Перейти к содержанию

Что-то съедает все место на диске C


Рекомендуемые сообщения

 

 


Да, файл существует в этом месте.
Он вам знаком? Если нет, то просьба заархивировать и также прислать в ЛС.

 

 

 


Уже не знаю что и удалять для нормальной работы.
Посмотрите тут ;)
C:\Windows\Windows\

двойная вложенность папок это не нормально, скорее всего вторая создана вирусом и её можно удалить :).


  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&FR=NTG&PRODUCT_ID=%7B9D8FC878-475D-4CF5-B58D-4E6FFFD18B13%7D&GP=821116
    delref HTTP://GO.MAIL.RU/DISTIB/EP/?FR=NTG&PRODUCT_ID=%7B1F6D0F9C-0862-4348-974F-025B763A5AA3%7D&GP=821112
    delref HTTP://MAIL.RU/CNT/10445?GP=821115
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLHEMECHCANJMILLLMCCJBJLDONMNNJJJ%26INSTALLSOURCE%3DONDEMAND%26UC
    delref %SystemDrive%\USERS\ANTICHRIST\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LHEMECHCANJMILLLMCCJBJLDONMNNJJJ\3.3.5_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROLEAVES\ONLINE APPLICATION\VERSION 2.6.0\ONLINE-GUARDIAN.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\ONESYSTEMCARE\CLEANUPCONSOLE.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\ONESYSTEMCARE\ONESYSTEMCARE.EXE
    deldir %SystemDrive%\PROGRAM FILES (X86)\ZFJRWQLPHIE
    ;---------command-block---------
    delref %SystemDrive%\PROGRA~2\ONESYS~1\SYSTEM~1.EXE
    delref %SystemDrive%\USERS\ANTICHRIST\APPDATA\LOCAL\TEMP\HYD9157.TMP.1480945387\HTA\3RDPARTY\FS.OCX
    apply
    
    regt 27
    restart 
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 33
  • Created
  • Последний ответ

Top Posters In This Topic

  • ANTICHRIST

    18

  • regist

    13

  • Mark D. Pearlstone

    2

  • Sandor

    1

Top Posters In This Topic

Popular Posts

лог пустой. Пожалуста заново сохраните его и прикрепите.Скрин также поврежден, но всё равно нужен не скрин, а лог.

1) "Пофиксите" в HijackThis: O4 - HKCU\..\RunOnce: [Application Restart #0] C:\Program Files (x86)\Google\Chrome\Application\chrome.exe  --flag-switches-begin --flag-switches-end --restore-last-sess

у вас среди прочей заразы там майнер жил. Скорее всего под его файлы для рассчётов из пула и уходило место.  Насчёт того чтобы определить, что занимает лишнее место и удалить можете воспользоваться п

Posted Images

Во вложении - DisableUnusedSmb1.ps1

Папка C:\Windows\Windows\ - почти пустая, там и метра не было, но почистил.

Скрипт выполнил.

 

Отчет прилагаю (но версия не была активирована на премиум, т.к. первы пуск был без подключения к инетую Потом подключился, обновился, запустил обычный скан, прога стала на инглише, мало что понятно)

 

 

 

 

 

 

 

 

 

 


А в скрине нашел какие-то угрозы..


А в предыдущем отчеты от adw был какой-то биткоин майнер... что ли... может он место съедает на диске?

scan.txt

DisableUnusedSmb1.rar

скан.rar

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

 

 


Прикрепленный файл scan.txt 36байт
лог пустой. Пожалуста заново сохраните его и прикрепите.

Скрин также поврежден, но всё равно нужен не скрин, а лог.

Ссылка на сообщение
Поделиться на другие сайты

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 

Сделано. Прикрепляю.

лог пустой. Пожалуста заново сохраните его и прикрепите.

Скрин также поврежден, но всё равно нужен не скрин, а лог.

 

Возможно из-за нехватки места  на диске С не удается записать лог? Не знаю в чем и причина, все по инструкции. 

Да, прошлые разы проверка не выдавала ничего! Не понимаю почему, может из-за нехватки места. Сейчас удалил 1гиг нужного контента, и проверка нашла 360 угроз... При этом место съедалось со скоростью примерно 4мб в секунду!Чего делать, куда деётся место?))

Скан прикрепляю в txt.

Гугл хром я бы удалил нафиг полностью ,если это поможет избавиться от хвостов.

Addition.txt

FRST.txt

Shortcut.txt

скан_новый.txt

Ссылка на сообщение
Поделиться на другие сайты

Пока суть да дело, Malwarebytes' Anti-Malware. еще выявил вредоносное ПО. Количество растет как  на дрожжях Было 260, стало 349....

 

 

Ссылка на сообщение
Поделиться на другие сайты

1) желательно создать точку восстановления, но у вас наверно нет места для её создания?

2) Удалите в MBAM всё найденное и повторите сканирование. Свежий лог прикрепите.


и по поводу места, если так быстро оно исчезает и его критически нехватает. Временно можете попробовать пользоваться системой из безопасного режима с поддержкой сети.

Ссылка на сообщение
Поделиться на другие сайты

Точку восстановления создал.

МВАМ все удалил, перезагрузил комп, но потом еще нашел... я опять все удалил, но уже не предлагал перезагрузить. И опять скан нашел вредоносное ПО...

сканеще.txt

Ссылка на сообщение
Поделиться на другие сайты

Проблема похоже решена. По крайней мере МВАМ не находит больше шпионского ПО (несколько раз сканил и потом с карантина все-таки все удалилось).

Большое Вам спасибо за участие и помощь! А так же за Ваше время. :ura:

Спасибо большое regist :cool2:

Спасибо Sandor

Как мне все таки убедиться, что хвостов нет и не осталось больше заразы? Ну и лазеек для нее на будущее? :help:

ещеодинскан.txt

Ссылка на сообщение
Поделиться на другие сайты

По прикреплённому отчёту всё найденное можно удалить. Если

C:\USERS\ANTICHRIST\DOWNLOADS\DRIVERPACK-17-ONLINE.EXE

нужен, то его оставьте.

 

Потом свежие логи по правилам сделайте.

Ссылка на сообщение
Поделиться на другие сайты

 

 


Потом свежие логи по правилам сделайте.

Новый нулевой скан уже отправил. А что за логи еще нужны?


AutoLogger прилагаю.

 

CollectionLog-2017.11.27-00.17.zip

Ссылка на сообщение
Поделиться на другие сайты

1) "Пофиксите" в HijackThis:

O4 - HKCU\..\RunOnce: [Application Restart #0] C:\Program Files (x86)\Google\Chrome\Application\chrome.exe  --flag-switches-begin --flag-switches-end --restore-last-session -- "https://click.kaspersky.com/?hl=ru-RU&customization=&link=components_failure&syst=Microsoft Windows 10 10.0.16299 Service Pack 0 Build 16299&pid=kis&version=18.0.0.405&hotfix=a.b.c.d&installid={1F260AB5-66AD-45F3-A7EB-5B497E7AFE73}&serial=&lic-id=7B6D44E2-C619-4E76-B63E-1A9F6F6FAF1C&ktype=5&kcount=3&kcreat=20171120T153957&kexp=20180803T000102&kinst=20170802T000102" (file missing)
O8 - Extra context menu item: E&xport to Microsoft Excel - C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE (file missing)
O22 - Task (Disabled): \Microsoft\Windows\Media Center\PeriodicScanRetry - C:\WINDOWS\ehome\MCUpdate.exe -pscn 0 (file missing)
O22 - Task (Disabled): \Microsoft\Windows\Media Center\RecordingRestart - C:\WINDOWS\ehome\ehrec /RestartRecording (file missing)
O22 - Task (Disabled): \Microsoft\Windows\Shell\WindowsParentalControls - {DFA14C43-F385-4170-99CC-1B7765FA0E4A} - C:\Windows\SysWOW64\wpcumi.dll (file missing)
O22 - Task (Disabled): \Microsoft\Windows\Shell\WindowsParentalControlsMigration - {343D770D-7788-47C2-B62A-B7C4CED925CB} - C:\Windows\SysWOW64\wpcmig.dll (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\ActivateWindowsSearch - C:\WINDOWS\ehome\ehPrivJob.exe /DoActivateWindowsSearch (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\ConfigureInternetTimeService - C:\WINDOWS\ehome\ehPrivJob.exe /DoConfigureInternetTimeService (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\DispatchRecoveryTasks - C:\WINDOWS\ehome\ehPrivJob.exe /DoRecoveryTasks $(Arg0) (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\InstallPlayReady - C:\WINDOWS\ehome\ehPrivJob.exe /InstallPlayReady $(Arg0) (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\MediaCenterRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -MediaCenterRecoveryTask (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\OCURActivate - C:\WINDOWS\ehome\ehPrivJob.exe /OCURActivate (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\OCURDiscovery - C:\WINDOWS\ehome\ehPrivJob.exe /OCURDiscovery $(Arg0) (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -ObjectStoreRecoveryTask (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\PBDADiscovery - C:\WINDOWS\ehome\ehPrivJob.exe /PBDADiscovery (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\PBDADiscoveryW1 - C:\WINDOWS\ehome\ehPrivJob.exe /wait:7 /PBDADiscovery (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\PBDADiscoveryW2 - C:\WINDOWS\ehome\ehPrivJob.exe /wait:90 /PBDADiscovery (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\PvrRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -PvrRecoveryTask (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\PvrScheduleTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -PvrSchedule (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\RegisterSearch - C:\WINDOWS\ehome\ehPrivJob.exe /DoRegisterSearch $(Arg0) (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\ReindexSearchRoot - C:\WINDOWS\ehome\ehPrivJob.exe /DoReindexSearchRoot (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\SqlLiteRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -SqlLiteRecoveryTask (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\StartRecording - C:\WINDOWS\ehome\ehrec /StartRecording (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\UpdateRecordPath - C:\WINDOWS\ehome\ehPrivJob.exe /DoUpdateRecordPath $(Arg0) (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\ehDRMInit - C:\WINDOWS\ehome\ehPrivJob.exe /DRMInit (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\mcupdate - C:\WINDOWS\ehome\mcupdate $(Arg0) (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\mcupdate_scheduled - C:\WINDOWS\ehome\mcupdate -crl -hms -pscn 15 (file missing)
O22 - Task (Ready): \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& %windir%\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task (Ready): \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& %windir%\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"

 

2) MBAM деинсталируйте.

 

3) Сделайте свежие логи автологером.

 

PS. место больше не пропадает?

Ссылка на сообщение
Поделиться на другие сайты

1. Пофиксил.

2. МВАМ удалил

3. Лог прилагаю.

4. Место не пропадает. Узнаете куда пропадало - убьете меня)))

 

З.ы. Все по логам ок на Ваш взгляд?

CollectionLog-2017.11.27-15.15.zip

Ссылка на сообщение
Поделиться на другие сайты

 

 


Узнаете куда пропадало
у вас среди прочей заразы там майнер жил. Скорее всего под его файлы для рассчётов из пула и уходило место.

 

Насчёт того чтобы определить, что занимает лишнее место и удалить можете воспользоваться программами типа SpaceSniffer (в поиковике можете поискать, есть несколько аналогичных по функционалу, но слегка отличаются интерфейсом и удобством).

 

 

 


Все по логам ок на Ваш взгляд?
да, чисто.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

 

 


у вас среди прочей заразы там майнер жил.

Это да, согласен. Был и майнер и другая зараза. И еще невнимательный юзер))

Только ногами не бейте, ок? Я после заражения, когда запустил КИС, взял сдуру в первый раз и включил вести запись мониторинга проблем. После его отключения (вчера) место перестало пропадать с дикой скоростью. А после удаления всех накопленных отчетов - освободилось 50 гигов! Кто бы знал (и предупредил при включении), что эта фича съедает столько места?! Хоть бы ограничения какие были...

В общем, сам виноват. Хорошо, хоть догадался пофиксить. Больше юзать эту фичу не буду)))

 

 


Выполните скрипт в AVZ при наличии доступа в интернет:

Все сделал, все гуд!

 

 


Выполните рекомендации после лечения.

Удалил и почистил как сказано.

 

Вам еще раз огромное спасибо за участие и помощь! Вы очень помогли!

Тему можно закрывать. И в ФАК.)))

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...