Процесс SecureSurf.Browser.Client

[Denis Porubov]

Пропадает место на диске C, до нуля. Работает явно левый процесс SecureSurf.Browser.Client. Иногда заканчивается оперативная память. Лог прилагаю.

CollectionLog-2020.05.07-08.26.zip

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Avast Cleanup Premium

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\fonts\s\svchost.exe');
 TerminateProcessByName('c:\windows\fonts\s\www\webisida.browser.exe');
 StopService('Windows Terminal Service Control (managed by AlwaysUpService)');
 QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL', '');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe', '');
 QuarantineFile('C:\Windows\Fonts\s\AlwaysUpServiceAssistant.dll', '');
 QuarantineFile('c:\windows\fonts\s\svchost.exe', '');
 QuarantineFile('D:\AppData\Local\Temp\AIE5F96.tmp', '');
 DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL', '64');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe', '64');
 DeleteFile('C:\Windows\Fonts\s\AlwaysUpServiceAssistant.dll', '');
 DeleteFile('c:\windows\fonts\s\svchost.exe', '');
 DeleteFile('C:\Windows\Fonts\s\svchost.exe', '64');
 DeleteFile('D:\AppData\Local\Temp\AIE5F96.tmp', '64');
 DeleteService('iSafeService');
 DeleteService('Windows Terminal Service Control (managed by AlwaysUpService)');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

Изменено 7 мая, 2020 пользователем Sandor

[Denis Porubov]

Спасибо!

 

Вот новый лог, файл quarantine.zip на указанную почту отправил, но ответа пока нет.

CollectionLog-2020.05.07-16.41.zip

Изменено 7 мая, 2020 пользователем Denis Porubov

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Denis Porubov]

Спасибо за помощь! AswCleaner-ом проверил, вот файл отчета.

 

Найденное - удалить?

 

 

AdwCleaner[S00].txt

Изменено 7 мая, 2020 пользователем Denis Porubov

[Sandor]

Да, причем, делайте так:

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• В меню Информационная панель нажмите Сканировать.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Denis Porubov]

Спасибо, все сделал, вот файлы.

 

Ответ на письмо все еще не пришел.

Addition.txt FRST.txt AdwCleaner[C01].txt

[Sandor]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  HKU\S-1-5-21-3443009670-3177982061-2632550024-1000\...\MountPoints2: {e6fa5ffc-01fc-11e4-9b1c-d850e64ac71c} - E:\.\ShowModem.exe
  AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => No File
  AppInit_DLLs-x32: 0 => No File
  FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  CHR HKU\S-1-5-21-3443009670-3177982061-2632550024-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Task: {B07DD5CD-1B3C-4385-A1B7-A6A2E404D0F1} - System32\Tasks\system => taskkill [Argument = /im taskmgr.exe /f] <==== ATTENTION
  Task: {B61F68F9-3FE4-45D5-A7D5-A8DF2E6333DE} - System32\Tasks\systems => taskkill [Argument = /im prefmon.exe /f]
  Task: {E46BA201-5122-46E8-84F3-97F9DFCDC1E3} - \Google Updates -> No File <==== ATTENTION
  S1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] <==== ATTENTION
  S1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X] <==== ATTENTION
  S1 iSafeKrnlR3; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [X] <==== ATTENTION
  S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X] <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Если вам не знакома папка

C:\Program Files\RDP Wrapper

удалите её вручную.

[Denis Porubov]

Спасибо, папку RDP Wrapper удалил, FRST с этим скриптом запустил, файл fixlog прилагаю.

 

Что делать дальше?

 

Fixlog.txt

Изменено 7 мая, 2020 пользователем Denis Porubov

[Sandor]

Что с проблемой?

[Denis Porubov]

Только что, Sandor сказал:

Что с проблемой?

Место на диске появилось, аж 1,7 гига (это нормально), левых процессов больше не наблюдаю - насколько я понимаю которые левые, которые нет. То есть вроде бы решена проблема.

Изменено 7 мая, 2020 пользователем Denis Porubov

[Sandor]

Завершаем:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Denis Porubov]

Сделал, SecurityCheck.txt прикрепляю. 

SecurityCheck.txt

 

А вот SSD почему-то продолжает заполняться непонятно чем. 1,7 свободных гига сожрались махом ?

 

К предыдущему - возможно, я нашел в чем проблема с местом, она может быть связана с самой виндой.

[Sandor]

6 часов назад, Denis Porubov сказал:

возможно, я нашел в чем проблема с местом

 

 

Размер диска С всего 55.8 гигабайт, это слишком мало.

 

------------------------------- [ Windows ] -------------------------------
Extended support has ended 14.01.2020, Your operating system may be vulnerable to new types of threats
Internet Explorer 11.0.9600.17728 Warning! Download Update
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Free Antivirus v.19.8.2393 Warning! Download Update
--------------------------- [ OtherUtilities ] ----------------------------
PuTTY release 0.70 (64-bit) v.0.70.0.0 Warning! Download Update
NVIDIA GeForce Experience 3.7.0.81 v.3.7.0.81 Warning! Download Update
FileZilla Client 3.8.1 v.3.8.1 Warning! Download Update
VLC media player 2.1.3 v.2.1.3 Warning! Download Update
XnView 2.37 v.2.37 Warning! Download Update
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.70 (64-разрядная) v.5.70.0 Warning! Download Update
7-Zip 9.20 (x64 edition) v.9.20.00.0 Warning! This software is no longer supported. Uninstall old version, download and install new one.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45628 Warning! P2P-client.
--------------------------------- [ SPY ] ---------------------------------
VNC Viewer 6.17.1113 v.6.17.1113.31799 Warning! RAT!.
AnyDesk v.ad 5.4.0 Warning! RAT!.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.29.0.0.112 Warning! Download Update
Adobe Flash Player 32 NPAPI v.32.0.0.293 Warning! Download Update
Adobe Flash Player 32 PPAPI v.32.0.0.293 Warning! Download Update
---------------------------- [ UnwantedApps ] -----------------------------
Google Video Support Plugin v.19.12.1000.0 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
 

 

Читайте Рекомендации после удаления вредоносного ПО