Ciao ragazzi,

ho bisogno del vostro aiuto. PC desktop, con due HD su entrambi i quali ho installato Xp Pro sp2 e dai quali, alternativamente, faccio il boot di avvio per aggiornare tutti i vari programmi, 1 Gb di RAM, Pentium IV 3,00 GHz. Ieri sera accendo il pc, tutto regolare, solo che mi accorgo che l'HD continua a lavorare, quindi vado a guardare nel task manager: nessuna anomalia. Dopo un po' che l'HD continua a lavorare e che qualsiasi programma e' notevolmente rellentato (ccleaner, HijackThis, etc...) ricontrollo il taskmanager e vedo che la memoria di swap, quella indicata con utilizzo file paging, e' a 1.24 (!!!) Gb contro i soliti 220 Mb. Penso: porca vacca ho beccato qualcosa, quindi riavvio il pc e faccio eseguire il boot di avvio dall'altro HD: stessi problemi. Possibile che abbia preso qualche virus, malware o trojan su entrambi gli HD? oppure trattasi di un problema HW, magari RAM difettosa?

Cosa puo' essere?

Dimenticavo: in modalita' provvisoria va' tutto bene e il log di HijackThis, fatto analizzare dal sito HijackThis.de Security sembrerebbe regolare.
Anche la scansione di Ad-Aware e Spybot non ha rilevato nulla (per la verita' Ad-Aware ha rilevato 6 oggetti identificati come trascurabili)
Allego le immagini del task manager.

http://www.uploadandgo.com/thumbs/1_Immagine1.JPG (http://www.uploadandgo.com/gallery.php?entry=images/1_Immagine1.JPG)
http://www.uploadandgo.com/thumbs/Immagine2.JPG (http://www.uploadandgo.com/gallery.php?entry=images/Immagine2.JPG)

anche la ram è totalmente satura.
leggi qui. (http://www.hwupgrade.it/forum/showthread.php?t=1189286)

Quindi escludi un virus/malware/trojan o altro e ipotizzi un blocco RAM fallato? per info ho due banchi DDR da 512Mb ciascuno. Quindi se provassi a togliere un banco alla volta per capre se e' quello il problema?

Quindi escludi un virus/malware/trojan o altro e ipotizzi un blocco RAM fallato? per info ho due banchi DDR da 512Mb ciascuno. Quindi se provassi a togliere un banco alla volta per capre se e' quello il problema?

Se questi problemi si presentano in maniera apparentemente insensata, sarebbe il caso di fare il test delle RAM come proposto dall'amico Khronos.

Ciao

Se questi problemi si presentano in maniera apparentemente insensata, sarebbe il caso di fare il test delle RAM come proposto dall'amico Khronos.

Ciao


ok, e come devo procedere? voglio dire: ho letto quanto descritto nel link postato da Khronos e ho visto che occorre masterizzare un cd con l'immagine appena scaricata dal file. ma come faccio dal momento che, a prescindere da dove effettuo il boot, l'HD continua a lavorare prendendomi tutta la memoria ? non avro' problemi durante la masterizzazione?

è logico ipotizzare l'aiuto di una seconda postazione (se non ne hai tu, amico o dirimpettaio) ^^

D'accordo. Appena possibile faro' quanto suggerito. Nel frattempo grazie per l'aiuto. ;)

E' il momento di chiedere aiuto ad un amico per la masterizzazione.
Visto che ci sei in quell'occasione fai anche una seconda piccola masterizzazione per creare il CD bootabel del tool diganostico gratuito della casa madre dell'HD.

Ciao

Dunque...

Ho aperto il case, scollegato quasi tutta la cavetteria, comprese scheda video, firewire e RAM, soffiato ben bene con aria compressa il tutto, comprese le ventole (tra l'altro non c'era così tanta polvere), poi ho rimontato il tutto. Sono riuscito a masterizzare l'immagine su un CD e, sia ieri sera che stamattina, ho fatto girare Memtest86+ per diversi cicli, senza mai avere errori.
Inoltre ho avviato il sw ProcessExplorer per verificare se ci fossero processi in background: sembrerebbe tutto ok.

http://www.pctunerup.com/up/results/_200803/th_20080319103835_Processexplorer2.JPG (http://www.pctunerup.com/up/image.php?src=_200803/20080319103835_Processexplorer2.JPG)
Una cosa che non ho precisato: dopo aver caricato il s.o. il pc vede un utilizzo della CPU sempre altalenante, da 1% và a 10%, poi scende e sale di nuovo con valori intermedi. Dopo un pò, a volte 10min altre 20min, la memoria swap schizza all'improvviso a 1.28 gb.
Possibile che abbia preso un virus che si è nascosto su entrambi gli HD?

aggiungo anche questa videata, ottenuta con Process Explorer

http://www.pctunerup.com/up/results/_200803/th_20080319104849_Processexplorer3.JPG (http://www.pctunerup.com/up/image.php?src=_200803/20080319104849_Processexplorer3.JPG)

in coda al 3d ....

tu continui a insistere sullo swap.
ma lo swap si riempie come conseguenza di un'altra cosa, guarda la ram fisica, è quella che si riempie per prima. dopodichè, il sistema, per funzionare, deve ripiegare sullo swap su disco, tot volte più lento.
avvia il pc tenendo premuto F8 prima dell'arrivo del logo di XP in caricamento, vai in modalità provvisoria e monitora l'uso della ram anche li con i grafici di process explorer.

ps. Perchè segna il traffico input output a 0, mentre invece il grafico spara alle stelle? va fuori scala? hmm. nelle colonne di processexplorer, attiva anche quelle che dicono il traffico I/O per i processi.
secondo me dipende dall'hardware. però... fai la prova in modalità provvisoria.
poi magari potresti usare anche una live di linux e giocarci un pò per vedere se anche li fa casino.
riferisci. ^^

in coda al 3d ....

non ho capito...

non ho capito...

Sò quello del piano di sopra....... hai presente?

non ho capito...

Un modo come un altro per fare Strumenti -> Sottoscrivi questa discussione.

Ciao

Sò quello del piano di sopra....... hai presente?
Ho capito. Ciao collega ;)

x Khronos

Chiedo venia per aver omesso la questione della mod. provvisoria: l'ho già testata, facendo il boot da ambedue gli HD, e non ho avuto problemi (hd in st-by, e utilizzo CPU fisso a zero).

Comunque ho formattato uno dei due hd (anche perchè ne aveva bisogno), ho installato il s.o., ma come sono partito con l'installazione del sp2 mi si piantava. Al riavvio mi dava noie persino il bios (sebbene abbia resettato col jumper CMOS). A questo punto credo sia una questione hw: il led dell'HD rimane acceso in modalità fissa, sebbene la RAM utilizzata sia minima e l'utilizzo CPU sia fisso a zero.

Questa sera provo a fare dei controlli incrociati col pc del mio vicino, così potrò escludere alcune ipotesi e vi farò sapere. ;)

Le prove delle ram le hai fatte anche con i singoli banchi, magari in posizioni differenti?
Domani se riesco ti porto un paio di banchi che ho qui, almeno puoi fare un ulteriore prova.

Le prove delle ram le hai fatte anche con i singoli banchi, magari in posizioni differenti?
Domani se riesco ti porto un paio di banchi che ho qui, almeno puoi fare un ulteriore prova.

domani sono in ferie, tuttavia posso fare una scappata nell'orario in cui vai a fare la passeggiata post-pranzo. Fammi sapere. Anzi, qual'è il tuo interno così ti chiamo...

p.s.: le memorie sono DDR400 (MB Abit VT7)

Cavolo ragazzi, sono strapreso. Appeno ho tempo vi faccio un resoconto di ciò che ho fatto. Abbiate un pochino di pazienza :stordita:

Dunque, ecco ciò che ho fatto:

- scansioni con Avira Antivir, Spybot, Ad-Aware, Gmer;

- monitorata la situazione con Process Explorer ( si vedeva solo services.exe che ballava molto, ma senza mai occupare tutta quella RAM);

http://www.uploadandgo.com/thumbs/Process.JPG (http://www.uploadandgo.com/gallery.php?entry=images/Process.JPG)

- aperto il case e fatta una bella pulizia con aria compressa, staccando quasi tutti i connettori, RAM e schede PCI (video e firewire);

- fatto un test della RAM con Memtest86+, sia con i banchi assieme che singolarmente: tutto ok;

- provato con due banchi da 256Mb prestati da un collega;

- cancellati i log del visualizzatore degli eventi e disabilitato (settato in manuale) il servizio "Windows Updater";

- monitorati entrambi gli hd col tool HdTune

1. in modalità provvisoria http://www.uploadandgo.com/thumbs/HDTune_Benchmark_mod_provv.JPG (http://www.uploadandgo.com/gallery.php?entry=images/HDTune_Benchmark_mod_provv.JPG)
2. in modalità normale con RAM "normale" http://www.uploadandgo.com/thumbs/HDTune_Benchmark_Maxtor 6Y120L0.JPG (http://www.uploadandgo.com/gallery.php?entry=images/HDTune_Benchmark_Maxtor 6Y120L0.JPG)
3. n modalità normale con RAM "schizzata" http://www.uploadandgo.com/thumbs/HDTune_Benchmark_Maxtor 6Y120L0_1.28Gb.JPG (http://www.uploadandgo.com/gallery.php?entry=images/HDTune_Benchmark_Maxtor 6Y120L0_1.28Gb.JPG)
4. la scansione degli errori ha dato esito negativo;



Risultato? non è cambiato nulla: sin dall'avvio del s.o. l'hd continuava a lavorare e, dal task manager, si vedeva che la CPU oscillava continuamente seguendo il processo services.exe. Il tutto per circa 15 - 20 min, dopodichè la RAM schizzava a 1.28Gb, con l'HD che girava e girava.

Preciso che:
- il problema si presentava pari pari sia che facessi il boot da un hd che dall'altro.

- in mod. provvisoria la RAM se ne stava buona buona, così come l'utilizzo della CPU e il processo services.exe

Alla fine, per tagliare la testa al toro, ho deciso di formattare uno dei due HD, reinstallare il tutto e sperare in bene. Ora mi ritrovo con l'hd formattato che, dal punto di vista del contenuto, è identico a prima della formattazione, con la bella notizia che il problema della RAM "sclerotica" non si presenta e l'hd se ne stà bello tranquillo con il suo led che, di tanto in tanto, si illumina. Problema che, invece, si presenta se faccio il boot dall'hd che non ho ancora formattato (cosa che, sinceramente, mi piacerebbe aspettare a fare perchè vorrei scoprire la causa dell'anomalia).

Per quanto riguarda i vostri suggerimenti (presi da vari forum) mi resta da fare scansione con Avast, AVG Root kit.

Se avete qualche altra dritta non esitate ;)

i driver di tutte le periferiche possibili e immaginabili installati da te,presenti sull'uno e sull'altro sistema, sono identici? stessa versione?

tutto quel tramestio di harddisk è dato dalla scrittura/lettura del file di paging/swap, dopo che la ram viene riempita da non si sa cosa.
a questo punto devi controllare per filo e per segno i processi/thread attivi, e i driver installati...

ecco cosa ancora non hai fatto :D
http://img72.imageshack.us/img72/4990/procuw6.th.jpg (http://img72.imageshack.us/my.php?image=procuw6.jpg)
click col destro sui nomi delle colonne, vai li e seleziona in quella seconda scheda "I/O history".
apparirà una bella colonna con tanti bei grafici, e tu vedrai quale di questi processi, nonostante non occupi CPU, faccia questo bel casino di input output verso la ram/harddisk (grafico alle stelle).

^^

:doh: ecco cosa dovevo fare: verificare la I/O history... appena posso ti faccio sapere ;)

Visto che però avevo ragione che il formattone male non fa mai...
Soprattutto a fronte di mancati aggiornamenti del so .....
L'sp2 è parecchio che è uscito e fare solo quello, potrebbe non bastare, magari a fronte di installazione si sw recente......
Cmq è solo un pensiero.........

hai ragione riguardo il formattone, ma è proprio ciò che uno vorrebbe considerare come ultima spiaggia, non credi? ;) inoltre sarebbe stato curioso scoprire la causa di quest'anomalia: purtroppo ho dovuto formattare anche l'altro hd in quanto, appena fatto il boot da esso, la RAM schizzava subito a oltre 1Gb, rendendomi impossibile esaudire la richiesta di Khronos ( -> Sorry)

Comunque grazie a tutti per il vostro aiuto.

ciao

p.s. xblastx, domani ti porto i tuoi due banchi di RAM

ok nessun problema, io rientro mercoledì.

Ragazzi, dire che mi sento avvilito è veramente poca cosa...

Sul secondo HD che ho formattato e reinstallato tutto per benino tre giorni fà, si è ripresentato nuovamente il problema: hd che macina continuamente, processo services.exe che ciuccia la RAM con valori che vanno da 5Mb a 50-60Mb.

Non sò più cosa fare: ho dato un'occhiata sul web e non sono l'unico ad aver questo problema. Purtroppo nessuno che abbia risolto senonchè con un megaformattone

Perchè scusa che differenza passa dal "megaformattone" a quello che hai fatto tu?:mbe:

hai appena formattato.
ok.
quali aggiornamenti di windows hai fatto, e "sei riuscito a quantificare da quando è riapparso il problema"?
prova a vedere se tra i processi attivi c'è un certo netFXupdate o qualcosa del genere.

Perchè scusa che differenza passa dal "megaformattone" a quello che hai fatto tu?:mbe:

ma no, nessuna, è la stessa cosa ;) l'ho definito così solo per la "rottura" di averlo fatto a distanza di tre giorni dal precedente...

hai appena formattato.
ok.
quali aggiornamenti di windows hai fatto, e "sei riuscito a quantificare da quando è riapparso il problema"?
prova a vedere se tra i processi attivi c'è un certo netFXupdate o qualcosa del genere.

ho appena formattato, solo che mi ritrovo l'hd in FAT32 e dovrei portarlo in NTFS prima di ripristinare l'immagine del mio XP Pro s.p.2. Consigli?

se ripristini l'immagine del sistema operativo fatta con il software di ghost, questo prende il tuo harddisk e lo riscrive da zero ficcandoci il ghost (file system e dati del ghost vengono scritti senza badare a ciò che hai sul disco).
il ghost che avevi creato consiste nella lettura cluster per cluster di tutti i byte scritti sul tuo harddisk, quindi comprende MBR (se glielo hai detto) e file system della o delle partizioni con i file al suo interno (dove pensi siano scritti i file, se non nella struttura stessa del file system?) ^^

Se ho capito bene dopo il ripristino dovrei trovarmi l'hd in NTFS, giusto?

si.

:doh: forse ho fatto la pirlata. Mi spiego meglio...

l'hd appena formattato in FAT32 è da 120Gb, mentre l'imamgine che gli ho ripristinato sù è stata presa da un hd da 80Gb, ovviamente in NTFS: non è che così mi ritrovo l'hd con 80 Gb in NTFS e i restanti 40 in FAT32?

Nel momento in cui ripristini immagino che il disco venga formattato, magari con un format veloce e quindi diventa tutto nella partizione del immagine che gli vai a scrivere.
Ma scusa una cosa ma sto fat32 adesso da dove salta fuori? lo formatti tu prima di installarci sopra? Non fai fare tutt oin fase di installazione?

Non so' darti una spiegazione, ma mi si era cancellata la partizione (da gestione disco non mi consentiva di formattare), percio' ho formattato col dischetto di boot, quindi in FAT32

Giusto un'ora fà ho scoperto, attraverso Avast, di avere un rootkit:

E' STATO TROVATO UN ROOTKIT

NOME DEL FILE MBR:\\.\PHYSICALDRIVE0
TIPO ROOTKIT: FILE NASCOSTO

Prima mi appare questo messaggio

http://www.uploadandgo.com/thumbs/Rootkit.JPG (http://www.uploadandgo.com/gallery.php?entry=images/Rootkit.JPG)

e, dopo aver spuntato la voce "elimina ora", quest'altro messaggio

http://www.uploadandgo.com/thumbs/Error.JPG (http://www.uploadandgo.com/gallery.php?entry=images/Error.JPG)

Qualcuno di voi ne sà qualcosa?

Come si rimuove?


p.s.: per vostra info, ho scoperto di essere il quarto utente di HU ad avere questo rootkit (vedi quì (http://www.hwupgrade.it/forum/showthread.php?t=1713554))

urca, un rootkit nel master boot record.
ahia.
molto, ahia.
posta nella sezione antivirus e sicurezza, la sapranno dirti di più, ma presumo che "forse" si possa tentare un "fixmbr" da console di ripristino...

Ciò che non capisco è come sia possibile che pur avendo formattato l'abbia nuovamente preso e, ancora incredibile, dopo una seconda formattazione, l'abbia ripreso ancora una volta? :muro:

no, ragazzo, il MBR non l'hai mai formattato. ^^ windows ha soltanto riscritto quello che gli interessava a lui, ma a quanto pare la zona prediletta di quel rootkit non è stata minimamente toccata dalle reinstallazioni. l'unico modo per un piallamento totale mi sa tanto che è un lowlevel format (e uno di quei tool per la modifica a mano dei MBR, forse si chiama ranish ma non ne sono sicuro). intanto senti la campana dei guru della sez antivirus.
ciao

no, ragazzo, il MBR non l'hai mai formattato. ^^ windows ha soltanto riscritto quello che gli interessava a lui, ma a quanto pare la zona prediletta di quel rootkit non è stata minimamente toccata dalle reinstallazioni. l'unico modo per un piallamento totale mi sa tanto che è un lowlevel format (e uno di quei tool per la modifica a mano dei MBR, forse si chiama ranish ma non ne sono sicuro). intanto senti la campana dei guru della sez antivirus.
ciao

ragazzo? magariiiiii :cry:

Ecco, te pareva se non doveva essere una questione complicata. Attenderò info da loro. Intanto grazie del supporto e complimenti per la competenza.

ciao

sembrerebbe che abbia risolto.

vedi qui' (http://www.hwupgrade.it/forum/showpost.php?p=21840963&postcount=83) ;)

ho salvato questo e quel thread. memorabile.