Показано с 1 по 17 из 17.

торимозит, и кто-то ест (ел) место на диске С (заявка № 14297)

  1. #1
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    18
    Вес репутации
    60

    Exclamation торимозит, и кто-то ест (ел) место на диске С

    Друзья, описываю по порядку: явно чего-то насосал с торента и комп вдруг начал дико тормозить, в диспетчере задач видел, что во время особых тормозов файл подкачки выростал до 1,5Гб. НОД32 и ДрВеб нашли три червя, но проблему не решили. В АВЗ я посмотрел что в автозапуске и отключил все что было не зеленым шрифтом. Стало немного получше, но со временем тормоза вернулись плюс стало вылезать сообщение что место на диске С исчерпано, хотя там сначала точно гигов 5-7 свободных было. Начал смотреть чтоже занимает столько место оказалось папка Temp в LocalSetting/. Не долго думая все оттуда стер стало намного лучше, но все равно некая тормознутость осталась. Посмотрите пож. логи может там что исправить можно.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы.
    Отключитесь от Интернета.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll','');
     QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('\SystemRoot\System32\Drivers\prodrv02.SYS','');
     ExecuteRepair(13);
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\WINDOWS\System32\ntos.exe');
     BC_DeleteFile('C:\WINDOWS\System32\ntos.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя эту ссылку.
    Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.

  4. #3
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    18
    Вес репутации
    60
    Сделал. Интересно, но комп сам перезагружаться отказался, вышел из учетной записи и намертво повис, пришлось кнопкой (((. Плюс через раз стали включаться сетевые подключения
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
     QuarantineFile('C:\WINDOWS\System32\wmldap.dll','');
     QuarantineFile('taskgmrs.exe','');
    end.
    пришлите карантин согласно приложения 3 правил..

  6. #5
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    18
    Вес репутации
    60
    После выполнения скрипта от AndreyKa стало работать намного лучше, почти как надо (спасибо, кстати))),
    только все равно время от времени начинаются тормоза и файл подкачки выростает до 1Гб, потом все проходит до следующего раза (закономерность от выполнямых на компе действий обнаружить не удалось) Я не знаю, важно это или нет, просто стараюсь как можно точнее описать симптомы

    V_Bond карантин отослал. Спасибо за помощь )))

    Да, в протоколе АВЗ написал :
    Файл успешно помещен в карантин (C:\WINDOWS\System32\wmldap.dll)
    Выполнен карантин файла C:\WINDOWS\System32\wmldap.dll
    Ошибка карантина файла, попытка прямого чтения (taskgmrs.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (taskgmrs.exe)
    Карантин с использованием прямого чтения - ошибка

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\System32\wmldap.dll Trojan.PWS.GoldSpy (DrWeb)
    C:\WINDOWS\System32\Drivers\prodrv02.SYS -чистый ...
    C:\WINDOWS\svchost.exe Trojan.Proxy.2375(DrWeb)
    C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll -чистый ...
    выполните скрипт...
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\System32\wmldap.dll ');
     QuarantineFile('taskgmrs.exe','');
     QuarantineFile('%SYSDIR%\taskgmrs.exe',''); 
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    После лечения поменяйте все пароли

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Хорошо, если стало лучше, но источник проблемы - Версия Windows: 5.1.2600, Service Pack 1, остался. Нужно как можно быстрее установить SP 2 и все критические обновления безопасности и сделать все логи заново.
    Только тогда можно будет говорить, что все в порядке.

  10. #9
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    18
    Вес репутации
    60
    Вот уж правду говорят пока петух не клюнет, мужик не перекреститься. Признаться чесно, как то легкомысленно я ко всему этому относился .......

    V_Bond скрипт выполнил, но в карантине пусто (((. Пока скрипт выполнялся видел в протоколе АВЗ много красных строк, что ошибка.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Попробуйте так:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('c:\Windows\System\taskgmrs.exe','');
     BC_ImportQuarantineList;
     BC_QrFile('c:\Windows\System\taskgmrs.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    В карантин если не попадет, попробуйте вручную через AVZ (Сервис - Поиск файлов на диске) найти и добавить в карантин.
    Карантин пришлите

  12. #11
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    18
    Вес репутации
    60
    rubin карантин закачал

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    карантин пустой ...
    выполните скрипт....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\System32\taskgmrs.exe,'');
     DeleteFile('C:\WINDOWS\System32\taskgmrs.exe');
     DeleteFile('%SYSDIR%\taskgmrs.exe'); 
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    если карантин будет не пустой пришлите ....
    повторите логи...

  14. #13
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    18
    Вес репутации
    60
    последние логи.

    По ощущениям проблемы сняты.
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    осталось почистить мусор...
    віполните скрипт...
    Код:
    begin
    DelAutorunByFileName('taskgmrs.exe');
    SysCleanAddFile('taskgmrs.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    и разобраться с єтим....

    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  16. #15
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    18
    Вес репутации
    60
    Спасибо всем хелперам, кто откликнулся. Работать можно, но периодически все равно наступает ступор, потом нормально, потом опять ступор ..... и т.д. Крамольные мысли о покупки лицензии в голове бродят, хоть обновлять можно будет )))

    V_Bond если Вы поможете мне все это отключить, буду очень благодарен.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    этот скипт отключает все указанное ... оставлен автозапуск CDROM
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    RebootWindows(true);
    end.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 26
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\svchost.exe - Trojan-PSW.Win32.LdPinch.edg (DrWEB: Trojan.Packed.194)
      2. c:\\windows\\system32\\wmldap.dll - Trojan-Spy.Win32.Goldun.ta (DrWEB: Trojan.PWS.GoldSpy)


  • Уважаемый(ая) KuPnu4, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Пропадает место на диске с
      От Legaron в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.02.2012, 21:39
    2. Как осовбодить место на диске?
      От Оксана505 в разделе Microsoft Windows
      Ответов: 13
      Последнее сообщение: 17.06.2011, 23:59
    3. Как осовбодить место на диске?
      От Оксана505 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.05.2011, 09:31
    4. Пропадает место на диске
      От Likkos в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 06:34
    5. Свободное место на диске
      От Nuevo в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.02.2006, 10:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01614 seconds with 20 queries