Что-то съедает все место на диске C

[regist]

 

 

Да, файл существует в этом месте.

Он вам знаком? Если нет, то просьба заархивировать и также прислать в ЛС.

 

 

 

Уже не знаю что и удалять для нормальной работы.

Посмотрите тут

C:\Windows\Windows\

двойная вложенность папок это не нормально, скорее всего вторая создана вирусом и её можно удалить .

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv10.0
   v400c
   BREG
   delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&FR=NTG&PRODUCT_ID=%7B9D8FC878-475D-4CF5-B58D-4E6FFFD18B13%7D&GP=821116
   delref HTTP://GO.MAIL.RU/DISTIB/EP/?FR=NTG&PRODUCT_ID=%7B1F6D0F9C-0862-4348-974F-025B763A5AA3%7D&GP=821112
   delref HTTP://MAIL.RU/CNT/10445?GP=821115
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLHEMECHCANJMILLLMCCJBJLDONMNNJJJ%26INSTALLSOURCE%3DONDEMAND%26UC
   delref %SystemDrive%\USERS\ANTICHRIST\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LHEMECHCANJMILLLMCCJBJLDONMNNJJJ\3.3.5_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROLEAVES\ONLINE APPLICATION\VERSION 2.6.0\ONLINE-GUARDIAN.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\ONESYSTEMCARE\CLEANUPCONSOLE.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\ONESYSTEMCARE\ONESYSTEMCARE.EXE
   deldir %SystemDrive%\PROGRAM FILES (X86)\ZFJRWQLPHIE
   ;---------command-block---------
   delref %SystemDrive%\PROGRA~2\ONESYS~1\SYSTEM~1.EXE
   delref %SystemDrive%\USERS\ANTICHRIST\APPDATA\LOCAL\TEMP\HYD9157.TMP.1480945387\HTA\3RDPARTY\FS.OCX
   apply
   
   regt 27
   restart 

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
   

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
 

[ANTICHRIST]

Во вложении - DisableUnusedSmb1.ps1

Папка C:\Windows\Windows\ - почти пустая, там и метра не было, но почистил.

Скрипт выполнил.

 

Отчет прилагаю (но версия не была активирована на премиум, т.к. первы пуск был без подключения к инетую Потом подключился, обновился, запустил обычный скан, прога стала на инглише, мало что понятно)

 

 

 

 

 

 

 

 

 

 

А в скрине нашел какие-то угрозы..

А в предыдущем отчеты от adw был какой-то биткоин майнер... что ли... может он место съедает на диске?

scan.txt

DisableUnusedSmb1.rar

скан.rar

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[regist]

 

 

Прикрепленный файл scan.txt 36байт

лог пустой. Пожалуста заново сохраните его и прикрепите.

Скрин также поврежден, но всё равно нужен не скрин, а лог.

[ANTICHRIST]

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 

Сделано. Прикрепляю.

лог пустой. Пожалуста заново сохраните его и прикрепите.

Скрин также поврежден, но всё равно нужен не скрин, а лог.

 

Возможно из-за нехватки места  на диске С не удается записать лог? Не знаю в чем и причина, все по инструкции. 

Да, прошлые разы проверка не выдавала ничего! Не понимаю почему, может из-за нехватки места. Сейчас удалил 1гиг нужного контента, и проверка нашла 360 угроз... При этом место съедалось со скоростью примерно 4мб в секунду!Чего делать, куда деётся место?))

Скан прикрепляю в txt.

Гугл хром я бы удалил нафиг полностью ,если это поможет избавиться от хвостов.

Addition.txt

FRST.txt

Shortcut.txt

скан_новый.txt

[ANTICHRIST]

Пока суть да дело, Malwarebytes' Anti-Malware. еще выявил вредоносное ПО. Количество растет как  на дрожжях Было 260, стало 349....

 

 

[regist]

1) желательно создать точку восстановления, но у вас наверно нет места для её создания?

2) Удалите в MBAM всё найденное и повторите сканирование. Свежий лог прикрепите.

и по поводу места, если так быстро оно исчезает и его критически нехватает. Временно можете попробовать пользоваться системой из безопасного режима с поддержкой сети.

[ANTICHRIST]

Точку восстановления создал.

МВАМ все удалил, перезагрузил комп, но потом еще нашел... я опять все удалил, но уже не предлагал перезагрузить. И опять скан нашел вредоносное ПО...

сканеще.txt

[ANTICHRIST]

Проблема похоже решена. По крайней мере МВАМ не находит больше шпионского ПО (несколько раз сканил и потом с карантина все-таки все удалилось).

Большое Вам спасибо за участие и помощь! А так же за Ваше время.

Спасибо большое regist

Спасибо Sandor

Как мне все таки убедиться, что хвостов нет и не осталось больше заразы? Ну и лазеек для нее на будущее?

ещеодинскан.txt

[regist]

По прикреплённому отчёту всё найденное можно удалить. Если

C:\USERS\ANTICHRIST\DOWNLOADS\DRIVERPACK-17-ONLINE.EXE

нужен, то его оставьте.

 

Потом свежие логи по правилам сделайте.

[ANTICHRIST]

 

 

Потом свежие логи по правилам сделайте.

Новый нулевой скан уже отправил. А что за логи еще нужны?

AutoLogger прилагаю.

 

CollectionLog-2017.11.27-00.17.zip

[regist]

1) "Пофиксите" в HijackThis:

O4 - HKCU\..\RunOnce: [Application Restart #0] C:\Program Files (x86)\Google\Chrome\Application\chrome.exe  --flag-switches-begin --flag-switches-end --restore-last-session -- "https://click.kaspersky.com/?hl=ru-RU&customization=&link=components_failure&syst=Microsoft Windows 10 10.0.16299 Service Pack 0 Build 16299&pid=kis&version=18.0.0.405&hotfix=a.b.c.d&installid={1F260AB5-66AD-45F3-A7EB-5B497E7AFE73}&serial=&lic-id=7B6D44E2-C619-4E76-B63E-1A9F6F6FAF1C&ktype=5&kcount=3&kcreat=20171120T153957&kexp=20180803T000102&kinst=20170802T000102" (file missing)
O8 - Extra context menu item: E&xport to Microsoft Excel - C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE (file missing)
O22 - Task (Disabled): \Microsoft\Windows\Media Center\PeriodicScanRetry - C:\WINDOWS\ehome\MCUpdate.exe -pscn 0 (file missing)
O22 - Task (Disabled): \Microsoft\Windows\Media Center\RecordingRestart - C:\WINDOWS\ehome\ehrec /RestartRecording (file missing)
O22 - Task (Disabled): \Microsoft\Windows\Shell\WindowsParentalControls - {DFA14C43-F385-4170-99CC-1B7765FA0E4A} - C:\Windows\SysWOW64\wpcumi.dll (file missing)
O22 - Task (Disabled): \Microsoft\Windows\Shell\WindowsParentalControlsMigration - {343D770D-7788-47C2-B62A-B7C4CED925CB} - C:\Windows\SysWOW64\wpcmig.dll (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\ActivateWindowsSearch - C:\WINDOWS\ehome\ehPrivJob.exe /DoActivateWindowsSearch (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\ConfigureInternetTimeService - C:\WINDOWS\ehome\ehPrivJob.exe /DoConfigureInternetTimeService (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\DispatchRecoveryTasks - C:\WINDOWS\ehome\ehPrivJob.exe /DoRecoveryTasks $(Arg0) (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\InstallPlayReady - C:\WINDOWS\ehome\ehPrivJob.exe /InstallPlayReady $(Arg0) (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\MediaCenterRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -MediaCenterRecoveryTask (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\OCURActivate - C:\WINDOWS\ehome\ehPrivJob.exe /OCURActivate (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\OCURDiscovery - C:\WINDOWS\ehome\ehPrivJob.exe /OCURDiscovery $(Arg0) (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -ObjectStoreRecoveryTask (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\PBDADiscovery - C:\WINDOWS\ehome\ehPrivJob.exe /PBDADiscovery (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\PBDADiscoveryW1 - C:\WINDOWS\ehome\ehPrivJob.exe /wait:7 /PBDADiscovery (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\PBDADiscoveryW2 - C:\WINDOWS\ehome\ehPrivJob.exe /wait:90 /PBDADiscovery (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\PvrRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -PvrRecoveryTask (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\PvrScheduleTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -PvrSchedule (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\RegisterSearch - C:\WINDOWS\ehome\ehPrivJob.exe /DoRegisterSearch $(Arg0) (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\ReindexSearchRoot - C:\WINDOWS\ehome\ehPrivJob.exe /DoReindexSearchRoot (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\SqlLiteRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe - (no file) -SqlLiteRecoveryTask (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\StartRecording - C:\WINDOWS\ehome\ehrec /StartRecording (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\UpdateRecordPath - C:\WINDOWS\ehome\ehPrivJob.exe /DoUpdateRecordPath $(Arg0) (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\ehDRMInit - C:\WINDOWS\ehome\ehPrivJob.exe /DRMInit (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\mcupdate - C:\WINDOWS\ehome\mcupdate $(Arg0) (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\mcupdate_scheduled - C:\WINDOWS\ehome\mcupdate -crl -hms -pscn 15 (file missing)
O22 - Task (Ready): \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& %windir%\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task (Ready): \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& %windir%\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"

 

2) MBAM деинсталируйте.

 

3) Сделайте свежие логи автологером.

 

PS. место больше не пропадает?

[ANTICHRIST]

1. Пофиксил.

2. МВАМ удалил

3. Лог прилагаю.

4. Место не пропадает. Узнаете куда пропадало - убьете меня)))

 

З.ы. Все по логам ок на Ваш взгляд?

CollectionLog-2017.11.27-15.15.zip

[regist]

 

 

Узнаете куда пропадало

у вас среди прочей заразы там майнер жил. Скорее всего под его файлы для рассчётов из пула и уходило место.

 

Насчёт того чтобы определить, что занимает лишнее место и удалить можете воспользоваться программами типа SpaceSniffer (в поиковике можете поискать, есть несколько аналогичных по функционалу, но слегка отличаются интерфейсом и удобством).

 

 

 

Все по логам ок на Ваш взгляд?

да, чисто.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[ANTICHRIST]

 

 

у вас среди прочей заразы там майнер жил.

Это да, согласен. Был и майнер и другая зараза. И еще невнимательный юзер))

Только ногами не бейте, ок? Я после заражения, когда запустил КИС, взял сдуру в первый раз и включил вести запись мониторинга проблем. После его отключения (вчера) место перестало пропадать с дикой скоростью. А после удаления всех накопленных отчетов - освободилось 50 гигов! Кто бы знал (и предупредил при включении), что эта фича съедает столько места?! Хоть бы ограничения какие были...

В общем, сам виноват. Хорошо, хоть догадался пофиксить. Больше юзать эту фичу не буду)))

 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

Все сделал, все гуд!

 

 

Выполните рекомендации после лечения.

Удалил и почистил как сказано.

 

Вам еще раз огромное спасибо за участие и помощь! Вы очень помогли!

Тему можно закрывать. И в ФАК.)))