Через Торент поймал вирус (скорее всего червь) При загрузке 5,4 гб заявил, что места мало!!! А этого места всего свободного 495 Гб. Ну спросоня запустил... Нод32 молчит и ладушки... в результате - места действительно для 5, 4 Гб не хватило, поскольку оказалось свободными (почему то ) всего 22 Кб.... А Нод молчит...ладно, удалял все, что не сильно жалко....но освобожденное место быстро занимается непонятно чем... Удалил Торент...с трудом правда...а Нод молчит... сканирование - ну типа все у тебя хорошо и не стоит волноваться ))) Где складируется умноженная информация - не представлюя. Поддержка антивируса, ничего путного не сообщает. Место продолжает сокращаться, правда уже не с такой скоростью.

C:\Program Files (x86)\AVG\AVG PC TuneUp
Деинсталируйте.
+
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('c:\users\skat\appdata\roaming\browsers', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\skat\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFile('C:\Windows\system32\drivers\{c44114b8-1134-4aeb-950a-2e0ff4eceaae}Gw64.sys', '');
QuarantineFile('C:\Users\Skat\AppData\Local\Temp\gT8wE.sys', '');
QuarantineFile('C:\Users\Skat\AppData\Roaming\Browsers\exe.emorhc.bat', '');
QuarantineFile('C:\Users\Skat\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
QuarantineFile('C:\Users\Skat\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
DeleteFile('C:\Windows\system32\drivers\{c44114b8-1134-4aeb-950a-2e0ff4eceaae}Gw64.sys', '32');
DeleteFile('C:\Users\Skat\AppData\Local\Temp\gT8wE.sys', '32');
DeleteFile('C:\Users\Skat\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
DeleteFile('C:\Users\Skat\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
DeleteFile('C:\Users\Skat\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
DeleteFileMask('c:\users\skat\appdata\roaming\browsers', '*', true);
DeleteFileMask('c:\users\skat\appdata\local\smartweb', '*', true);
DeleteDirectory('c:\users\skat\appdata\roaming\browsers');
DeleteDirectory('c:\users\skat\appdata\local\smartweb');
DeleteService('{c44114b8-1134-4aeb-950a-2e0ff4eceaae}Gw64');
DeleteService('gT8wE');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(9);
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Подготовьте лог AdwCleaner (http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/).

Все выполнил. Лог прилагаю.

Что то не прикрепился (((

Удалите в AdwCleaner (http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/#post-157088) все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.

Удалил все. Но место по прежнему уменьшается.... открываю, папку - закрываю и тут же уменьшается объем диска

И 490 гигов - канули в неизвестность.....

Удалил все. »
Лог где с буквой С?

Пардон.

Подготовьте логи Farbar Recovery Scan Tool (http://www.cyberforum.ru/viruses-faq/thread1362245.html)

Сделано

Выполните скрипт в Farbar Recovery Scan Tool (http://safezone.cc/threads/kak-vypolnit-skript-v-farbar-recovery-scan-tool.17760/)
start
CreateRestorePoint:
AlternateDataStreams: C:\Users\Skat\Documents\Везунчик.backup.kitsp:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Skat\Documents\Везунчик.full.backup.kitsp:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Skat\Documents\Везунчик2.full.backup.kitsp:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Skat\Documents\Возмездие.full.backup.kitsp:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Skat\Documents\контрики.backup.kitsp:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Skat\Documents\контрики.full.backup.kitsp:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Skat\Documents\контрики2.backup.kitsp:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Skat\Documents\контрики2.full.backup.kitsp:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Skat\Documents\Лах.backup.kitsp:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Skat\Documents\Лах1 серия.backup.kitsp:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Skat\Documents\Ленский_расстрел.full.backup.kitsp:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Skat\Documents\прикосновение.backup.kitsp:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Skat\Documents\прикосновение.full.backup.kitsp:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Skat\Documents\Сага.full.backup.kitsp:com.dropbox.attributes [168]
FirewallRules: [TCP Query User{AAFDF3A4-3E9C-4B4C-92D9-8250CFB8B3DB}C:\users\skat\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe] => (Allow) C:\users\skat\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe
FirewallRules: [UDP Query User{20F33274-A997-467D-B28C-8AC6CD5A7E93}C:\users\skat\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe] => (Allow) C:\users\skat\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe
FirewallRules: [TCP Query User{A4CEA80D-B944-444D-9210-8751C8E8D585}C:\users\skat\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe] => (Allow) C:\users\skat\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe
FirewallRules: [UDP Query User{69902105-91CA-48F1-BDDF-BBB1C9F01226}C:\users\skat\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe] => (Allow) C:\users\skat\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF user.js: detected! => C:\Users\Skat\AppData\Roaming\Mozilla\Firefox\Profiles\b01efqic.default-1426329422065\user.js [2016-03-02]
CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hppp&ts=1425940985&from=face&uid=ST1000DM003-9YN162_S1D352GFXXXXS1D352GF
CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hppp&ts=1425940985&from=face&uid=ST1000DM003-9YN162_S1D352GFXXXXS1D352GF"
CHR HKU\S-1-5-21-645777434-2466479240-1475071514-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
end
+
Запакуйте в архив с паролем "virus" (http://safezone.cc/threads/19310) папку C:\FRST\Quarantine\ - C:\ - Ваш системный диск
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
+
Почистите кэш и куки в браузерах (http://safezone.cc/threads/kak-pochistit-kehsh-i-kuki-cookies-v-populjarnyx-brauzerax.25218/).

Проблема решена?

shestale, Посмотрите личные сообщения

AlternateDataStreams - это альтернативные потоки данных, которые загружаются вместе с вашими сценариями.
FRST удаляет только альтернативный поток файла или папки, а сами файлы и папки не трогает.

Сделано. Письмо отправил. Освободилось на диске примерно 5Гб, при открытии и закрытии папок, все равно происходит уменьшение объема диска, но уже в пределах 1-2 Мб, за открытие.

Выполните скрипт в Farbar Recovery Scan Tool »
Лог покажите.

Так я на почту отправил...как сказано

Прошу прощения ))))

но уже в пределах 1-2 Мб, за открытие. »
Может это и нормально уже...хотя давайте еще поищем:
Подготовьте лог полного сканирования МВАМ (http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/)
п.с.
Лог делается не быстро.

Готово.

Удалите в МВАМ (http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/#post-179055) все найденные объекты, кроме этих:
HackTool.Agent.H, C:\Users\Skat\Downloads\724_McD20_BF3_v5.0.rar, , [41517f0c6534eb4be2e5fc45fc0650b0],
Trojan.Agent.CK, C:\Users\Skat\Downloads\faky_voice.rar, , [1d75eaa1277296a0e23d87b19c6657a9],
PUP.Optional.InstallCore, C:\Users\Skat\Downloads\[R.G. Mechanics] The Sims 4\setup.exe, , [b6dc0c7f1f7a61d5c0d7a1c813ee6799],
Trojan.Agent.Generic, C:\Users\Skat\Downloads\Photoshop 12 Rus\Adobe.Photoshop.CS5.Extended.v12.0.Keymaker-EMBRACE.exe, , [3959a4e782171d1926fad69ade2315eb],
PUP.Optional.OpenCandy, C:\Users\Skat\Downloads\DAEMON_Tools_Lite_4.45.4.0314\DTLite4454-0314.exe, , [623095f61f7add59c2e51526d134e31d],