За последний месяц (возможно, даже больше) я заметил, что мой ноутбук (работающий под управлением Windows 10) часто становится почти невероятно медленным, особенно после многих дней, когда он не включался.
Я замечаю, что использование диска в диспетчере задач в течение длительных периодов времени составляет 100%, однако это смешно, потому что даже сумма всех процессов [которые я вижу ...] может приблизиться к 5-10% в щедрый случай.
Это машина для разработки с 8 ГБ ОЗУ, процессором i7, много места. Запускающих программ почти нет, кроме программ по умолчанию MS (и даже там я выбрал большинство несущественных из списка автозагрузки). Я также прошел и постепенно отключил сервисы, такие как BITS, Superfetch и т.д., без видимого эффекта.
Что делает это более подозрительным, так это схема, в которой это происходит - проблема хуже всего при запуске после многих дней физического отключения и выключения компьютера. Время запуска составляет около 3-5 минут (!) после чего диск работает на 100% в течение нескольких минут, а затем без объяснения причин внезапно падает примерно до 1-5%. Все это без показа каких-либо процессов почти полное использование диска.
Приблизительно после месяца изучения этого я начинаю подозревать участие вредоносных программ, особенно из-за несоответствия в диспетчере задач, а также из-за того, как проблема внезапно исправляется. Я также должен отметить, что на компьютере установлена бесплатная версия AVG, и сканирование компьютера и антируткита идет полным ходом. При этом я хочу воспользоваться возможностью того, что это может быть вредоносное ПО, соединяющее и обновляющее себя, или, что еще хуже, экфильтрация данных [или, что еще хуже, жевание моего диска для шифрования моих файлов, когда я говорю, что все в порядке]?
В настоящее время я не наблюдаю нерегулярный объем сетевого трафика, который бы поддерживал теорию эксфильтрации, однако также возможно скрыть это от диспетчера задач / wireshark с помощью мошеннического драйвера.
У меня есть ряд вопросов:
- Соответствует ли этот шаблон поведения любым известным угрозам вредоносного ПО / APT?
- Предположим, что я должен продолжить это в направлении судебной экспертизы, какие дальнейшие шаги можно предпринять, чтобы исследовать и проверить драйверы на машине?
- Какие шаги помимо диспетчера задач я могу предпринять, чтобы отслеживать и идентифицировать процесс, который фактически отвечает за 100% использование диска?
- Существуют ли какие-либо законные причины / причины Windows, по которым это может происходить, и если да, то как я могу сузить и изолировать проблемные компоненты?