pre style="font-size: 11px;">Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.3 by Gmer, http://www.gmer.net
- device: opened successfully
- user: MBR read successfully
- kernel: MBR read successfully
- detected MBR rootkit hooks:
- \Driver\atapi -> 0x8596f560
- \Device\Harddisk0\DR0 -> ParseProcedure -> 0x859762f0
- NDIS: Intel(R) 82566DM-2 Gigabit Network Connection -> SendCompleteHandler -> 0x859a4110
- Warning: possible MBR rootkit infection !
- copy of MBR has been found in sector 0x0100A757
- malicious code @ sector 0x0100A75A !
- PE file found in sector at 0x0100A770 !
- MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
- </pre>
- </div>
Подробности здесь: Stealth MBR rootkit
Andrey_Kr> Подробности здесь: Stealth MBR rootkit
Ага, вот ты какой... (с) Ну что ж, следующий логичный шаг - хучить не только Disk.sys, но и ClassPnP.sys 
ЗЫ точнее, не хучить, а сплайсить
Ага, вот ты какой... (с)
Ну что ж, следующий логичный шаг - хучить не только Disk.sys, но и ClassPnP.sys ЗЫ точнее, не хучить, а сплайсить
Broken Windows® cures my ills and makes me feel alright... ©
Это сообщение редактировалось 24.04.2009 в 14:53
Copyright © Balancer 1997..2018
Создано 30.03.2009
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
Создано 30.03.2009
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
