Перейти к содержанию
Правила раздела

Что-то съедает все место на диске C

ANTICHRIST

От ANTICHRIST
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

ANTICHRIST Новичок

ANTICHRIST

Опубликовано
Опубликовано

Компьютер был заражен вирусом. Касперский на тот момент был выключен(( Потом все пролечил и вроде как стало хорошо. Но что-то терзают смутные сомнения, что на компе есть что-то инородное!

Перешел на 10 винду, проработал пару дней и обнаружил, что место вдруг заканчивается. Причем сколько не освобождай - все равно что-то сжирает место под ноль!

Думаю вирус.

И второй нюанс - в касперском почему-то svhost ломится на какой-то сайт и что-то пытается скачать... видимо последствия вируса...

Я обычный юзверь, не сисадмин. Буду рад советам и инструкциям.

post-48110-0-76846800-1511279809_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 33
  • Created
  • Последний ответ

Top Posters In This Topic

  • ANTICHRIST

    18

  • regist

    13

  • Mark D. Pearlstone

    2

  • Sandor

    1

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

regist
regist

лог пустой. Пожалуста заново сохраните его и прикрепите.Скрин также поврежден, но всё равно нужен не скрин, а лог.

regist
regist

1) "Пофиксите" в HijackThis: O4 - HKCU\..\RunOnce: [Application Restart #0] C:\Program Files (x86)\Google\Chrome\Application\chrome.exe  --flag-switches-begin --flag-switches-end --restore-last-sess

regist
regist

у вас среди прочей заразы там майнер жил. Скорее всего под его файлы для рассчётов из пула и уходило место.  Насчёт того чтобы определить, что занимает лишнее место и удалить можете воспользоваться п

Posted Images

ANTICHRIST Новичок

ANTICHRIST

Опубликовано
  • Автор
Опубликовано (изменено)

Программы/расширения от Mail.ru используете?

 

Нет. Они похоже вместе с вирусом установились. Я бы от них избавился. Но не знаю как.

И еще после этого вирусника винда 10 х64, не смогла ни разу сама выключиться. Постоянно говорит при выключение, что программа LaCieService мешает, и предлагает только принудительно закрыть. Я ее не устанавливал и не имею понятия, что за программа. В процессах нет, файл такой не находит в проводнике. Помогите, пожалуйста, избавиться и от этой проблемы.

Изменено пользователем ANTICHRIST
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('%windir%\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1', '');
 QuarantineFile('C:\Users\ANTICHRIST\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\ANTICHRIST\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk, ', '');
 QuarantineFile('C:\Users\ANTICHRIST\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\ANTICHRIST\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\ANTICHRIST\AppData\Roaming\vnlgp\vnlgp\start.cmd', '');
 QuarantineFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\SMB\UninstallSMB1ClientTask', '');
 QuarantineFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\SMB\UninstallSMB1ServerTask', '');
 QuarantineFile('C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1', '');
 QuarantineFile('C:\Windows\Windows\ProgramData\svchost.exe', '');
 QuarantineFileF('C:\Windows\Windows\ProgramData', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\ANTICHRIST\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
 DeleteFile('C:\WINDOWS\Tasks\Updater_Online_Application.job');
 DeleteFile('C:\Windows\Windows\ProgramData\svchost.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "{5DC18CEC-A5D6-48E3-AF2E-0B0465691F15}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MailRuUpdater" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Для повторной диагностики запустите снова AutoLogger.
 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
ANTICHRIST Новичок

ANTICHRIST

Опубликовано
  • Автор
Опубликовано

Пока сделал часть:

https://virusinfo.info/showthread.php?t=216394

Правда на время отключение антивируса, я в параметрах адаптера отключил подключение к интернету. От греха подальше. Это не на что не повлияет?

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


Правда на время отключение антивируса, я в параметрах адаптера отключил подключение к интернету. От греха подальше. Это не на что не повлияет?
нет.

Ждём остальное.

Ссылка на комментарий
Поделиться на другие сайты
ANTICHRIST Новичок

ANTICHRIST

Опубликовано
  • Автор
Опубликовано

quarantine.zip -   отправил через форму.

ClearLNK - приложил.

Повторный скан и отчет avz - приложил.

adwcleaner -  приложил. (тут я не спец, но кажется полно всякой нечести на компе, в т.ч. и эта прога la cie service) Почему КИС их не видит?

ClearLNK-23.11.2017_00-18.log

AdwCleanerS0.txt

CollectionLog-2017.11.23-00.23.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


quarantine.zip - отправил через форму.
не нашёл его, просьба закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС.

 

+

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


+ Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\Sticky Notes.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'Shortcut.zip');
end.

Файл Shortcut.zip из папки с распакованной утилитой AVZ также загрузите на обменник и ссылку мне в ЛС.
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

В карантин не попал, посмотрите такой файл есть?

C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1

+ Shortcut.zip также жду.
 
+

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
ANTICHRIST Новичок

ANTICHRIST

Опубликовано
  • Автор
Опубликовано

Shortcut.zip - отправил

 

C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1

 

Да, файл существует в этом месте.

 Отчет uVS прилагаю.


Место на диске все равно заканчивается. Уже не знаю что и удалять для нормальной работы. Ни скачать ни запустить толком не могу уже почти...

В чем проблема, как вы думаете? Дайте немного инфы, что за зверь у меня живет?

ANTICHRIST-ПК_2017-11-23_23-07-34.7z

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • madlab
      Зашифрованы диски
      От madlab
      На компьютере зашифрованы диски. В системе был установлен Kaspersky Small Office Security (сейчас он в системе не обнаруживается).
      При обращении к диску требуется ввести пароль.
      Системный диск не зашифрован. На нем встречаются файлы с расширением "ooo4ps".
      В архиве "UCPStorage.7z" есть зашифрованный (и, похоже, он же, но не зашифрованный) файл.
      Kaspersky Virus Removal Tool угроз не обнаружил.
      Есть ли возможность помочь?
      Спасибо.
      FRST.txt UCPStorage.7z
    • RadmirLee
      Шифровальщик ooo4ps и Битлогер на дисках
      От RadmirLee
      Доброго времени суток.
      Занимательный вышел понедельник.
      С зашифрованного сервера.
      Есть активная подписка на КСОС и его просто отключили... отчёт тоже в приложении.
      Addition.txt FRST.txt ksos.txt
    • orenfreezer
      Шифровальщик ooo4ps и заблокирован второй диск
      От orenfreezer
      Добрый день!
      Сработал шифровальщик.
      При заходе в систему открывается файл с требованиями.
      Зашифрованные файлы получили расширение ooo4ps
      Диск D заблокирован, при входе требует пароль
      Если модно помочь, помогите, пожалуйста.
       
      Логи.rar 3 файла.rar
    • animewko25
      Перенос базы данных KSC на другой диск
      От animewko25
      Добрый день!
      Подскажите каким способом можно перенести базу данных SQL KSC на другой диск.
      Финт с заменой буквы не проходит,может быть есть какой нибудь мануал
    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
×
×
  • Создать...