Znikające miejsce na dysku

[DemoNeo]

Moje podejrzenia budzi szybko znikająca pamięć na dysku C. Gdy zaznaczam wszystko co znajduje się na dyski to wychodzi, że mam prawie GB wolnego. Tymczasem gdy kliknę na dysk pokazane jest, że tylko niecałe 300 MB i Windows cały czas wyświetla ostrzeżenia o krytycznie małym zasobie wolnej pamięci na C. Dodam, że mam pamięć wirtualną na D. Może Windows nie jest dostatecznie zoptymalizowany? Może to wina wirusa?
Prosiłbym więc o sprawdzenie logów z HiJacka:

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:53:12, on 2008-12-29
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programy\Bezpieczenstwo\Sygate Personal Firewall 5.6\smc.exe
C:\WINDOWS\Explorer.EXE
D:\Programy\Bezpieczenstwo\Avast4\aswUpdSv.exe
D:\Programy\Bezpieczenstwo\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programy\Bezpieczenstwo\Avast4\ashMaiSv.exe
D:\Programy\Bezpieczenstwo\Avast4\ashWebSv.exe
D:\Programy\BEZPIE~2\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDLL32.exe
D:\Casual_games\Programs\Winamp\winampa.exe
D:\Programy\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programy\Search engines\Firefox 3\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programy\Bezpieczenstwo\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] D:\Programy\BEZPIE~2\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] D:\Programy\BEZPIE~2\SYGATE~1.6\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] D:\Casual_games\Programs\Winamp\winampa.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C85FC2A7-E707-40C0-A0C5-A48A8E947B0F}: NameServer = 192.204.159.1,217.98.63.164
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programy\Bezpieczenstwo\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programy\Bezpieczenstwo\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programy\Bezpieczenstwo\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programy\Bezpieczenstwo\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programy\Bezpieczenstwo\Sygate Personal Firewall 5.6\smc.exe

--
End of file - 3728 bytes



a także z ComboFix:

Kod: Zaznacz wszystko

ComboFix 08-12-28.01 - User 2008-12-29 10:15:43.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.511.304 [GMT 1:00]
Uruchomiony z: d:\programy\Bezpieczenstwo\ComboFix\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 081228-0] *On-access scanning disabled* (Outdated)
FW: Sygate Personal Firewall *disabled*
* Utworzono nowy punkt przywracania
.

(((((((((((((((((((((((((   Pliki utworzone od 2008-11-28 do 2008-12-29  )))))))))))))))))))))))))))))))
.

2008-12-28 13:03 . 2008-12-28 13:05   <DIR>   d--------   c:\documents and settings\User\Dane aplikacji\PacificPoker
2008-12-27 12:36 . 2008-12-29 10:16   <DIR>   d--h-----   c:\documents and settings\Administrator\Ustawienia lokalne
2008-12-27 12:36 . 2008-09-18 21:04   <DIR>   d--------   c:\documents and settings\Administrator\Ulubione
2008-12-27 12:36 . 2008-09-18 18:17   <DIR>   d--h-----   c:\documents and settings\Administrator\Szablony
2008-12-27 12:36 . 2008-09-18 21:04   <DIR>   d--------   c:\documents and settings\Administrator\Pulpit
2008-12-27 12:36 . 2008-09-18 21:04   <DIR>   d--------   c:\documents and settings\Administrator\Moje dokumenty
2008-12-27 12:36 . 2008-09-18 21:04   <DIR>   dr-------   c:\documents and settings\Administrator\Menu Start
2008-12-27 12:36 . 2008-09-18 21:04   <DIR>   dr-h-----   c:\documents and settings\Administrator\Dane aplikacji
2008-12-27 12:36 . 2008-12-27 12:45   <DIR>   d--------   c:\documents and settings\Administrator
2008-12-23 23:51 . 2008-12-23 23:51   <DIR>   d--------   c:\documents and settings\User\Dane aplikacji\Gadu-Gadu
2008-12-19 13:51 . 2008-12-19 13:51   <DIR>   d--------   c:\program files\Media Player Classic
2008-12-18 07:50 . 2008-12-18 07:50   2,912,116   --a------   C:\bookmarks.html
2008-12-17 15:22 . 2008-10-03 11:17   247,326   -----c---   c:\windows\system32\dllcache\strmdll.dll
2008-12-14 22:49 . 2008-12-14 22:49   <DIR>   d--------   c:\documents and settings\User\Dane aplikacji\Media Player Classic
2008-12-11 21:18 . 2008-12-11 21:30   <DIR>   d--------   c:\documents and settings\User\Dane aplikacji\Winamp
2008-12-11 15:42 . 2008-12-12 17:21   <DIR>   d--------   C:\tmp
2008-12-10 22:29 . 2004-08-03 23:08   31,616   --a------   c:\windows\system32\drivers\usbccgp.sys
2008-12-10 21:37 . 2004-08-03 23:08   25,600   --a------   c:\windows\system32\drivers\usbser.sys
2008-12-10 21:23 . 2006-05-01 07:47   36,480   --a------   c:\windows\system32\drivers\P2k.sys
2008-12-10 21:22 . 2008-12-10 21:24   <DIR>   d----c---   c:\windows\system32\DRVSTORE
2008-12-10 21:22 . 2008-12-10 21:22   <DIR>   d--------   c:\program files\Motorola
2008-12-10 21:22 . 2008-12-10 21:22   <DIR>   d--------   c:\program files\Common Files\Motorola Shared
2008-12-10 21:22 . 2006-04-19 10:56   6,144   --a-s----   c:\windows\system32\mot_ci.dll
2008-12-06 17:55 . 2008-05-01 15:33   331,776   -----c---   c:\windows\system32\dllcache\msadce.dll
2008-12-06 16:24 . 2008-12-29 08:58   <DIR>   d--------   c:\windows\system32\CatRoot_bak
2008-12-02 21:51 . 2008-12-02 21:51   <DIR>   d--------   c:\program files\MSXML 4.0
2008-12-02 10:27 . 2008-10-24 12:10   453,632   -----c---   c:\windows\system32\dllcache\mrxsmb.sys
2008-12-02 10:26 . 2008-04-11 19:51   683,520   -----c---   c:\windows\system32\dllcache\inetcomm.dll
2008-12-02 10:26 . 2008-10-15 18:00   332,800   -----c---   c:\windows\system32\dllcache\netapi32.dll
2008-12-02 10:23 . 2008-08-28 11:04   333,056   -----c---   c:\windows\system32\dllcache\srv.sys
2008-12-02 10:23 . 2008-06-14 19:01   273,024   -----c---   c:\windows\system32\dllcache\bthport.sys
2008-12-02 10:22 . 2008-08-14 10:51   138,368   -----c---   c:\windows\system32\dllcache\afd.sys
2008-12-02 10:21 . 2008-09-15 16:40   1,846,272   -----c---   c:\windows\system32\dllcache\win32k.sys
2008-12-02 10:18 . 2008-08-14 14:46   2,181,632   -----c---   c:\windows\system32\dllcache\ntoskrnl.exe
2008-12-02 10:18 . 2008-08-14 14:46   2,137,600   -----c---   c:\windows\system32\dllcache\ntkrnlmp.exe
2008-12-02 10:18 . 2008-08-14 14:46   2,059,008   -----c---   c:\windows\system32\dllcache\ntkrnlpa.exe
2008-12-02 10:18 . 2008-08-14 14:46   2,017,280   -----c---   c:\windows\system32\dllcache\ntkrpamp.exe
2008-12-01 16:35 . 2008-09-04 17:46   1,106,944   -----c---   c:\windows\system32\dllcache\msxml3.dll

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-10 20:19   ---------   d-----w   c:\program files\Common Files\InstallShield
2008-11-29 11:01   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Microsoft Help
2008-11-25 15:27   ---------   d--h--w   c:\program files\InstallShield Installation Information
2008-10-23 13:01   283,648   ----a-w   c:\windows\system32\gdi32.dll
2008-10-16 13:13   202,776   ----a-w   c:\windows\system32\wuweb.dll
2008-10-16 13:13   1,809,944   ----a-w   c:\windows\system32\wuaueng.dll
2008-10-16 13:12   561,688   ----a-w   c:\windows\system32\wuapi.dll
2008-10-16 13:12   323,608   ----a-w   c:\windows\system32\wucltui.dll
2008-10-16 13:09   92,696   ----a-w   c:\windows\system32\cdm.dll
2008-10-16 13:09   51,224   ----a-w   c:\windows\system32\wuauclt.exe
2008-10-16 13:09   43,544   ----a-w   c:\windows\system32\wups2.dll
2008-10-16 13:08   34,328   ----a-w   c:\windows\system32\wups.dll
2008-10-16 10:39   662,016   ----a-w   c:\windows\system32\wininet.dll
2008-10-03 10:17   247,326   ----a-w   c:\windows\system32\strmdll.dll
2008-09-30 15:43   1,286,152   ----a-w   c:\windows\system32\msxml4.dll
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"="d:\programy\Gadu-Gadu\gg.exe" [2007-05-10 2111176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="d:\programy\BEZPIE~2\Avast4\ashDisp.exe" [2008-11-26 81000]
"SmcService"="d:\programy\BEZPIE~2\SYGATE~1.6\smc.exe" [2004-10-15 2577632]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"WinampAgent"="d:\casual_games\Programs\Winamp\winampa.exe" [2008-08-04 36352]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 c:\windows\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 d:\programy\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Komunikator]
--a------ 2006-04-13 13:51 957440 \\192.168.0.1\d\Programy\Tlen\tlen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 03:27 144784 c:\program files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 d:\casual_games\Programs\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programy\\Gadu-Gadu\\gg.exe"=
"d:\\Programy\\Search engines\\Firefox 3\\firefox.exe"=
"\\\\192.168.0.1\\d\\programy\\B2BPOKER\\Pokerium\\jre\\bin\\javaw.exe"=
"\\\\192.168.0.1\\d\\programy\\B2BPOKER\\Club4Aces.com\\jre\\bin\\javaw.exe"=
"d:\\Programy\\eMule\\emule.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-09-19 111184]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-09-19 20560]

*Newly Created Service* - PROCEXP90
.
.
------- Skan uzupełniający -------
.
uInternet Settings,ProxyOverride = *.local
TCP: {C85FC2A7-E707-40C0-A0C5-A48A8E947B0F} = 192.204.159.1,217.98.63.164

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FF - ProfilePath - c:\documents and settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\5l3067kc.default\
FF - plugin: d:\programy\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - plugin: d:\programy\Real Alternative\browser\plugins\nppl3260.dll
FF - plugin: d:\programy\Real Alternative\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-29 10:16:57
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
Czas ukończenia: 2008-12-29 10:19:23
ComboFix-quarantined-files.txt  2008-12-29 09:18:08

Przed: 192 839 680 bajtów wolnych
Po: 259,616,768 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

139   --- E O F ---   2008-12-26 14:25:52



Czy wynika z tych logów, że mam coś podejrzanego w systemie?

Po uruchomieniu ComboFix wyświetlił on komunikat w stylu - "Czy zainstalować Konsole Odzyskiwania Systemu Windows i jest to w moim NAJWIĘKSZYM INTERESIE". Zgodziłem się, Comobfix łączył się kilka razy ze stroną Microsoftu (firewall go próbował zablokować ale przepuściłem). Nie wiem czy to dobra decyzja? Dodam, że NIE mam oryginalnego Windowsa.

Dodam tylko, że po tym jak ComboFix zakończył działanie, system strasznie spowolnił na kilka minut (zaraz po ponownym uruchomieniu). Na to spowolnienie złożyło to, że dysk przez te kilka minut bardzo intensywnie chodził (cały czas lampka migała) oraz pojawiły się dwa nowe procesy :
update.exe - mocno obciążał CPU
wmiprvse
Chociaż może te procesy były już wcześniej - głowy nie dam.

[Smilodon]

Nie wypoiwadam sie na temat logow, bo sie nei znam, ale 1GB na dysku C to zdecydowanie za malo, jesli masz zainstalowan przegladarke lub porgram do sciagnia plikow na tym dysku albo gdy sciagasz np. pliki z rapidshare na dysk C pameic ciagle sie kurczy... i rozszerza na tym dysku...np mialem kiedys podobny problem - za malo miejsca na dysku C - gdy uruchamialem Photoshopa na dysku po jakis 10 minutach zabawy z animacjami, obrazkami co mi sie pokazywalo? komunikat ze zostalo 100MB, a przeciez nic nei instalowalem...

Przelec komupter porgramem typu Odkurzacz 11.3, po czym zrob defragmentacje dysku na pewno powinno troche miesjca sie zwolnic, usun cookies, cache zawartosc folderu Temp, odinstaluj zbedne gowna z dysku C...

Ale to wszystko zrob po tym jak chlopaki sprawdza Ci log, bo byc moze cos tam siedzi.

PS. Zawsze mzoesz dodac troche meijsca na dysk C z innego dysku jesli masz wolne porgramem Patricion Magic lub innym, ale to najlepiej po tym wszystkim jesli nadal bedzie za malo.
PS2. Wylaczylbym przywracanie systemu bo ono chyba tez żre cenne meijsce na dysku, pozatym jesli teraz oczyscisz kompa takie rpzywracanie mzoe tylko zaszkodzic.

Autor postu otrzymał pochwałę

[DemoNeo]

Z tym miejscem to jest go mniej więcej o pół giga za mało niż wynika to z zaznaczenia zawartości dysku. Więc może włączona hibernacja zabiera te pół giga? Mam 512 MB pamięci RAM.

[Lukesh]

Uzyj tego programu aby zobaczyc co zajmuje Ci tyle miejsca: http://www.programosy.pl/program,diskdata.html


Wlacz oczyszczanie dysku >> wiecej opcji >> przywracanie systemu >> oczysc; zwolni sie duuuuuzo miejsca, a zostanie zachowany tylko ostatni punkt przywracania

hiberfil.sys zniknie jak wyłączysz hibernacje systemu:

panel sterowania >> ekran >> wygaszacz ekranu >> zasilanie >> hibernacja


pagefiles.sys nie ruszaj, bo to tylko pliki wymiany; chociaz możesz go przenieść na inny dysk (fizyczny), lub jeśli brakuje Ci miejsca na partycji systemowej - przenieść na inną, nawet na tym samym fizycznie dysku.


PPM na mój komputer/właściwości/zaawansowane/opcje wydajności/pamięć wirtualna - ustaw według wymagań.
Po restarcie - o ile ustawisz na innej partycji niż C , a dla C: - wyłączysz, będziesz mógł usunąć z dysku C: plik pagefile.sys

Powinienes zyskac duzo miejsca.

Autor postu otrzymał pochwałę

[DemoNeo]

Uzyj tego programu aby zobaczyc co zajmuje Ci tyle miejsca: http://www.programosy.pl/program,diskdata.html


Wlacz oczyszczanie dysku >> wiecej opcji >> przywracanie systemu >> oczysc; zwolni sie duuuuuzo miejsca, a zostanie zachowany tylko ostatni punkt przywracania

Jakoś nie dało żadnego rezultatu. Kliknąłem i pojawił się komunikat:
Czy na pewno chcesz usunąć wszystkie punkty przywracania z wyjątkiem najnowszego?
Kliknąłem Tak i nie ma żadnego rezultatu.

hiberfil.sys zniknie jak wyłączysz hibernacje systemu:

panel sterowania >> ekran >> wygaszacz ekranu >> zasilanie >> hibernacja

Powinienes zyskac duzo miejsca.

Rzeczywiście pół giga do przodu. Teraz się wszystko zgadza.