Denis Porubov Опубликовано 7 мая, 2020 Опубликовано 7 мая, 2020 Пропадает место на диске C, до нуля. Работает явно левый процесс SecureSurf.Browser.Client. Иногда заканчивается оперативная память. Лог прилагаю. CollectionLog-2020.05.07-08.26.zip
Sandor Опубликовано 7 мая, 2020 Опубликовано 7 мая, 2020 (изменено) Здравствуйте! Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО: Avast Cleanup Premium Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\fonts\s\svchost.exe'); TerminateProcessByName('c:\windows\fonts\s\www\webisida.browser.exe'); StopService('Windows Terminal Service Control (managed by AlwaysUpService)'); QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL', ''); QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe', ''); QuarantineFile('C:\Windows\Fonts\s\AlwaysUpServiceAssistant.dll', ''); QuarantineFile('c:\windows\fonts\s\svchost.exe', ''); QuarantineFile('D:\AppData\Local\Temp\AIE5F96.tmp', ''); DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL', '64'); DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe', '64'); DeleteFile('C:\Windows\Fonts\s\AlwaysUpServiceAssistant.dll', ''); DeleteFile('c:\windows\fonts\s\svchost.exe', ''); DeleteFile('C:\Windows\Fonts\s\svchost.exe', '64'); DeleteFile('D:\AppData\Local\Temp\AIE5F96.tmp', '64'); DeleteService('iSafeService'); DeleteService('Windows Terminal Service Control (managed by AlwaysUpService)'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Изменено 7 мая, 2020 пользователем Sandor
Denis Porubov Опубликовано 7 мая, 2020 Автор Опубликовано 7 мая, 2020 (изменено) Спасибо! Вот новый лог, файл quarantine.zip на указанную почту отправил, но ответа пока нет. CollectionLog-2020.05.07-16.41.zip Изменено 7 мая, 2020 пользователем Denis Porubov
Sandor Опубликовано 7 мая, 2020 Опубликовано 7 мая, 2020 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Denis Porubov Опубликовано 7 мая, 2020 Автор Опубликовано 7 мая, 2020 (изменено) Спасибо за помощь! AswCleaner-ом проверил, вот файл отчета. Найденное - удалить? AdwCleaner[S00].txt Изменено 7 мая, 2020 пользователем Denis Porubov
Sandor Опубликовано 7 мая, 2020 Опубликовано 7 мая, 2020 Да, причем, делайте так: 1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению: Сбросить политики IE Сбросить политики Chrome В меню Информационная панель нажмите Сканировать. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Denis Porubov Опубликовано 7 мая, 2020 Автор Опубликовано 7 мая, 2020 Спасибо, все сделал, вот файлы. Ответ на письмо все еще не пришел. Addition.txt FRST.txt AdwCleaner[C01].txt
Sandor Опубликовано 7 мая, 2020 Опубликовано 7 мая, 2020 Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKU\S-1-5-21-3443009670-3177982061-2632550024-1000\...\MountPoints2: {e6fa5ffc-01fc-11e4-9b1c-d850e64ac71c} - E:\.\ShowModem.exe AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => No File AppInit_DLLs-x32: 0 => No File FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION CHR HKU\S-1-5-21-3443009670-3177982061-2632550024-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {B07DD5CD-1B3C-4385-A1B7-A6A2E404D0F1} - System32\Tasks\system => taskkill [Argument = /im taskmgr.exe /f] <==== ATTENTION Task: {B61F68F9-3FE4-45D5-A7D5-A8DF2E6333DE} - System32\Tasks\systems => taskkill [Argument = /im prefmon.exe /f] Task: {E46BA201-5122-46E8-84F3-97F9DFCDC1E3} - \Google Updates -> No File <==== ATTENTION S1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] <==== ATTENTION S1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X] <==== ATTENTION S1 iSafeKrnlR3; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [X] <==== ATTENTION S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X] <==== ATTENTION EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Если вам не знакома папка C:\Program Files\RDP Wrapper удалите её вручную.
Denis Porubov Опубликовано 7 мая, 2020 Автор Опубликовано 7 мая, 2020 (изменено) Спасибо, папку RDP Wrapper удалил, FRST с этим скриптом запустил, файл fixlog прилагаю. Что делать дальше? Fixlog.txt Изменено 7 мая, 2020 пользователем Denis Porubov
Denis Porubov Опубликовано 7 мая, 2020 Автор Опубликовано 7 мая, 2020 (изменено) Только что, Sandor сказал: Что с проблемой? Место на диске появилось, аж 1,7 гига (это нормально), левых процессов больше не наблюдаю - насколько я понимаю которые левые, которые нет. То есть вроде бы решена проблема. Изменено 7 мая, 2020 пользователем Denis Porubov
Sandor Опубликовано 7 мая, 2020 Опубликовано 7 мая, 2020 Завершаем: 1. Пожалуйста, запустите adwcleaner.exe В меню Параметры прокрутите вниз и выберите Удалить. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.
Denis Porubov Опубликовано 7 мая, 2020 Автор Опубликовано 7 мая, 2020 Сделал, SecurityCheck.txt прикрепляю. SecurityCheck.txt А вот SSD почему-то продолжает заполняться непонятно чем. 1,7 свободных гига сожрались махом ? К предыдущему - возможно, я нашел в чем проблема с местом, она может быть связана с самой виндой.
Sandor Опубликовано 8 мая, 2020 Опубликовано 8 мая, 2020 6 часов назад, Denis Porubov сказал: возможно, я нашел в чем проблема с местом Размер диска С всего 55.8 гигабайт, это слишком мало. ------------------------------- [ Windows ] ------------------------------- Extended support has ended 14.01.2020, Your operating system may be vulnerable to new types of threats Internet Explorer 11.0.9600.17728 Warning! Download Update ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Avast Free Antivirus v.19.8.2393 Warning! Download Update --------------------------- [ OtherUtilities ] ---------------------------- PuTTY release 0.70 (64-bit) v.0.70.0.0 Warning! Download Update NVIDIA GeForce Experience 3.7.0.81 v.3.7.0.81 Warning! Download Update FileZilla Client 3.8.1 v.3.8.1 Warning! Download Update VLC media player 2.1.3 v.2.1.3 Warning! Download Update XnView 2.37 v.2.37 Warning! Download Update -------------------------------- [ Arch ] --------------------------------- WinRAR 5.70 (64-разрядная) v.5.70.0 Warning! Download Update 7-Zip 9.20 (x64 edition) v.9.20.00.0 Warning! This software is no longer supported. Uninstall old version, download and install new one. --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.45628 Warning! P2P-client. --------------------------------- [ SPY ] --------------------------------- VNC Viewer 6.17.1113 v.6.17.1113.31799 Warning! RAT!. AnyDesk v.ad 5.4.0 Warning! RAT!. --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.29.0.0.112 Warning! Download Update Adobe Flash Player 32 NPAPI v.32.0.0.293 Warning! Download Update Adobe Flash Player 32 PPAPI v.32.0.0.293 Warning! Download Update ---------------------------- [ UnwantedApps ] ----------------------------- Google Video Support Plugin v.19.12.1000.0 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!! Читайте Рекомендации после удаления вредоносного ПО
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти