Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Системный диск забивается до краёв непонятно чем

1 2 След.
RSS
 
Михаил Кокурин
Михаил Кокурин
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 29.05.2015
Размещено 22.10.2022 17:37:14
Здравствуйте!
Использую операционную систему Windows 10.
Несколько дней тому назад я обнаружил, что на моём системном диске C: почти не осталось свободного места, без какой-либо видимой причины. А ещё через какое-то время компьютер стал показывать, что диск полностью забит - свободный объём 0 байт.
Я удалил несколько программ и освободил около 40 гигабайт (общий объём диска 232 Гб).
После этого я выполнил проверку на вирусы бесплатной версией Malwarebytes, никаких угроз выявлено не было.
Однако, спустя сутки после этого диск C снова полностью забит (в окне Мой компьютер и в свойствах диска C: показывается то 0 байт, то около 500 Мб свободного места; куда делись освобождённые только что 40 Гб, непонятно).
Кроме системного диска C:, у меня есть ещё диск D:, на нём вроде ничего подобного не происходит.
Прилагаю лог uVS.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 22.10.2022 18:20:49
(!) Процесс нагружает CPU: C:\USERS\USER\APPDATA\LOCAL\SINGULARITYAPP\APP-5.1.3\SINGULARITYAPP.EXE

CPU (1 core) - 61,85% + Сетевая активность.

-----------

По свободному месту на диске:
Скачайте программу: TreeSizeFree

оф. сайт: http://www.jam-software.com/treesize_free

В меню выбирете: Scan > выберите проблемный диск.
Посмотрите, что занимает место на диске.
Программа поддерживает проводник ( хлопните правой лапой мыши по строке из списка )
- Можно работать с файлами/папками.
- Удалите/переместите  всё лишнее
- Будьте осторожны не повредите системные файлы.
 
Михаил Кокурин
Михаил Кокурин
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 29.05.2015
Размещено 22.10.2022 18:40:56
"Нагружает CPU" - что это значит? Насколько это плохо? Эта программа - электронный ежедневник.

Программа TreeSizeFree показала, что папка C:\Users\User\AppData\Local\Temp весит более 60 Гб.
Я правильно понимаю, что это временные файлы и их все можно удалять?
Как тогда остановить их дальнейшее появление? Потому что, если отсортировать файлы в папке по дате изменения, видно, что они активно туда добавляются в реальном времени - более чем по десятку новых файлов *.tmp, *.log и просто файлов без расширения в час.

Например, несколько минут назад в этой папке появился файл replica-local-index3054345658 без расширения в 500 Мб весом, а час назад - ещё один аналогичный.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 22.10.2022 19:23:06
Если проблема появилась недавно - это может быть связанно с недавно уставленной программой.
SingularityApp - v5.1.3 ; Время установки: 2022-10-21
Это единственная вызывающая подозрение программа установленная в этом месяце.
---------
CPU - Это центральный процессор. Электронный ежедневник... Очевидно не должен нагружать процессор на : 60+%.
т.е. или программа сырая, или в программе функция майнера.
Удаляем программу ( или просто выгружаем из памяти ) - смотрим...
----------
Да папка\папки Temp - это временные папки. Их содержимое можно удалять. ( предварительно закрыв программы которые могут с ними работать: браузеры и т.д. )
---------
В плане самостоятельного наблюдения за системой: https://forum.esetnod32.ru/forum8/topic15785/
 
Михаил Кокурин
Михаил Кокурин
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 29.05.2015
Размещено 22.10.2022 21:09:51
Подозрительную программу удалил.
Но регулярное создание в папке Temp новых огромных полугигабайтных файлов не прекратилось. Только теперь я их периодически удаляю.
Сделал на всякий случай лог uVS заново, прилагаю.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 22.10.2022 22:08:04
По пути: C:\USERS\USER\APPDATA\ROAMING\LANTERN\LANTERN.EXE
Файл: LANTERN.EXE  нужно проверит здесь: https://www.virustotal.com/gui/home/upload
+

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры _перед выполнением скрипта.

Код

;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
deltmp
delnfr
regt 39
regt 41
restart


Компьютер выполнит перезагрузку.
После перезагрузки подождите минут 30 и сделайте новый образ автозапуска в uVS
 
Михаил Кокурин
Михаил Кокурин
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 29.05.2015
Размещено 22.10.2022 23:08:05
Файл LANTERN.exe я проверил на virustotal.com, он чист. Этой программой я пользуюсь.

Скрипт выполнен, на диске C освободилось много места, но файлы в папке Temp продолжают появляться.

Прилагаю лог.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 22.10.2022 23:24:04
1) Далее выполните лог FRST: http://forum.esetnod32.ru/forum9/topic2798/

Программа FRST ( должна создать два файла: FRST и Addition )

2) Создайте лог ESETLogCollector
https://forum.esetnod32.ru/forum9/topic10671/

3) В uVS зайдите в меню: Дополнительно > твики > и выполните твики: 40 ; 42
Изменено: RP55 RP55 - 22.10.2022 23:24:36
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 22.10.2022 23:41:52
+

Если после перезагрузки не работать с YANDEX - BROWSER.
Temp тоже будет патологически увеличиваться?
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 22.10.2022 23:58:22
+

Process Monitor

Отслеживаем файловую активность: https://learn.microsoft.com/en-us/sysinternals/downloads/procmon

https://www.youtube.com/watch?v=4heeR3kdlLI
Изменено: RP55 RP55 - 22.10.2022 23:58:47
 
1 2 След.
Читают тему