pbme espace disque qui décroit => 0 et qui redevient normal au reboot
13 réponses
gritchefr
bonjour à toutes/tous
sous xP SP3 - 2 disques de 1 T SATA. => plein de place
Depuis une quinzaine de jours j'ai des messages m'indiquant que ma
partition C (100G) n'a plus de place.
En temps normal j'ai 72G d'occupés, donc 27G et plus de libre et je
n'ai rien qui explique l'accroissement.
Au redémarrage les 72 G redeviennent OK.
j'a essayé de rechercher les fichiers gloutons.. rien vu.
j'ai essayé de monitorer l'activité. Rien de probant.
sous task manager rien de probant. sous process explorer rien non plus
j'ai tenté de restaurer/limiter la restauration automatique rien n'y fait
plusieurs scans avec des AV différents et anti-malwares rien non plus.
Le seul truc que je viens de déceler c'est une tache system (via process
lasso) qui démarre bien après le boot
qui prend en moyenne 1 à 2% de CPU mais qui est marquée "unknown" et
dont les modules ne se listent pas ... assez bizarre ...
la tache "system" ne peut être interrompue... et l'espace décroit de
manière exponentielle
j'avais une image ghost que je croyais bonne c'est à dire antérieure à
la periode du probleme. j'ai restauré la partition et rebelote.
Croyant à une tache planifiée j'ai supprimé toutes les taches planifiées
et c'est pourtant reparti.
qq'un aurait il des pistes pour ce type de pbme ?
voire même un super utilitaire pour tuer la tache recalcitrante afin de
voir si c'est bien elle ..
Tu peut jouer avec qq anti-rootkit génériques complémentaire à RootKitRevealer du genre: - Resplendance Hook analyzer / SanityCheck - TrenMicro "Rootkit Buster" - GMer - IceSword
Les 2 premiers sont assez simplistes d'utilisation, par contre les 2 suivants, prend ton temps pour apréhender leur contionnement et leurs reponses, même sur un systeme propre, il y souvent qq softs "légitimes" qui les font réagir (AV, FW, IDS, DaemonTool, etc ...) donc faut soigneusement trier ce qu'ils affichent
Ou ... méthode brutale ( et la seule utilisable en cas de vrai rootkit costaud), faut attaquer par dehors, t'arrivera à rien dans l'OS compromis.
Prso, je booterais sur une clef ou un DD USB BartPe ( j'en ai 2-3 tout pret , garnis d'outils) , mais tu peut utiliser un CD BartPe ou un Livenunux
Ensuite, à partir de cet OS "live" (et espérons-le "propre", dans l'idéal, il faudrait qu'il ai été préparé avant le pb ou sur un autre PC)
- recherche des ADS NTFS voir si il ya des lourdingues +/- planqués - scan avec qq anti-vérolles que tu peux utiliser en live ( SYSCLEAN de chez TrendMicro par exemple.)
éventuellement, tu peut aussi tenter une astuce, uu moment ou le DD est "plein", tu reboot comme un sauvage ( bouton reset ou cable 220v ) et tu boot sur un autre support que ton DD et depuis le Live, recherche de l'espace perdu avec WinDirStat et noter le/les noms et l'emplacements des voraces ça peut donenr des pistes.
autre option, démonter le DD, le mettre dans un boitier USB et scanner ça avec qq anti-truc-tout
Encore merci à tous et plus particulièrement à ASCADIX. J'ai stoppé de manière "hard" le pc au bout d'une heure de fonctionnement. j'ai rebooté avec une clé usb ubuntu et j'ai trouvé (au bout de pas mal de temps) le fichier qui grossisait,, grossissait :
et le gagnant est Trace.log dans system32 logfiles WMI.. Un résidu de bootvis que j'avais effectivement utilisé fin décembre pour essayer d'optimiser mon démarrage sans succès d'ailleurs. et oublié...
il me semblait bien l'avoir desinstallé complètement eh bien non...
ça y est avec l'aide de killbox et une modif du registre. c'est fini Merci donc à tous pour vos suggestions trucs astuces qui m'ont permis d'y remédier.
L
Tu peut jouer avec qq anti-rootkit génériques complémentaire à
RootKitRevealer du genre:
- Resplendance Hook analyzer / SanityCheck
- TrenMicro "Rootkit Buster"
- GMer
- IceSword
Les 2 premiers sont assez simplistes d'utilisation, par contre les 2
suivants, prend ton temps pour apréhender leur contionnement et leurs
reponses, même sur un systeme propre, il y souvent qq softs "légitimes"
qui les font réagir (AV, FW, IDS, DaemonTool, etc ...) donc faut
soigneusement trier ce qu'ils affichent
Ou ... méthode brutale ( et la seule utilisable en cas de vrai rootkit
costaud), faut attaquer par dehors, t'arrivera à rien dans l'OS compromis.
Prso, je booterais sur une clef ou un DD USB BartPe ( j'en ai 2-3 tout
pret , garnis d'outils) , mais tu peut utiliser un CD BartPe ou un
Livenunux
Ensuite, à partir de cet OS "live" (et espérons-le "propre", dans
l'idéal, il faudrait qu'il ai été préparé avant le pb ou sur un autre PC)
- recherche des ADS NTFS voir si il ya des lourdingues +/- planqués
- scan avec qq anti-vérolles que tu peux utiliser en live ( SYSCLEAN de
chez TrendMicro par exemple.)
éventuellement, tu peut aussi tenter une astuce, uu moment ou le DD est
"plein", tu reboot comme un sauvage ( bouton reset ou cable 220v ) et tu
boot sur un autre support que ton DD et depuis le Live, recherche de
l'espace perdu avec WinDirStat et noter le/les noms et l'emplacements
des voraces ça peut donenr des pistes.
autre option, démonter le DD, le mettre dans un boitier USB et scanner
ça avec qq anti-truc-tout
Encore merci à tous et plus particulièrement à ASCADIX.
J'ai stoppé de manière "hard" le pc au bout d'une heure de fonctionnement.
j'ai rebooté avec une clé usb ubuntu et j'ai trouvé (au bout de pas mal
de temps) le fichier qui grossisait,, grossissait :
et le gagnant est Trace.log dans system32 logfiles WMI..
Un résidu de bootvis que j'avais effectivement utilisé fin décembre pour
essayer d'optimiser mon démarrage sans succès d'ailleurs.
et oublié...
il me semblait bien l'avoir desinstallé complètement eh bien non...
ça y est avec l'aide de killbox et une modif du registre.
c'est fini
Merci donc à tous pour vos suggestions trucs astuces qui m'ont permis
d'y remédier.
Tu peut jouer avec qq anti-rootkit génériques complémentaire à RootKitRevealer du genre: - Resplendance Hook analyzer / SanityCheck - TrenMicro "Rootkit Buster" - GMer - IceSword
Les 2 premiers sont assez simplistes d'utilisation, par contre les 2 suivants, prend ton temps pour apréhender leur contionnement et leurs reponses, même sur un systeme propre, il y souvent qq softs "légitimes" qui les font réagir (AV, FW, IDS, DaemonTool, etc ...) donc faut soigneusement trier ce qu'ils affichent
Ou ... méthode brutale ( et la seule utilisable en cas de vrai rootkit costaud), faut attaquer par dehors, t'arrivera à rien dans l'OS compromis.
Prso, je booterais sur une clef ou un DD USB BartPe ( j'en ai 2-3 tout pret , garnis d'outils) , mais tu peut utiliser un CD BartPe ou un Livenunux
Ensuite, à partir de cet OS "live" (et espérons-le "propre", dans l'idéal, il faudrait qu'il ai été préparé avant le pb ou sur un autre PC)
- recherche des ADS NTFS voir si il ya des lourdingues +/- planqués - scan avec qq anti-vérolles que tu peux utiliser en live ( SYSCLEAN de chez TrendMicro par exemple.)
éventuellement, tu peut aussi tenter une astuce, uu moment ou le DD est "plein", tu reboot comme un sauvage ( bouton reset ou cable 220v ) et tu boot sur un autre support que ton DD et depuis le Live, recherche de l'espace perdu avec WinDirStat et noter le/les noms et l'emplacements des voraces ça peut donenr des pistes.
autre option, démonter le DD, le mettre dans un boitier USB et scanner ça avec qq anti-truc-tout
Encore merci à tous et plus particulièrement à ASCADIX. J'ai stoppé de manière "hard" le pc au bout d'une heure de fonctionnement. j'ai rebooté avec une clé usb ubuntu et j'ai trouvé (au bout de pas mal de temps) le fichier qui grossisait,, grossissait :
et le gagnant est Trace.log dans system32 logfiles WMI.. Un résidu de bootvis que j'avais effectivement utilisé fin décembre pour essayer d'optimiser mon démarrage sans succès d'ailleurs. et oublié...
il me semblait bien l'avoir desinstallé complètement eh bien non...
ça y est avec l'aide de killbox et une modif du registre. c'est fini Merci donc à tous pour vos suggestions trucs astuces qui m'ont permis d'y remédier.
Herser
gritchefr wrote:
Encore merci à tous et plus particulièrement à ASCADIX. J'ai stoppé de manière "hard" le pc au bout d'une heure de fonctionnement. j'ai rebooté avec une clé usb ubuntu et j'ai trouvé (au bout de pas mal de temps) le fichier qui grossisait,, grossissait : et le gagnant est Trace.log dans system32 logfiles WMI.. Un résidu de bootvis que j'avais effectivement utilisé fin décembre pour essayer d'optimiser mon démarrage sans succès d'ailleurs. et oublié...
il me semblait bien l'avoir desinstallé complètement eh bien non...
ça y est avec l'aide de killbox et une modif du registre. c'est fini Merci donc à tous pour vos suggestions trucs astuces qui m'ont permis d'y remédier.
Bonsoir et merci du retour Et bravo à Ascadix pour la méthode !
Remarque : Bootvis a été abandonné par Microsoft en 2003, suite à des bugs récurrents. Il a donc la vie dure !
Herser
gritchefr wrote:
Encore merci à tous et plus particulièrement à ASCADIX.
J'ai stoppé de manière "hard" le pc au bout d'une heure de
fonctionnement. j'ai rebooté avec une clé usb ubuntu et j'ai trouvé
(au bout de pas mal de temps) le fichier qui grossisait,, grossissait
:
et le gagnant est Trace.log dans system32 logfiles WMI..
Un résidu de bootvis que j'avais effectivement utilisé fin décembre
pour essayer d'optimiser mon démarrage sans succès d'ailleurs.
et oublié...
il me semblait bien l'avoir desinstallé complètement eh bien non...
ça y est avec l'aide de killbox et une modif du registre.
c'est fini
Merci donc à tous pour vos suggestions trucs astuces qui m'ont permis
d'y remédier.
Bonsoir et merci du retour
Et bravo à Ascadix pour la méthode !
Remarque : Bootvis a été abandonné par Microsoft en 2003, suite à des bugs
récurrents.
Il a donc la vie dure !
Encore merci à tous et plus particulièrement à ASCADIX. J'ai stoppé de manière "hard" le pc au bout d'une heure de fonctionnement. j'ai rebooté avec une clé usb ubuntu et j'ai trouvé (au bout de pas mal de temps) le fichier qui grossisait,, grossissait : et le gagnant est Trace.log dans system32 logfiles WMI.. Un résidu de bootvis que j'avais effectivement utilisé fin décembre pour essayer d'optimiser mon démarrage sans succès d'ailleurs. et oublié...
il me semblait bien l'avoir desinstallé complètement eh bien non...
ça y est avec l'aide de killbox et une modif du registre. c'est fini Merci donc à tous pour vos suggestions trucs astuces qui m'ont permis d'y remédier.
Bonsoir et merci du retour Et bravo à Ascadix pour la méthode !
Remarque : Bootvis a été abandonné par Microsoft en 2003, suite à des bugs récurrents. Il a donc la vie dure !
Herser
Ascadix
Il se trouve que Herser a formulé :
gritchefr wrote:
Encore merci à tous et plus particulièrement à ASCADIX. J'ai stoppé de manière "hard" le pc au bout d'une heure de fonctionnement. j'ai rebooté avec une clé usb ubuntu et j'ai trouvé (au bout de pas mal de temps) le fichier qui grossisait,, grossissait : et le gagnant est Trace.log dans system32 logfiles WMI.. Un résidu de bootvis que j'avais effectivement utilisé fin décembre pour essayer d'optimiser mon démarrage sans succès d'ailleurs. et oublié...
il me semblait bien l'avoir desinstallé complètement eh bien non...
ça y est avec l'aide de killbox et une modif du registre. c'est fini Merci donc à tous pour vos suggestions trucs astuces qui m'ont permis d'y remédier.
Bonsoir et merci du retour
+1
Et bravo à Ascadix pour la méthode !
hum ... j'avais pas rencontré de gros pbs avec bootvis, mais quand il faut décroter une machine où on soupçone +/- fortement un vérollage et où les AV ne régissent pas, faut parfois avoir recours à des méthodes assez extrémes et surtout faut combiner plusieures approches.
Là, la présence d'un gros fichier repérable par sa taille et avec un nom "connu" une fois repéré, ça aide. (tant mieux que ça soit juste ça et pas une vérolle)
Ceci dit, je ne recommande quand même pas de pratiquer ce genre d'arret brutal sans motifs ;-)
Remarque : Bootvis a été abandonné par Microsoft en 2003, suite à des bugs récurrents. Il a donc la vie dure !
On pouvais l'utiliser juste pour repérer les "ralentisseurs" sans utiliser la pseudo-optimisation.
C'était simple et pas gros.
Maintenant, faut se pastiller le gros "Microsoft Windows SDK for Windows 7 and .NET Framework 4" pour installer le "Windows Performance Analyzer" et titiller la ligne de commande pour lancer les traces avant de pouvoir enfin voir le résultat en graphs ... C'est un peu plus complet ... mais moins simple à utiliser.
Dans certains cas, on peut se contenter du "boot trace" de ProcessMonitor, là c'est hyper-simple, mais moins complet ..et p'tet moins facile à "lire"
Et si on oubli de désativer le truc une fois l'examen terminé, on riques le même genre de mésaventures :-)
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
Il se trouve que Herser a formulé :
gritchefr wrote:
Encore merci à tous et plus particulièrement à ASCADIX.
J'ai stoppé de manière "hard" le pc au bout d'une heure de
fonctionnement. j'ai rebooté avec une clé usb ubuntu et j'ai trouvé
(au bout de pas mal de temps) le fichier qui grossisait,, grossissait
:
et le gagnant est Trace.log dans system32 logfiles WMI..
Un résidu de bootvis que j'avais effectivement utilisé fin décembre
pour essayer d'optimiser mon démarrage sans succès d'ailleurs.
et oublié...
il me semblait bien l'avoir desinstallé complètement eh bien non...
ça y est avec l'aide de killbox et une modif du registre.
c'est fini
Merci donc à tous pour vos suggestions trucs astuces qui m'ont permis
d'y remédier.
Bonsoir et merci du retour
+1
Et bravo à Ascadix pour la méthode !
hum ... j'avais pas rencontré de gros pbs avec bootvis, mais quand il
faut décroter une machine où on soupçone +/- fortement un vérollage et
où les AV ne régissent pas, faut parfois avoir recours à des méthodes
assez extrémes et surtout faut combiner plusieures approches.
Là, la présence d'un gros fichier repérable par sa taille et avec un
nom "connu" une fois repéré, ça aide. (tant mieux que ça soit juste ça
et pas une vérolle)
Ceci dit, je ne recommande quand même pas de pratiquer ce genre d'arret
brutal sans motifs ;-)
Remarque : Bootvis a été abandonné par Microsoft en 2003, suite à des bugs
récurrents.
Il a donc la vie dure !
On pouvais l'utiliser juste pour repérer les "ralentisseurs" sans
utiliser la pseudo-optimisation.
C'était simple et pas gros.
Maintenant, faut se pastiller le gros "Microsoft Windows SDK for
Windows 7 and .NET Framework 4" pour installer le "Windows Performance
Analyzer" et titiller la ligne de commande pour lancer les traces avant
de pouvoir enfin voir le résultat en graphs ...
C'est un peu plus complet ... mais moins simple à utiliser.
Dans certains cas, on peut se contenter du "boot trace" de
ProcessMonitor, là c'est hyper-simple, mais moins complet ..et p'tet
moins facile à "lire"
Et si on oubli de désativer le truc une fois l'examen terminé, on
riques le même genre de mésaventures :-)
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Encore merci à tous et plus particulièrement à ASCADIX. J'ai stoppé de manière "hard" le pc au bout d'une heure de fonctionnement. j'ai rebooté avec une clé usb ubuntu et j'ai trouvé (au bout de pas mal de temps) le fichier qui grossisait,, grossissait : et le gagnant est Trace.log dans system32 logfiles WMI.. Un résidu de bootvis que j'avais effectivement utilisé fin décembre pour essayer d'optimiser mon démarrage sans succès d'ailleurs. et oublié...
il me semblait bien l'avoir desinstallé complètement eh bien non...
ça y est avec l'aide de killbox et une modif du registre. c'est fini Merci donc à tous pour vos suggestions trucs astuces qui m'ont permis d'y remédier.
Bonsoir et merci du retour
+1
Et bravo à Ascadix pour la méthode !
hum ... j'avais pas rencontré de gros pbs avec bootvis, mais quand il faut décroter une machine où on soupçone +/- fortement un vérollage et où les AV ne régissent pas, faut parfois avoir recours à des méthodes assez extrémes et surtout faut combiner plusieures approches.
Là, la présence d'un gros fichier repérable par sa taille et avec un nom "connu" une fois repéré, ça aide. (tant mieux que ça soit juste ça et pas une vérolle)
Ceci dit, je ne recommande quand même pas de pratiquer ce genre d'arret brutal sans motifs ;-)
Remarque : Bootvis a été abandonné par Microsoft en 2003, suite à des bugs récurrents. Il a donc la vie dure !
On pouvais l'utiliser juste pour repérer les "ralentisseurs" sans utiliser la pseudo-optimisation.
C'était simple et pas gros.
Maintenant, faut se pastiller le gros "Microsoft Windows SDK for Windows 7 and .NET Framework 4" pour installer le "Windows Performance Analyzer" et titiller la ligne de commande pour lancer les traces avant de pouvoir enfin voir le résultat en graphs ... C'est un peu plus complet ... mais moins simple à utiliser.
Dans certains cas, on peut se contenter du "boot trace" de ProcessMonitor, là c'est hyper-simple, mais moins complet ..et p'tet moins facile à "lire"
Et si on oubli de désativer le truc une fois l'examen terminé, on riques le même genre de mésaventures :-)
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
