Пропадает место на диске С. Антивирусы не запускаются

@lukvas · Регистрация: 12.01.2018

Студворк — интернет-сервис помощи студентам

Здравствуйте! Один раз мне уже помогли, поэтому рискну попросить снова.
Компьютер явно заражён уже несколько месяцев. Симптомы:
1) необоснованно огромное использование оперативной памяти, которое никак не отражается в процессах;
2) Крайне низкая скорость сети (просто в один день жена пожаловалась, что интернет стал нестерпимо тормозить, параметры сети не менялись, новые устройства не добавлялись, остальная электроника на вай-фай не жаловалась, прямое подключения сетевого кабеля тоже не решает проблему);
3) постепенное уменьшение места на диске С, при том что новые программы/игры не устанавливались;
4) ну и как выяснилось - антивирусы не запускаются, аваст показывает, что работает, хотя на самом деле отключен. В параметры восстановления и сброса win10 тоже не пускает.

Логи приложил. Понимаю, что проще всего видимо форматнуть жёсткий, но очень бы не хотелось.

@Sandor · 17.01.2018, 10:33

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя lukvas. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Search App by Ask
Unity Web Player
Интернет
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Users\Таль\Favorites\Links\Интернет.url');
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@lukvas · 17.01.2018, 11:18 **[ТС]**

Sandor, снова спасибо за инструкции!
Программы удалил, про те что относились к майлру система сказала, что произошла ошибка и их уж нет.

Карантин отослал. Лог прикладываю.

@Sandor · 17.01.2018, 11:24

Еще п.4, пожалуйста.

@lukvas · 17.01.2018, 11:31 **[ТС]**

Сообщение от Sandor

Еще п.4, пожалуйста.

Прошу прощения, я его не заметил.

@Sandor · 17.01.2018, 11:47

1.

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Прокси
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@lukvas · 17.01.2018, 12:19 **[ТС]**

Выполнено. Логи прикладываю.

@Sandor · 17.01.2018, 12:25

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
Start::
CreateRestorePoint:
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
SearchScopes: HKU\S-1-5-21-805967228-1783510684-3240372542-1003 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B7FE9DD4A-52B8-46ED-9A51-DC30A5FDB46B%7D&gp=811014
SearchScopes: HKU\S-1-5-21-805967228-1783510684-3240372542-1003 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B7FE9DD4A-52B8-46ED-9A51-DC30A5FDB46B%7D&gp=811014
CHR HomePage: Default -> hxxp://www.search.ask.com/?gct=hp
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811009"
CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms}
CHR DefaultSearchKeyword: Default -> search.ask.com
CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@lukvas · 17.01.2018, 12:40 **[ТС]**

Лог приложил. При открытии Хрома, он заспамил меня сообщениями о расширениях, в том числе майлру.

@Sandor · 17.01.2018, 12:43

Сообщение от lukvas

сообщениями о расширениях, в том числе майлру

Надеюсь, Вы их удалили?

Что сейчас с проблемами?

@lukvas · 17.01.2018, 12:58 **[ТС]**

Сообщение от Sandor

Надеюсь, Вы их удалили?

конечно

Место на жёстком диске оказалось свободным уже давно. В целом быстродействие системы мне нравится, кажется, пошустрее стал. Я мало знаком с ноутбуком жены, а её нет сейчас.

Видео в сети вроде подгружается исправно. А вот закачка файлов - с постоянными провалами по скорости. И так всего 500 кбит/с, а ещё и до нуля отваливается. Я уже подумываю, что это проблема вай-фай платы. Надо попробовать проверить кабелем.

@Sandor · 17.01.2018, 13:01

Сообщение от lukvas

антивирусы не запускаются

Что с этим?

@lukvas · 17.01.2018, 13:10 **[ТС]**

Сообщение от Sandor

Что с этим?

пытаюсь включить аваст. В тот момент, когда я отключил его до ребута, он оказывается обратно не включился, хотя иконка показывала нормальную работу.
Когда нажал на запуск защиты он задумался. Пока что висит.
В раздел восстановления системы заходит.

@Sandor · 17.01.2018, 13:26

Попробуйте его переустановить.
Удалите штатно через Панель управления - Удаление программ. Пройдитесь их утилитой. Скачайте и установите заново.

@lukvas · 17.01.2018, 13:28 **[ТС]**

Аваст включился после перезагрузки ноутбука. Даёт доступ к защитам и к параметрам.
Скачался cureit попробовал включить выборочное сканирование - запустилось, не вылетело, как вчера.

@Sandor · 17.01.2018, 13:29

Хорошо, значит, завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@lukvas · 17.01.2018, 13:35 **[ТС]**

Вот.

@Sandor · 17.01.2018, 13:40

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.726.15063.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ OtherUtilities ] ----------------------------
VLC media player 2.1.0 v.2.1.0 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
VLC media player 1.0.1 v.1.0.1 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41162 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.7.1.14 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC - Russian v.15.023.20070 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 50.0 (x86 ru) v.50.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
MyWinLocker v.4.0.14.35 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
MyWinLocker Suite v.4.0.14.24 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
MyWinLocker 4 v.4.0.14.35 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Рекомендации после удаления вредоносного ПО

@lukvas · 17.01.2018, 14:36 **[ТС]**

Обновился. Спасибо Вам!

Новые блоги и статьи Все статьи Все блоги /
Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .	Архитектура слоя интернета для сервера-слоя. Hrethgir 11.04.2026 В продолжение https:/ / www. cyberforum. ru/ blogs/ 223907/ 10860. html Знаешь что я подумал? Раз мы все источники пишем в голове ветки, то ничего не мешает добавить в голову такой источник, который сам. . .	Подстановка значения реквизита справочника в табличную часть документа Maks 10.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: при выборе сотрудника (справочник Сотрудники) в ТЧ документа. . .	Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .
модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .	Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .	Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ

@Sandor 22499 / 15944 / 3089 Регистрация: 08.10.2012 Сообщений: 64,967
	17.01.2018, 11:24
	Еще п.4, пожалуйста. 0

@Sandor 22499 / 15944 / 3089 Регистрация: 08.10.2012 Сообщений: 64,967
	17.01.2018, 11:47
	1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Прокси Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22499 / 15944 / 3089 Регистрация: 08.10.2012 Сообщений: 64,967
	17.01.2018, 13:26
	Попробуйте его переустановить. Удалите штатно через Панель управления - Удаление программ. Пройдитесь их утилитой. Скачайте и установите заново. 0

@lukvas 0 / 0 / 0 Регистрация: 12.01.2018 Сообщений: 18
	17.01.2018, 13:28 [ТС]
	Аваст включился после перезагрузки ноутбука. Даёт доступ к защитам и к параметрам. Скачался cureit попробовал включить выборочное сканирование - запустилось, не вылетело, как вчера. 0

@Sandor 22499 / 15944 / 3089 Регистрация: 08.10.2012 Сообщений: 64,967
	17.01.2018, 13:29
	Хорошо, значит, завершаем: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22499 / 15944 / 3089 Регистрация: 08.10.2012 Сообщений: 64,967
	17.01.2018, 13:40
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.726.15063.0 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ --------------------------- [ OtherUtilities ] ---------------------------- VLC media player 2.1.0 v.2.1.0 Внимание! Скачать обновления 7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ VLC media player 1.0.1 v.1.0.1 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.5.41162 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AppleProduction ] --------------------------- iTunes v.12.7.1.14 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat Reader DC - Russian v.15.023.20070 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 50.0 (x86 ru) v.50.0 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ ---------------------------- [ UnwantedApps ] ----------------------------- MyWinLocker v.4.0.14.35 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. MyWinLocker Suite v.4.0.14.24 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. MyWinLocker 4 v.4.0.14.35 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. Рекомендации после удаления вредоносного ПО 0

@lukvas 0 / 0 / 0 Регистрация: 12.01.2018 Сообщений: 18
	17.01.2018, 14:36 [ТС]
	Обновился. Спасибо Вам! 0