Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Исчезает место на системном диске. (http://forum.oszone.net/showthread.php?t=197290)

bafi 22-01-2011 00:48 1594414
Исчезает место на системном диске.
 
Всем привет! Последние 3-и дня наблюдаю периодическое исчезновение свободного места на диске С:. Полный объем выделенного места под систему 50Gb/cвободно 10Gb и в течении нескольких минут уменьшается до 6mb.Это караул. Чем и как можно посмотреть куда "испаряется"? Windows 7 x32 Ultimate Service Pack 1P.

bafi 22-01-2011 00:51 1594415
забыл.......

okshef 22-01-2011 00:52 1594416
bafi, логи посмотрят профессионалы. Читали: Куда пропадает свободное место на системном разделе?

iskander-k 22-01-2011 15:58 1594685
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\rocketdock_win7_portable\rocketdock.dll','');
 QuarantineFile('c:\windows\system32\linkinfo.dll','');
 QuarantineFile('c:\users\igor\appdata\local\temp\nsccb5e.tmp\registry.dll','');
 QuarantineFile('c:\users\igor\appdata\local\temp\nsccb5e.tmp\newadvsplash.dll','');
 QuarantineFile('c:\users\igor\appdata\local\temp\nsccb5e.tmp\system.dll','');
 QuarantineFile('c:\users\igor\appdata\local\temp\~2251.tmp','');
 QuarantineFile('c:\program files\alawar\проклятие монтесумы\wrapper.dll.bak','');
 QuarantineFile('c:\program files\alawar.ru\сокровища монтесумы 2\treasuresofmontezuma2.exe.bak','');
 DeleteFile('c:\users\igor\appdata\local\temp\nsccb5e.tmp\registry.dll');
 DeleteFile('c:\users\igor\appdata\local\temp\nsccb5e.tmp\newadvsplash.dll');
 DeleteFile('c:\users\igor\appdata\local\temp\nsccb5e.tmp\system.dll');
 DeleteFile('c:\users\igor\appdata\local\temp\~2251.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.


•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, Если у вас установлен WEBMONEY сохраните ключи в файл.
временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix

bafi 22-01-2011 18:51 1594766
iskander-k, при выполнении скрипта вырубается AVZ (Прекращена работа утилиты АVZ). Что делать? Этот скрипт можно запустить в Б\режиме?

Arbitr 22-01-2011 19:08 1594775
Цитата:
Цитата bafi
при выполнении скрипта вырубается AVZ (Прекращена работа утилиты АVZ). Что делать? Этот скрипт можно запустить в Б\режиме? »
да можно...если и в безопасном то же самое будет то делайте комбо... если в обычном та же трудность - делать в безопасном

bafi 22-01-2011 19:51 1594795
с AVZ в Б\Р тоже не получилось (ошибки какие-то). Вот лог Комбо....

iskander-k 22-01-2011 21:39 1594867
Отключите всё защитное ПО и попробуйте снова скрипт.

bafi 22-01-2011 22:45 1594917
iskander-k,не могу я выполнить скрипт,все та же ошибка. Я так понял ошибка связанна с advapi32.dll.

Имя сбойного приложения: Games_bat.exe, версия: 4.35.0.1, отметка времени: 0x2a425e19
Имя сбойного модуля: advapi32.dll, версия: 6.1.7600.16385, отметка времени 0x4a5bd97e
Код исключения: 0xc0000096
Смещение ошибки: 0x00022a53
Идентификатор сбойного процесса: 0x13cc
Время запуска сбойного приложения: 0x01cbba695ea7a94f
Путь сбойного приложения: C:\Program Files\Az_Games\Games_bat.exe
Путь сбойного модуля: C:\Windows\system32\advapi32.dll
Код отчета: a1af4ccd-265c-11e0-8756-485b39c3165f

Отправил advapi32.dl на VitusTotal-все ОК.

okshef 22-01-2011 22:47 1594920
bafi, из скрипта удалите строчку
Код:
SearchRootkit(true, true);
и попытайтесь выполнить.

bafi 23-01-2011 01:39 1595048
okshef, спасибо,скрипт выполнил без проблем. Карантин отослал
Цитата:
Полученный архив отправьте через форму

bafi 23-01-2011 17:31 1595526
а что делать с ComboFix ом,карантином и самой прогой. Можно удалять или как?

iskander-k 23-01-2011 20:47 1595641
• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"


Или скачайте OTCleanIt, зеркало OTCleanIt, запустите, нажмите Clean up.

bafi 24-01-2011 13:28 1596086
похоже нашел причину. Стоял Microsoft Security Essentials,процесс MsMEng.exe грузил систему.Прочитал в инете, что я не один такой.Это какой-то глюк MSE.Удалил его,поставил DrWeb Pro+Firewall. Посмотрю что и как.

bafi 31-01-2011 08:38 1600896
Больше ничего "сверхъестественного" не происходило,значит действительно был глюк Microsoft Security Essentials\MsMEng.exe.


Время: 12:40.

Время: 12:40.
© OSzone.net 2001-