Набитие папки C~Windows~Temp файлами KES2.5....dmp.enc1

[zyablik]

На ноутбуке (который тут недавно был на анализе) вновь происходит невероятное. Но по порядку. KES в свое время так мне и не удалось поставить. Удалил. Поставил Avast (теперь уже Free). Однако в контекстных меню остались серенькие (т.е. недоступные) пп. с буквочкой К. Фиг бы с ними, но вот что заметил: место на диске С: уменьшается самопроизвольно. Было, например, 200Гб. К Концу дня (ноутбук ничего не делал, просто включен) стало 100Гб. Вот сегодня включил (принесли опять): там уже место близко к нулю (меньше гига). Беру простейшую программу SpaceSniffer по анализу занятости диска. Вот что она показала (фрагмент с самыми большими папками):скрины:

 

 

Вычищаю эту папку. И не верю своим глазам: эти файлы KES.... размножаются на глазах!

 

 

 

Просто какой-то ужас.
Вот логи:CollectionLog-2017.04.28-15.44.zip
Ссылка на отчет GSI: http://computer.ucoz.site/gsi/GSI6_NOTEBOOK-LENOVO_Lenovo-Idea_04_28_2017_14_32_.zip 

Что это за номер такой?
Спасибо.

Беру ноутбук на праздники домой (он обычно ходит на мероприятиях). А так: вот за этот час уже гигов 10 съел. А ведь иногда ноут (когда с проектором, когда без) может целый день не выключаться. (!)

Изменено 28 апреля, 2017 пользователем regist
спрятал скрины под спойлер

[Sandynist]

Ну и причём тут уничтожение вирусов? Это файлы дампов и логов KES, нужно в помощь по продуктам ЛК писать.

[zyablik]

Да?! Ё-моё. Извините. Только этого не хватало. Это не на один месяц.
Спасибо.
P.S.
Хотя... чем хуже вируса? Не правда ли

Изменено 28 апреля, 2017 пользователем zyablik

[regist]

Тем не остатки от вируса тоже есть.

 

1) Создайте точку восстановления системы.

2)

 3.3 [20121215]-->"C:\Windows\unins000.exe"

Это что за программа? Она вам знакома? Если нет советую её деинсталировать. Нормальные проги не кидают свой инсталятор в системную папку.

Google Toolbar for Internet Explorer [20120705]-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Google Toolbar for Internet Explorer [2017/03/13 09:41:08]-->"C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarManager_8B0481A9A34D47CD.exe" /uninstall
Google Update Helper [20141117]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Update Helper [20170313]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}

Тоже советую деинсталировать.

Java 7 Update 45 [20131117]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217045FF}

Деинсталировать, если Java нужна, то взамен скачайте и установите актуальную версию.

Opera 12.15 [2013/09/09 11:33:54]-->"C:\Program Files\Opera x64\Opera.exe" /uninstall

Советую обновить до 12.18, почти тоже самое, но там доработали работу с сертификатами.

 

3) Удалите остатки McAfee.

 

4)

91.208.16.253 a0.userdail.ru 
91.208.16.253 c4.userdail.ru 

В Hosts эти строки сами добавляли?

 

5) "Пофиксите" в HijackThis:

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - (no file)
O4 - HKU\S-1-5-18\..\RunOnce: [Application Restart #0] C:\Program Files (x86)\IQBoard DVTQ Drivers V1.0\RSBoardDVTQ.exe  /RestartByRestartManager:034E5BF8-F604-472f-B420-ECC7278F292C (file missing)
O4 - MSConfig\startupfolder: C:^Users^Lenovo-Idea^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SmartWeb.lnk - C:\Users\Lenovo-Idea\AppData\Local\SmartWeb\SmartWebHelper.exe (2015/02/07) (file missing)
O4 - MSConfig\startupreg: [RSHolder] C:\Program Files (x86)\IQPenTray V1.0\RSHolder.exe  (file missing) (HKLM) (2017/03/13)
O4 - MSConfig\startupreg: [ReHandWHB] C:\Program Files (x86)\IQBoard Software Resource\Resent\RSHandWriteWHB.exe  (file missing) (HKLM) (2017/03/13)
O4 - MSConfig\startupreg: [Winsent Messenger] C:\Program Files (x86)\Winsent Messenger Free\winsent.exe  (file missing) (HKLM) (2015/03/07)
O4 - MSConfig\startupreg: [desktopy] C:\Users\Lenovo-Idea\AppData\Roaming\desktopy.ru\desktopy.exe is_autoruned (file missing) (HKCU) (2013/08/10)
O4 - MSConfig\startupreg: [gmsd_ru_118] C:\Program Files (x86)\gmsd_ru_118\gmsd_ru_118.exe  (file missing) (HKLM) (2015/02/07)
O8 - Extra context menu item: &Экспорт в Microsoft Excel - C:\PROGRA~1\MICROS~2\Office15\EXCEL.EXE (file missing)
O8 - Extra context menu item: Free YouTube Download - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\freeytvdownloader.htm (file missing)
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\freeytmp3downloader.htm (file missing)
O9 - Extra 'Tools' menuitem: Free YouTube Download - HKLM\..\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - (no file)
O9 - Extra button: Free YouTube Download - HKLM\..\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - (no file)
O18 - Filter: application/xhtml+xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - (no file)
O18 - Filter: application/xhtml+xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - (no file)
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - (no file)
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - (no file)
O21 - ShellIconOverlayIdentifiers: SugarSyncBackedUp - {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} - (no file)
O21 - ShellIconOverlayIdentifiers: SugarSyncPending - {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} - (no file)
O21 - ShellIconOverlayIdentifiers: SugarSyncRoot - {A759AFF6-5851-457D-A540-F4ECED148351} - (no file)
O21 - ShellIconOverlayIdentifiers: SugarSyncShared - {1574C9EF-7D58-488F-B358-8B78C1538F51} - (no file)
O22 - Task (Queued): \Lenovo\Lenovo Customer Feedback Program - C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe (file missing)

6) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

7) Сделайте свежий лог Автологера.

 

8)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Изменено 28 апреля, 2017 пользователем regist

[zyablik]

Тем не остатки от вируса тоже есть.

...............

2)

 3.3 [20121215]-->"C:\Windows\unins000.exe"

Это что за программа? Она вам знакома? Если нет советую её деинсталировать. Нормальные проги не кидают свой инсталятор в системную папку.

 

В смысле удалить этот файл? Но, судя по реестру, принадлежит он некоему Virtual Printer SPK... И я его не ставил, а файл сидит аж с 2012 года. Короче, пока не стал удалять. А так: такой unins000.exe, сидящий в папке Windows, действительно один.

 

С остальным позже, но всё сделаю.

Что успеваю.

.....

 

3) Удалите остатки McAfee. 

Это сделал. Уважаю столь конкретные утилиты типа вот этого MCPR. Можно даже не интересоваться, что он находил

....

4)

91.208.16.253 a0.userdail.ru 
91.208.16.253 c4.userdail.ru 

В Hosts эти строки сами добавляли?

Я — нет. И не думаю, что за ноутбук садились люди, знающие о hosts.

.......

Google Toolbar for Internet Explorer [20120705]-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Google Toolbar for Internet Explorer [2017/03/13 09:41:08]-->"C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarManager_8B0481A9A34D47CD.exe" /uninstall
Google Update Helper [20141117]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Update Helper [20170313]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}

Тоже советую деинсталировать.

Извиняюсь, туплю: через что деинсталлировать?

[regist]

 

 

В смысле удалить этот файл? Но, судя по реестру, принадлежит он некоему Virtual Printer SPK... И я его не ставил, а файл сидит аж с 2012 года. Короче, пока не стал удалять. А так: такой unins000.exe, сидящий в папке Windows, действительно один.

Нет, не файл, а деинсталировать через установку и удаление программ.

 

 

Извиняюсь, туплю: через что деинсталлировать?

Панель управления\Программы\Программы и компоненты

Ищите в списке название программы (оно указано в процитированом коде слева) и деинсталируете.

[zyablik]

 

В смысле удалить этот файл? Но, судя по реестру, принадлежит он некоему Virtual Printer SPK... И я его не ставил, а файл сидит аж с 2012 года. Короче, пока не стал удалять. А так: такой unins000.exe, сидящий в папке Windows, действительно один.

Нет, не файл, а деинсталировать через установку и удаление программ.

Да, еле нашел. Программа значилась под именем "3.3". Удалил.

 

Извиняюсь, туплю: через что деинсталлировать?

Панель управления\Программы\Программы и компоненты

Ищите в списке название программы (оно указано в процитированом коде слева) и деинсталируете.

 

Google Toolbar нашел, разумеется.

А вот Google Update Helper — пока нет Может, существует некий Google Update Helper Remover? Или на крайняк Google Accessories Remover

Изменено 1 мая, 2017 пользователем zyablik

[regist]

Сделайте пока остальное.

[zyablik]

HJThis профиксил. Правда, 1-го п. именно такого не было, и последнего совсем не было.
ClearLNK-01.05.2017_22-20.log
CollectionLog-2017.05.01-22.28.zip
AdwCleanerS0.txt
"Зловредная операция", вынесенная в заголовок темы, продолжает действовать. За 2 сегодняшних включения (кто-то) успел создать в той же папке почти 6000 файлов весом не менее 80 Гб. Удалил только что опять.
А пока писал это сообщение — еще полгига. Плодовитая вещь всё-таки.
 

Изменено 1 мая, 2017 пользователем zyablik

[regist]

 

 

HJThis профиксил. Правда, 1-го п. именно такого не было, и последнего совсем не было.

вы точно свежий, а не допотопный хиджак использовали? Свежий лежит в отдельной папке ..\AutoLogger\HiJackThis.

 

 

"Зловредная операция", вынесенная в заголовок темы, продолжает действовать. За 2 сегодняшних включения (кто-то) успел создать в той же папке почти 6000 файлов весом не менее 80 Гб. Удалил только что опять. А пока писал это сообщение — еще полгига. Плодовитая вещь всё-таки.

Как вам написали во втором посте к вирусам это отношение не имеет. Создайте по этой проблеме отдельную тему в Помощь по продуктам Лаборатории Касперского

1) "Пофиксите" в HijackThis:

O1 - Hosts: 91.208.16.253 a0.userdail.ru
O1 - Hosts: 91.208.16.253 c4.userdail.ru
O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - (no file)
O2-32 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - (no file)
O4 - MSConfig\startupreg: [swg] C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  (file missing) (HKCU) (2015/03/07)
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O22 - Task (Ready): \Lenovo\Lenovo Customer Feedback Program - C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe (file missing)

 

2)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[zyablik]

AdwCleanerC0.txt
Shortcut.txt

FRST.txt

Addition.txt

[regist]

1) У вас установлен Avast Antivirus и KES 10. Как в фильме горец остаться должен только один, второй удалите. Ссылку на инструкции по удалению давал выше.

 

2)

2017-04-28 14:48 - 2017-04-28 14:49 - 00000000 ____D C:\ProgramData\s3ko
2017-04-28 14:40 - 2017-04-28 14:40 - 00000000 ____D C:\ProgramData\s4i4
2017-04-28 14:40 - 2017-04-28 14:40 - 00000000 ____D C:\ProgramData\s1c0
2017-04-28 14:32 - 2017-04-28 14:32 - 00000000 ____D C:\ProgramData\s2t0
2017-04-28 14:32 - 2017-04-28 14:32 - 00000000 ____D C:\ProgramData\s2f8

Эти папки (их содержимое) вам знакомы? Если нет, то удалите.

 

3) Настройки политик ваши?

Policies\Explorer: [NoInternetOpenWith] 1

Policies\Explorer: [NoLowDiskSpaceChecks] 1
Policies\Explorer: [NoResolveSearch] 1
Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
или удалить их?

 

4) - выполните такой скрипт в AVZ

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Lenovo-Idea\AppData\Roaming\Adobe\Photoshop\8.0 CE\Adobe Photoshop CS Settings\Actions Palette.psp.lnk', '');
 QuarantineFile('C:\Users\Lenovo-Idea\Desktop\Локальная сеть.lnk', '');
 CreateQurantineArchive(GetAVZDirectory + 'Actions Palette.zip');
end.

- Файл Actions Palette.zip из папки AVZ прикрепите к сообщению.

 

5) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (x32 Version: 1.3.33.5 - Google Inc.) Hidden
HKU\S-1-5-21-651873099-98655828-1007108775-1001\Software\Classes\.scr: scrfile =>  <===== ATTENTION
MSCONFIG\Services: gupdate => 2
MSCONFIG\Services: gupdatem => 3
HKLM-x32\...\Run: [TaskTray] => [X]
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-651873099-98655828-1007108775-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp:/google.ru
FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor => not found
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [kifonanmkilecibbfhmdcoeonomahncd] - {localappdata}\Google\Chrome\Application\Plugins\kifonanmkilecibbfhmdcoeonomahncd_0.0.2.crx <not found>EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 

6)

 

 

А вот Google Update Helper — пока нет Может, существует некий Google Update Helper Remover? Или на крайняк Google Accessories Remover

Проверьте ещё раз их в списке установленных программ.

 

7)

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

[zyablik]

1) У вас установлен Avast Antivirus и KES 10. Как в фильме горец остаться должен только один, второй удалите. Ссылку на инструкции по удалению давал выше.

М-да. KES был недоудален. Нерабочий и не удаляемый — висел (только в Пуск/Программы причем), недосмотр мой  . Kavremover справился. Файлы больше не дуются. Основной вопрос решен. Спасибо, @regist, хорошая работа!

Что до "Горца", то, думаю, что, если б Касперский был реально живой, он вряд ли бы дал житья Авасту. Помню одну такую "войну" с Norton'ом лет 10 назад.

2017-04-28 14:48 - 2017-04-28 14:49 - 00000000 ____D C:\ProgramData\s3ko
2017-04-28 14:40 - 2017-04-28 14:40 - 00000000 ____D C:\ProgramData\s4i4
2017-04-28 14:40 - 2017-04-28 14:40 - 00000000 ____D C:\ProgramData\s1c0
2017-04-28 14:32 - 2017-04-28 14:32 - 00000000 ____D C:\ProgramData\s2t0
2017-04-28 14:32 - 2017-04-28 14:32 - 00000000 ____D C:\ProgramData\s2f8

Эти папки (их содержимое) вам знакомы? Если нет, то удалите.

Впервые вижу. Скорее этого, это "отходы" того "производства".

3) Настройки политик ваши?

Policies\Explorer: [NoInternetOpenWith] 1

Policies\Explorer: [NoLowDiskSpaceChecks] 1

Policies\Explorer: [NoResolveSearch] 1

Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1

или удалить их?

Упаси Бог. Как удалить?

4) - выполните такой скрипт в AVZ

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Lenovo-Idea\AppData\Roaming\Adobe\Photoshop\8.0 CE\Adobe Photoshop CS Settings\Actions Palette.psp.lnk', '');
 QuarantineFile('C:\Users\Lenovo-Idea\Desktop\Локальная сеть.lnk', '');
 CreateQurantineArchive(GetAVZDirectory + 'Actions Palette.zip');
end.

- Файл Actions Palette.zip из папки AVZ прикрепите к сообщению.

Actions Palette.zip

[regist]

 

 

Упаси Бог. Как удалить?

Скрипт FRST выполните и потом свежие логи FRST сделайте, новым скриптом дочищу.

[zyablik]

...запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Fixlog.txt

 

ADWCleaner убрал.

Что до Google Update Helper'а, так его не видать, но в реестре в разделах есть.

 

HKEY_CLASSES_ROOT\Installer\Products\93BAD29AC2E44034A96BCB446EB8552E

HKEY_CLASSES_ROOT\Installer\Products\A089CE062ADB6BC44A720BA745894BAC

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\93BAD29AC2E44034A96BCB446EB8552E

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\A089CE062ADB6BC44A720BA745894BAC

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\93BAD29AC2E44034A96BCB446EB8552E\InstallProperties

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A089CE062ADB6BC44A720BA745894BAC\InstallProperties

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

Изменено 2 мая, 2017 пользователем zyablik