-
Junior Member
- Вес репутации
- 33
Заполнился системный диск C неизвестным содержимым
Доброго времени!
Буквально недавно заметил, что системный диск C оказался полностью заполненным. Чем заполнился - мне неизвестно. Заполнение произошло само по себе. Такая же проблема возникла и абсолютно на другом компьютере, который расположен в другой квартире. Файлами компьютеры не обменивались.
Присылаю логи с первого компьютера.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Владимир Ёлкин, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте,
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
DeleteFile('C:\Windows\system32\Tasks\{6E3A11EC-2047-4289-A1A5-9DC2D993521E}','64');
DeleteFile('c:\program files (x86)\crossbrowse\crossbrowse\application\crossbrowse.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{A759ABD9-FF17-4B44-8266-4291A04806A0}','64');
DeleteFile('C:\Windows\system32\Tasks\{AC108452-E218-43A3-9104-1D8608FBFEDE}','64');
DeleteFile('C:\Windows\system32\Tasks\{B35507B1-A081-4129-A61F-FEFBD31847AF}','64');
DeleteFile('C:\Windows\system32\Tasks\{BD975C24-00D9-4CF1-B2F3-A5D44FB2BD82}','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_100535F106431A9BDA15E8895BE69FFB','command');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 33
При загрузке файла quarantine.zip пишет: Ошибка загрузки. Данный файл уже был загружен.
Прикрепляю отчёт AdwCleaner.
-
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 33
Не могу загрузить файл AdwCleaner[C0] во вложения, так как закончилось свободное место в файловом хранилище.
-
Удалите старые вложения Мой кабинет => Вложения
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 33
А я найти не мог, где удаляется
-
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 33
Отчёты Farbar Recovery Scan Tool
-
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
ShortcutTarget: Dropbox.lnk -> C:\Program Files (x86)\Dropbox\Client\Dropbox.exe (No File)
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [No File]
FF Plugin HKU\S-1-5-21-3015283593-567400103-190180941-1000: @acestream.net/acestreamplugin,version=3.1.6 -> C:\Users\user\AppData\Roaming\ACEStream\player\npace_plugin.dll [2015-08-06] (Innovative Digital Technologies)
FF Plugin HKU\S-1-5-21-3015283593-567400103-190180941-1000: @acestream.net/acestreamplugin,version=3.1.7 -> C:\Users\user\AppData\Roaming\ACEStream\player\npace_plugin.dll [2015-08-06] (Innovative Digital Technologies)
FF Extension: (No Name) - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 16.0.0\FFExt\light_plugin_firefox [not found]
FF HKU\S-1-5-21-3015283593-567400103-190180941-1000\...\Firefox\Extensions: [[email protected]] - C:\Users\user\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi
FF Extension: (Ace Stream Web Extension) - C:\Users\user\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2015-12-18]
CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1434729183&z=5f1766dcba4b2a6fe744e80g5z5c8z5m3o9t8gem9w&from=face&uid=WDCXWD6401AALS-00L3B2_WD-WCASY785947759477"
CHR HKU\S-1-5-21-3015283593-567400103-190180941-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
2016-08-27 14:32 - 2016-08-27 16:07 - 00000000 ____D C:\Users\user\AppData\Roaming\.ACEStream
2016-08-27 14:32 - 2016-08-27 14:32 - 00000000 ____D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ace Stream Media
2016-08-27 14:32 - 2016-08-27 14:32 - 00000000 ____D C:\Users\user\AppData\LocalLow\.ACEStream
2016-08-27 14:31 - 2016-08-27 14:32 - 00000000 ____D C:\Users\user\AppData\Roaming\ACEStream
2016-08-26 12:13 - 2016-07-11 00:38 - 00000000 ___HD C:\_acestream_cache_
2016-07-06 13:54 - 2016-07-06 13:54 - 0000000 ____H () C:\Users\user\AppData\Local\BIT6BBD.tmp
2016-07-06 13:41 - 2016-07-06 13:41 - 0000000 ____H () C:\Users\user\AppData\Local\BIT9EAE.tmp
2015-02-19 22:43 - 2015-02-19 22:43 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2015-10-23 10:41 - 2015-10-23 10:41 - 0000016 _____ () C:\ProgramData\mntemp
Task: {3ACF7271-B892-4097-8E00-4A4361ED6E55} - \{B35507B1-A081-4129-A61F-FEFBD31847AF} -> No File <==== ATTENTION
Task: {6E7D7D71-F62D-4F37-BE27-DCB782EE22CF} - \{6E3A11EC-2047-4289-A1A5-9DC2D993521E} -> No File <==== ATTENTION
Task: {8C9E9A66-4AA7-4EA8-86D4-31C6E09E7302} - \{AC108452-E218-43A3-9104-1D8608FBFEDE} -> No File <==== ATTENTION
Task: {8E4D2CA6-6678-4437-8AA1-3BCF858D29FE} - \{BD975C24-00D9-4CF1-B2F3-A5D44FB2BD82} -> No File <==== ATTENTION
Task: {8E82BFEB-9314-43B2-9363-597F7756EE6B} - \{5D3B3C73-BE55-463A-9BF5-CD661FBD754D} -> No File <==== ATTENTION
Task: {CC9ACAA4-C08E-423C-B12A-079938F5E487} - \{A759ABD9-FF17-4B44-8266-4291A04806A0} -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [152]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\xoperoze]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\zedepory]
Reboot:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 33
-
Диск C: по прежнему заполняется?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 33
Да. Свободное место колеблется от 1.6 ГБ до 200 МБ.
-
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 33
Лог Universal Virus Sniffer.
-
Выполните скрипт в uVS:
Код:
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\ACESTREAM\UNINSTALL.EXE
deldir %SystemDrive%\USERS\USER\APPDATA\ROAMING\ACESTREAM
delref %SystemDrive%\TEMP\GUR1812.EXE
delref %SystemDrive%\TEMP\GUR7E24.EXE
delref %SystemDrive%\TEMP\GURA295.EXE
delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/LPEEAGHDJMHLAKOJJCGFDHGCEJDAEFMI
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MJBEPBHONBOJPOAENHCKJOCCHGFIAOFO\1.0.2_0\ACE STREAM WEB EXTENSION
restart
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 33
-
Уточните, что-то изменилось, диск также заполняется?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 33
Да, объём диска продолжает изменяться в разные стороны.