Взбесившийся процесс System...

[dr.rock]

Вообщем проблема следующая. Периодически процесс System начинает использовать HDD на 100% - все время что-то записывает (стоят 2 HDD подключенные через SATA2, записывает все время на тот на котором стоит система, при этом проц он не грузит..), соответственно все что запущено остальное начинает тормозить жутко. Чаще всего он начинает это делать сразу после включения, может через 10 минут перестать, а может и 2 дня что-то записывать...
Стандартные стедства типа отключения автодефрагментации, индексирования, проведения дефрагментации, и проверки антивирусом результата не дали..
Что делать? Самое сложное в том что это может неделю никак не проявляться, а может каждый день доставать...

p.s. система - windows 7 x64

[Kingerr]

вирус
проверка утилитами, сканерами...

[rupreht]

ТС, ты-ботнет!
*все хлопают в ладоши*

[dr.rock]

ТС, ты-ботнет!
*все хлопают в ладоши*

У меня тоже сложилось такое впечатление. Просканировал NOD32 с поледними обновлениями - ничего не нашел. Чем еще стоит просканировать? Касперский???

[iod]

У меня тоже сложилось такое впечатление. Просканировал NOD32 с поледними обновлениями - ничего не нашел. Чем еще стоит просканировать? Касперский???

DrWeb CurIt
Kaspersky Virus Removal Tool

[KeeperDimon]

ТС, добавочка, проверять вышеназванными утилитами лучше загрузившись CD или флешки, чтобы зараза не была активной в этот момент. Иначе может не найти самого главного злодея.

[dr.rock]

Проверил вышеназванным касперским оба HDD, не нашел ничего

ТС, добавочка, проверять вышеназванными утилитами лучше загрузившись CD или флешки, чтобы зараза не была активной в этот момент. Иначе может не найти самого главного злодея.

Можно поподробнее насчет загрузки с флешки или CD?? ))
Кстати, в безопасном режиме наблюдается та же активность (((

[iod]

Можно поподробнее насчет загрузки с флешки или CD?? ))

Делается загрузочный CD диск с антивирусом. Подробней...

[Дмитрий В]

Может беды или диск подыхает...

[shmargen]

так и не указал какой антивирус стоит
если стоит дрвеб в момент скана /распаковки или большой пусть даже PDF в фоне он ведет себя так
гляньте статистику в момент нагрузки в потолок.
притом бывают неудачные избавления от дрвеб но он висит в процессах сервисах
требуется ремовер. Это я к тому что ты даже если ответишь что дрвеб не стоит а он может незаметно стоять для тебя

[dr.rock]

так и не указал какой антивирус стоит
если стоит дрвеб в момент скана /распаковки или большой пусть даже PDF в фоне он ведет себя так
гляньте статистику в момент нагрузки в потолок.
притом бывают неудачные избавления от дрвеб но он висит в процессах сервисах
требуется ремовер. Это я к тому что ты даже если ответишь что дрвеб не стоит а он может незаметно стоять для тебя

ДрВеб никогда не стоял. Ведет себя так просто в idle компа. Просто включаю комп, запускается все из автозапуска, и после этого он начинает так себя вести... Смотрел на статистику, не зависит ни от чего другого запущенного... Сегодня еще проверю с помощью DrWeb CurIt. Если ничего не найдет, то может действительно бады?? Диску уже больше 5 лет, Maxtor на 200гб...

[iMo]

похоже придётся систему переустанавливать.

[Kingerr]

похоже придётся систему переустанавливать.

95%.. лечение этой гадости долгое и не всегда успешное, вирусяка меняет имена и место жизни.. сталкивался((

[dr.rock]

похоже придётся систему переустанавливать.

Не хотелось бы... Только месяц назад переставлял... Где можно было его подхватить? По стремным сайтам не лазию, аттачменты подозрительные не открываю... Кстати, я слышал есть программы которые позволяют посмотреть состояние HDD? может действительно жесткому приходит конец??

[shmargen]

давай сюда лог от _http://ru.wikipedia.org/wiki/HijackThis

любопытно стало

[maxx™]

Если это семерка - посмотри в ресурс-мониторе кто что на диск пишет.

[dr.rock]

Если это семерка - посмотри в ресурс-мониторе кто что на диск пишет.

см 1й пост. В ресурс-мониторе пишется что это процесс System.

[maxx™]

см 1й пост. В ресурс-мониторе пишется что это процесс System.

Так что он конкретно делает с диском?

[dr.rock]

давай сюда лог от _http://ru.wikipedia.org/wiki/HijackThis

любопытно стало

Код:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:46:12, on 23.08.2010
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\vsnpstd3.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Program Files (x86)\uTorrent\uTorrent.exe
C:\Users\Igor\AppData\Local\Google\Update\1.2.183.29\GoogleCrashHandler.exe
C:\Program Files (x86)\Last.fm\LastFM.exe
C:\Program Files (x86)\ABBYY Lingvo 12\LvAgent.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\iTunes\iTunes.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceHelper.exe
C:\Program Files (x86)\Common Files\Apple\Apple Application Support\distnoted.exe
C:\Users\Igor\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Igor\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Igor\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Igor\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Download Master\dmaster.exe
C:\Users\Igor\Downloads\Программы\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office12\GR469A~1.DLL
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~2\DOWNLO~1\dmiehlp.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files (x86)\ABBYY Lingvo 12\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TVTray] C:\Program Files (x86)\TVGo A03-IPTV\TVTray.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\Igor\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe"
O4 - Startup: Last.fm.lnk = C:\Program Files (x86)\Last.fm\LastFM.exe
O4 - Startup: setup_9.0.0.722_22.08.2010_11-47.lnk = Igor\Desktop\Virus Removal Tool\setup_9.0.0.722_22.08.2010_11-47\startup.exe
O8 - Extra context menu item: &Перекладайте за допомогою ABBYY Lingvo.... - res://C:\Program Files (x86)\ABBYY Lingvo 12\Lingvo.exe/3000
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files (x86)\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files (x86)\Download Master\dmie.htm
O8 - Extra context menu item: Передать на удаленную закачку DM - C:\Program Files (x86)\Download Master\remdown.htm
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files (x86)\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files (x86)\Download Master\dmaster.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~1\Office12\GRA32A~1.DLL
O20 - AppInit_DLLs: C:\Windows\system32\vksaver.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: mental ray 3.7 Satellite for Autodesk 3ds Max Design 2010 32-bit 32-bit (mi-raysat_3dsmax2010_32) - Unknown owner - C:\Program Files (x86)\Autodesk\3ds Max Design 2010\mentalray\satellite\raysat_3dsmax2010_32server.exe
O23 - Service: mental ray 3.7 Satellite for Autodesk 3ds Max Design 2010 64-bit 64-bit (mi-raysat_3dsmax2010_64) - Unknown owner - C:\Program Files\Autodesk\3ds Max Design 2010\mentalray\satellite\raysat_3dsmax2010_64server.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9818 bytes

[shmargen]

не учили делать логи сканы при незапушенных программах?
это же жесть сколько запущено в автозагрузке и в виде сервисов и в трее
"и со всей этой хренотенью мы попытаемся взлететь" (С)
цены на RAM совсем расслабили людей
постоянно ругаю клиентов "запускайте утилиты по мере их нужности в данный момент"
это касается лингвы, деймона, дмастера, гадского квиктайма, библиотек jusched.exe, акробат ридер сл,гугл креш, гугл апдейт, хелперы, античитер PnkBstrA,все итюнсы вместе взятые и вместе запускаемые и не удаляемые я бы даже НОД глупый убрал.
засуньте в окошко здесь _http://www.hijackthis.de/en
ваш лог (все строки) будет вам в помошь для анализа
полезно будет _http://www.saule-spb.ru/articles/hijackthis.html

удалите эту хрень и не позорьтесь
http://www.google.com/search?client=opera&rls=ru&q=vksaver.dll&sourceid=opera&ie=utf-8&oe=utf-8
бегло и уже глаза сломал
облегчите систему -она будет благодарна!