Zamrzání Win 10 + chybějící stringy

[.Hardy]

Zdravím,

setkal se zde někdo s problémem zamrzání Win 10 (Pro, v. 1703#15063), po kterých pak zmizela většina systémových stringů (texty/popisky, viz screenshoty). Všechny stringy se po restartu opět zobrazí.





Při zamrznutí lze normálně pohybovat myší, ale veškeré kliky / přepínání oken / otevření programů atd. se projeví, až když ono zamrznutí skončí. Ve správci úloh se mi podařilo zjistit, že při této události dochází ke chvilkové 100% aktivitě systémového disku (SSD Kingston HyperX Savage 240). V monitoru aktivit nic podezřelého není - i podle provedených zápisů.

Nevíte, někdo čím by to mohlo být a jestli se jedná o chybu SW a nebo HW?

Díky.

[Milanr1]

Nesdělil jsi hw sestavu včetně verze a stavu BIOSu ani verzi firmware a stav SMART SSD.
Je GPU a|nebo CPU přetaktovaný?
Provozní teploty chipsetu, VRAM a GPU při max. zátěži?
Používáš nějakou parodii na čistič typu CCleaner?
Instaloval jsi nějaké tweaky?
Co se objeví v Admin logu* v okamžiku havárie Desktop Manageru?
Pokud nic:

V monitoru aktivit nic podezřelého není

=> hw závada.
---
* Mrkni se i do Aplikačního a Security logu.

[.Hardy]

- HW viz podpis, tedy krom GPU, kterou dočasně nahrazuje nVidie GTX 650TiB, ale IMHO to na to nemá vliv => stávalo se to i s novou GPU.

- AMI BIOS v. F1. SSD firmware SAFM00.r, S.M.A.R.T no error. (Ostatní disky jsou také OK)

- GPU / CPU nejsou taktovány. Teploty CPU/GPU v idle - 40/40, full load 50/80. (v případě RX480 jsou teploty 30 až 70)

- Čističe ani všelijaké boostery nepoužívám. AV mám WIN nativní, tj defender + MBAM (scan only).

- V prohlížeči událostí (sekce aplikace) v daný čas (časově to +- odpovídá) vyskočilo toto*:



(Všechny 4 warningy jsou stejného rázu)

- V logu HijackThis jsem nic neobvyklého/nečekaného nezaznamenal.

*Pokud se dnes opětovně dočkám daného problému, tak se zkusím znovu podívat do logu.

Update - 18. 6. 2017, 17:30:
Tak se to stalo znovu - zhruba 20s zásek, stejně dlouhý spike -> 100% aktivita (ale 0MB R/W) sys. disku ve správci úloh. Prohlížeč událostí bez nových událostí.

[Milanr1]

Díky za upřesnění!
MB Gigabyte GA-970A-DS3P má kaskádu chlazenou mizerně a ještě hůře chipset.
V logu máš popsanou hw závadu.
Naneštěstí z toho nelze zjistit, o co se konkrétně jedná.
Může se ovšem jednat o chybné ovladače (OS to nerozezná) nebo jen zničený log v důsledku chyby NTFS.
Nemáš připojený externí HDD/USB?
Nemáš nastavenou automatickou synchronizaci z nějakým externím serverem (chybně nazývaným "Cloud"*)?
Nebo povolené hlášení do MS?
Co s tím?
1) Ukonči veškerý sw včetně MS WU.
Zkontroluj z Admin konzole cmd|PS, zda není OS zombií v botnetu:

Kód: Vybrat vše

sc stop bits
sc stop wuauserv
netstat -b

Existuje nějaké připojení do internetu?
Pokud ano: jaké konkrétně?
2) Pro jistotu zkontroluj stav pomocí AdwCleaneru od MB:
https://www.malwarebytes.com/adwcleaner/
Před spuštěním ukonči veškerý sw.
3) Zkontroluj teploty chipsetu v zátěži.
4) Task Manager:
Neběží v daném okamžiku něco náročného, co žere výkon sběrnice?
5) Scheduler (Plánovač):

Kód: Vybrat vše

taskschd.msc

Zobraz skryté úlohy.
Pátráš po stejně náročném jobu jako v bodě (2) a|nebo po synchronizaci s externími počítači.
6) Ověř stav NTFS z Admin konzole cmd|PS rychlou kontrolou:

Kód: Vybrat vše

chkdsk X: /i /c

Kde X: = všechny jednotky pevných disků.
V SSD pár sekund, v HDD pár minut.
Pokud najde chyby v NTFS, naplánuj kompletní údržbu:

Kód: Vybrat vše

chkdsk X: /f /r /b /v /x

a prostuduj výsledný protokol.
Oprava v HDD může trvat dlouhé hodiny, v SSD pár minut.
6) Pokud synchronizuješ dokumenty s nějakým externím serverem (včetně hlášení MS), ukonči synchronizační sw a promaž příslušné poškozené logy a nastavení z Admin konzole cmd|PS:

Kód: Vybrat vše

del /F /S /Q %localappdata%\Microsoft\Windows\SettingSync\metastore\*.*

Při příštím spuštění synchronizace se vytvoří nové.
Pokud se nepodařilo:
nejdříve odpoj OS od sítě.
---
* Cloud = oblíbený markeťácký buzzword; jako vždy bez konkrétního obsahu.

[.Hardy]

Ext. HDD/Flash připojený nemám. Běží synchronizace s GDrive a Dropboxem (a když už se něco synchronizuje, tak jsou to položky max. o několika MB). Telemetrii mám nastavenou na základní + manuálně vypnutý compattelrunner.exe.

1) Služby neběží. Netstat vypadá OK až na loopbacky s příznakem TIME_WAIT, které tam jsou asi kvůli upravenému hosts souboru. (přidané loopback adresy jsou OK)

Přípojen jsem pouze přes ethernet.

2) Našlo to několik klíčů v registru:

Kód: Vybrat vše

Klíč nalezen: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK
Klíč nalezen: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1
Klíč nalezen: [x64] HKLM\SOFTWARE\Classes\OCComSDK.ComSDK
Klíč nalezen: [x64] HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1
Klíč nalezen: HKLM\SOFTWARE\Classes\CLSID\{B9D64D3B-BE75-4FA2-B94A-C4AE772A0146}
Klíč nalezen: HKLM\SOFTWARE\Classes\CLSID\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
Klíč nalezen: HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
Klíč nalezen: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
Klíč nalezen: HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552}
Klíč nalezen: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\castplatform.com
Klíč nalezen: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\cdn.castplatform.com
Klíč nalezen: [x64] HKCU\Software\Microsoft\Internet Explorer\DOMStorage\castplatform.com
Klíč nalezen: [x64] HKCU\Software\Microsoft\Internet Explorer\DOMStorage\cdn.castplatform.com

Nejspíš nějaký AdWare z IE+ nějaká breberka, u které nevim, kde se mohla vzít - neleg. SW, patche a nebo cracky nepoužívám..

3) Vypadá to, že se teplotu SB/NB pravděpodobně nedozvím - SpeedFan vidí akorát CPU/GPU/HDD a větráky. (Případně, pokud by jedna z teplot větráků byla teplotou můstku, tak by to bylo max. 55st.)

4) Nope - sice je to chvilková 100% aktivita, ale zápis i čtení je 0B/s

5) OK (+ samozřejmě běží "cloud" služby)

6) Všechny disky OK

7) Provedeno.

(Note pro adminy: přidejte pls spoiler tag. Díky)

[Milanr1]

To jsou klasické zápisy pro browser hijack (česky asi podmanění/únos prohlížeče?)
Smazat všechny uvedené hackerské zápisy.
Po smazání poškozených synchronizačních logů a restartu OS problém zmizel?

[.Hardy]

Smazáno. Jelikož je výskyt problému naprosto náhodný, tak nezbývá než počkat - ale zdá se mi, že se tak nejčastěji děje při zapnutém Chrome. No uvidíme, v nejhorším zkusím čistou instalaci. Zatím díky.

[Milanr1]

Dobrý postřeh.
Se špionážním Chromákem ses v úvodním dotazu nepochlubil.
Ovšem bez Chromáka nejsi schopen pracovat s GDrive.

[.Hardy]

Protože mi to nedává smysl. Neřeknu, kdyby se jednalo o nějakou prehistorickou verzi browseru (nebo iE), ale Chrome by měl mít ochranu na relativně slušné úrovni (sandbox, nové oprávnění pluginů atd.), a zásah z prostředí OS mi příjde nepravděpodobný (např. instalace pluginu mimo Chrome obchod). Zajímavý.

Až budu mít chvilku času, tak se schválně mrknu na záznam trafficu z WireSharku.

[limewire]

mam tiez presne tuto verziu win 10 a spravilo mi to pred par dnami to iste. zmizol text a popisky pri beznom surfovani cez poslednu verziu firefoxu