Пропадает место на диске

Printable View

15.07.2008, 20:48
Likkos

Вложений: 3

Пропадает место на диске

В общем проблема такая. Свалилась напасть на мой компьютер... Начало исчезать место с диска С! И перестали запускатся приложения.. некоторые, но не все.. Установщики тоже не работают. Установить программы можно только с диска. Антивирусы не запускаются или не устанавливаются... А если даже установились, то при запуске обычно выдаётся ошибка..(отправлять отчёт или нет). Когда начинаю запускать установщик программы, он висит в процессах несколько секунд, потом начинает исчезать и появляться и при этом копировать свои копии в папку TEMP(это я заметил только вчера). В общем после перезагрузки половина программ откзываются запускаться и начинается копирование их эксешников в папку Темп. Пытался скачать Cureit не скачивает.. просто, как только в начинаю искать его - браузер вылетает и именно на Cureit! Форматировал диск С три раза. Всё время оставаляся Svchost в папке Windows. Подскажите в чем проблема?
15.07.2008, 21:06
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\d6fagcs8.cmd','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\d6fagcs8.cmd','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteService('zxsderfbukjfyshlhdfrstdzhdfasht');
QuarantineFile('zxsderfbukjfyshlhdfrstdzhdfasht.sys','');
DeleteService('aic32p');
QuarantineFile('C:\WINDOWS\system32\drivers\jmrnl.sys','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('D:\d6fagcs8.cmd','');
QuarantineFile('C:\WINDOWS\system32\vcmgcd32.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
QuarantineFile('c:\docume~1\726e~1\locals~1\temp\winuyvij.exe','');
QuarantineFile('c:\docume~1\726e~1\locals~1\temp\winekyebw.exe','');
QuarantineFile('c:\docume~1\726e~1\locals~1\temp\winbffk.exe','');
QuarantineFile('d:\d6fagcs8.cmd','');
DeleteFile('d:\d6fagcs8.cmd');
DeleteFile('c:\docume~1\726e~1\locals~1\temp\winbffk.exe');
DeleteFile('c:\docume~1\726e~1\locals~1\temp\winekyebw.exe');
DeleteFile('c:\docume~1\726e~1\locals~1\temp\winuyvij.exe');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\lr4x.dll');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\winbffk.exe');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\winekyebw.exe');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\winuyvij.exe');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\dsp_sps.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\enc_aacplus.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\enc_flac.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\enc_lame.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\enc_wav.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\enc_wma.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\gen_ff.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\gen_hotkeys.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\gen_jumpex.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\gen_ml.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\gen_tray.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\in_cdda.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\in_flac.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\in_vorbis.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\in_linein.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\in_wave.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_autotag.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_dash.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_disc.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_local.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_history.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_nowplaying.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_online.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_orb.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_playlists.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_plg.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_rg.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_pmp.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_transcode.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\ml_wire.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\out_wave.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\pmp_activesync.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\pmp_njb.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\pmp_p4s.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\pmp_usb.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\vis_nsfs.lng');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\WLZ3695.tmp\winamp.lng');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\vcmgcd32.dll');
DeleteFile('D:\d6fagcs8.cmd');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\drivers\jmrnl.sys');
DeleteFile('zxsderfbukjfyshlhdfrstdzhdfasht.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\d6fagcs8.cmd');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\d6fagcs8.cmd');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
выполните пункт 2 правил ....
повторите логи ...
15.07.2008, 22:11
Likkos

Вложений: 1

Cureit не качает... как начинаю закачку браузер просто вылетает и Опера и IE. Карантин отослал, но забыл поставить пароль.. за это извиняюсь... Вот логи..
15.07.2008, 22:14
wise-wistful

а АВЗ логи где? АВЗ автоматом ставит на карантин пароль.
15.07.2008, 22:23
Likkos

Простите за вопрос.. Я новенький в том деле. Опять выполнять скрипт сбора информации для раздела "Помогите" или они в какой-то папке хранятся?
15.07.2008, 23:12
wise-wistful

Да снова необходимо выполнить стандартный скрипт 3 и 2, как вы делали это в первый раз.
15.07.2008, 23:56
Likkos

Вложений: 2

Вот логи... Карантин ещё раз высылать?
16.07.2008, 00:17
V_Bond

отключите восстановление системы !!!!!
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('PowerManager');
DeleteFile('C:\WINDOWS\system32\vcmgcd32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\jmrnl.sys');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('c:\docume~1\726e~1\locals~1\temp\winsxor.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
16.07.2008, 00:38
Likkos

Вложений: 3

ВОт..
16.07.2008, 14:20
Likkos

Вложений: 3

Вот новые логи... Друг принёс флешку с неё закинулся странный файл local.exe
16.07.2008, 15:50
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\System_Cache\locale.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\System_Cache\locale.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\System_Cache\locale.exe','');
QuarantineFile('C:\WINDOWS\system32\vcmgcd32.dll','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\ntfsours.exe','');
QuarantineFile('C:\WINDOWS\system32\locale.exe','');
DeleteService('aic32p');
QuarantineFile('C:\WINDOWS\system32\drivers\jmrnl.sys','');
QuarantineFile('c:\docume~1\726e~1\locals~1\temp\winxebyvh.exe','');
TerminateProcessByName('c:\docume~1\726e~1\locals~1\temp\winxebyvh.exe');
QuarantineFile('c:\docume~1\726e~1\locals~1\temp\winltmd.exe','');
TerminateProcessByName('c:\program files\winrar\winrar.exe');
TerminateProcessByName('c:\docume~1\726e~1\locals~1\temp\winltmd.exe');
QuarantineFile('d:\system_cache\locale.exe','');
DeleteFile('d:\system_cache\locale.exe');
DeleteFile('c:\docume~1\726e~1\locals~1\temp\winxebyvh.exe');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\winltmd.exe');
DeleteFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\winxebyvh.exe');
DeleteFile('D:\System_Cache\locale.exe');
DeleteFile('C:\WINDOWS\system32\drivers\jmrnl.sys');
DeleteFile('C:\WINDOWS\system32\locale.exe');
DeleteFile('C:\WINDOWS\system32\ntfsours.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\vcmgcd32.dll');
DeleteFile('C:\System_Cache\locale.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\System_Cache\locale.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
выполните пункт 2 правил .... (обязательно)
повторите логи ...
16.07.2008, 16:27
Likkos

Вложений: 3

Скрипт выполнил! local.exe исчезли! Спасибо! Вот логи... Cureit не хочет качаться... точнее когда я пытаюсь скачать ИМЕННО его.. браузер вылетает... Пробывал с потралов софта и фтп дрвеб... Всё равно вылетает...
16.07.2008, 16:45
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\jmrnl.sys','');
QuarantineFile('c:\docume~1\726e~1\locals~1\temp\winjvrkcu.exe','');
TerminateProcessByName('c:\docume~1\726e~1\locals~1\temp\winjvrkcu.exe');
DeleteFile('c:\docume~1\726e~1\locals~1\temp\winjvrkcu.exe');
DeleteFile('C:\WINDOWS\system32\drivers\jmrnl.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
Cureit скачайте [url]http://slil.ru/25984750[/url]
повторите логи ...
16.07.2008, 22:58
Likkos

Вложений: 3

Скрипт выполнил... Вот логи... Доктор Веб не скачивается... Я если честно первый раз с таким сталкиваюсь. Не с той ссылки которую вы мне дали. Не откуда! Попросил друга скачать.. он скачал.. я у него начинаю качать и просто программа закачки на 91% останавливается! Пробывали переименовать безрезультатно... Может надо полностью жёсткий диск форматировать?
16.07.2008, 23:02
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('PowerManager');
QuarantineFile('C:\WINDOWS\system32\drivers\jmrnl.sys','');
QuarantineFile('C:\WINDOWS\system32\vcmgcd32.dll','');
DeleteFile('C:\WINDOWS\system32\vcmgcd32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\jmrnl.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
Cureit друг же скачал запишите у него на диск и провертесь с диска как и нужно ...
повторите логи ...
20.07.2008, 23:14
Likkos

Вложений: 3

Снова я) Вроде только всё нормализовалось.. и опять... На этот раз Win32.sector 5 и 7... В интернете прочитал.. что они удаляют ветки реестра ответсвенные за безопасный режим.. и не дают скачать доктор веб и касперский.. Не запускаются антивирусы! Хелперы нужна помощь!
20.07.2008, 23:23
V_Bond

нужно сделать диск аварийного восстановления на чистой машине с обновленнім касперским ... пролечить машину ... затем новые логи ...
20.07.2008, 23:32
Likkos

а что такое диск аварийного восстановления?
22.02.2009, 06:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Virus.Win32.AutoIt.h[/B] (DrWEB: Win32.HLLW.Autoruner.1702)[*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.coi[/B] (DrWEB: Win32.HLLW.Autoruner.1390)[*] c:\\docume~1\\726e~1\\locals~1\\temp\\winekyebw.exe - [B]Trojan-PSW.Win32.Stealer.o[/B] (DrWEB: Trojan.HtmlChange.1)[*] c:\\docume~1\\726e~1\\locals~1\\temp\\winuyvij.exe - [B]Trojan.Win32.Agent.rlb[/B] (DrWEB: Trojan.Spambot.3378)[*] c:\\d6fagcs8.cmd - [B]Packed.Win32.PolyCrypt.h[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\system volume information\\_restore{187e9917-77c0-43a3-9985-711496799676}\\rp4\\a0003019.exe - [B]Virus.Win32.Hidrag.a[/B] (DrWEB: Win32.HLLP.Jeefo.36352)[*] c:\\system_cache\\locale.bak - [B]Virus.Win32.Sality.z[/B] (DrWEB: Win32.Sector.5)[*] c:\\system_cache\\locale.exe - [B]Virus.Win32.AutoIt.h[/B] (DrWEB: Win32.HLLW.Autoruner.1702)[*] c:\\windows\\svchost.exe - [B]Virus.Win32.Hidrag.a[/B] (DrWEB: Win32.HLLP.Jeefo.36352)[*] c:\\windows\\system32\\amvo.exe - [B]Packed.Win32.PolyCrypt.h[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\windows\\system32\\amvo0.dll - [B]Worm.Win32.AutoRun.clp[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] c:\\windows\\system32\\locale.exe - [B]Virus.Win32.Sality.q[/B] (DrWEB: Win32.HLLP.Sector)[*] c:\\windows\\system32\\ntfsours.exe - [B]Virus.Win32.Hidrag.a[/B] (DrWEB: Win32.HLLP.Jeefo.36352)[*] c:\\windows\\system32\\vcmgcd32.dll - [B]Virus.Win32.Sality.q[/B] (DrWEB: Win32.HLLP.Sector)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.coi[/B] (DrWEB: Win32.HLLW.Autoruner.1390)[*] d:\\autorun.inf - [B]Virus.Win32.AutoIt.h[/B] (DrWEB: Win32.HLLW.Autoruner.1702)[*] d:\\d6fagcs8.cmd - [B]Packed.Win32.PolyCrypt.h[/B] (DrWEB: Trojan.MulDrop.6474)[*] d:\\system_cache\\locale.exe - [B]Virus.Win32.AutoIt.h[/B] (DrWEB: Win32.HLLW.Autoruner.1702)[*] e:\\autorun.inf - [B]Worm.Win32.AutoRun.coi[/B] (DrWEB: Win32.HLLW.Autoruner.1390)[*] e:\\autorun.inf - [B]Virus.Win32.AutoIt.h[/B] (DrWEB: Win32.HLLW.Autoruner.1702)[*] e:\\d6fagcs8.cmd - [B]Packed.Win32.PolyCrypt.h[/B] (DrWEB: Trojan.MulDrop.6474)[*] e:\\system_cache\\locale.exe - [B]Virus.Win32.AutoIt.h[/B] (DrWEB: Win32.HLLW.Autoruner.1702)[/LIST][/LIST]