Перейти к содержанию

Что-то съедает все место на диске C


Рекомендуемые сообщения

Компьютер был заражен вирусом. Касперский на тот момент был выключен(( Потом все пролечил и вроде как стало хорошо. Но что-то терзают смутные сомнения, что на компе есть что-то инородное!

Перешел на 10 винду, проработал пару дней и обнаружил, что место вдруг заканчивается. Причем сколько не освобождай - все равно что-то сжирает место под ноль!

Думаю вирус.

И второй нюанс - в касперском почему-то svhost ломится на какой-то сайт и что-то пытается скачать... видимо последствия вируса...

Я обычный юзверь, не сисадмин. Буду рад советам и инструкциям.

post-48110-0-76846800-1511279809_thumb.jpg

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 33
  • Created
  • Последний ответ

Top Posters In This Topic

Popular Posts

лог пустой. Пожалуста заново сохраните его и прикрепите.Скрин также поврежден, но всё равно нужен не скрин, а лог.

1) "Пофиксите" в HijackThis: O4 - HKCU\..\RunOnce: [Application Restart #0] C:\Program Files (x86)\Google\Chrome\Application\chrome.exe  --flag-switches-begin --flag-switches-end --restore-last-sess

у вас среди прочей заразы там майнер жил. Скорее всего под его файлы для рассчётов из пула и уходило место.  Насчёт того чтобы определить, что занимает лишнее место и удалить можете воспользоваться п

Posted Images

Как раз все сделал.CollectionLog-2017.11.22-00.07.zip

Изменено пользователем ANTICHRIST
Ссылка на сообщение
Поделиться на другие сайты

Программы/расширения от Mail.ru используете?

 

Нет. Они похоже вместе с вирусом установились. Я бы от них избавился. Но не знаю как.

И еще после этого вирусника винда 10 х64, не смогла ни разу сама выключиться. Постоянно говорит при выключение, что программа LaCieService мешает, и предлагает только принудительно закрыть. Я ее не устанавливал и не имею понятия, что за программа. В процессах нет, файл такой не находит в проводнике. Помогите, пожалуйста, избавиться и от этой проблемы.

Изменено пользователем ANTICHRIST
Ссылка на сообщение
Поделиться на другие сайты

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('%windir%\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1', '');
 QuarantineFile('C:\Users\ANTICHRIST\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\, C:\Users\ANTICHRIST\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk, ', '');
 QuarantineFile('C:\Users\ANTICHRIST\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\ANTICHRIST\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\ANTICHRIST\AppData\Roaming\vnlgp\vnlgp\start.cmd', '');
 QuarantineFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\SMB\UninstallSMB1ClientTask', '');
 QuarantineFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\SMB\UninstallSMB1ServerTask', '');
 QuarantineFile('C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1', '');
 QuarantineFile('C:\Windows\Windows\ProgramData\svchost.exe', '');
 QuarantineFileF('C:\Windows\Windows\ProgramData', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\ANTICHRIST\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
 DeleteFile('C:\WINDOWS\Tasks\Updater_Online_Application.job');
 DeleteFile('C:\Windows\Windows\ProgramData\svchost.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "{5DC18CEC-A5D6-48E3-AF2E-0B0465691F15}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MailRuUpdater" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Для повторной диагностики запустите снова AutoLogger.
 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Пока сделал часть:

https://virusinfo.info/showthread.php?t=216394

Правда на время отключение антивируса, я в параметрах адаптера отключил подключение к интернету. От греха подальше. Это не на что не повлияет?

Ссылка на сообщение
Поделиться на другие сайты

 

 


Правда на время отключение антивируса, я в параметрах адаптера отключил подключение к интернету. От греха подальше. Это не на что не повлияет?
нет.

Ждём остальное.

Ссылка на сообщение
Поделиться на другие сайты

quarantine.zip -   отправил через форму.

ClearLNK - приложил.

Повторный скан и отчет avz - приложил.

adwcleaner -  приложил. (тут я не спец, но кажется полно всякой нечести на компе, в т.ч. и эта прога la cie service) Почему КИС их не видит?

ClearLNK-23.11.2017_00-18.log

AdwCleanerS0.txt

CollectionLog-2017.11.23-00.23.zip

Ссылка на сообщение
Поделиться на другие сайты

 

 


quarantine.zip - отправил через форму.
не нашёл его, просьба закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС.

 

+

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


+ Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\Sticky Notes.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'Shortcut.zip');
end.

Файл Shortcut.zip из папки с распакованной утилитой AVZ также загрузите на обменник и ссылку мне в ЛС.
Ссылка на сообщение
Поделиться на другие сайты

В карантин не попал, посмотрите такой файл есть?

C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1

+ Shortcut.zip также жду.
 
+

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Shortcut.zip - отправил

 

C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1

 

Да, файл существует в этом месте.

 Отчет uVS прилагаю.


Место на диске все равно заканчивается. Уже не знаю что и удалять для нормальной работы. Ни скачать ни запустить толком не могу уже почти...

В чем проблема, как вы думаете? Дайте немного инфы, что за зверь у меня живет?

ANTICHRIST-ПК_2017-11-23_23-07-34.7z

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...