Не открывается и не удаляется программа. Вирус?

[cognito]

На моём компе недавно обнаружил следующее: программа Viber не открывается. Попробовал её удалить - не удаляется. Что делать? Может, это вирус.

 

Сразу прикрепляю логи Autogger-а

CollectionLog-2017.06.29-14.51.zip

[regist]

@cognito, везёт же вам... теперь вы Wanna Cry подхватили. Файлы уже успело заширофровать или ещё нет?

Если нет, то советую срочно выключить его (может не успеет пошифровать) и лечить из под Live CD. Если успело, то тогда наоборот выключать нельзя, может удасться выдернуть ключ расшировки. Скрипт дам попозже, но если ещё не успело пошифровать, то напишите потом дам другие инструкции. А также если пошифровало, но комп ещё ни разу не выключали, то скрипт тоже не выполняйте пока.

Upd.
Посмотрел, вирус к вам залез 2017-05-12 так что если он что мог зашифровать, то наверняка уже шифровал, а компьютер наверняка за это время уже много раз перезагружался. Так что можете спокойно выполнять скрипт.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 QuarantineFileF('C:\ProgramData\biomftelmvzuzuk211', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '32');
 DeleteService('mssecsvc2.0');
 DeleteFileMask('C:\ProgramData\biomftelmvzuzuk211', '*', true);
 DeleteDirectory('C:\ProgramData\biomftelmvzuzuk211');
 DelBHO('{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Изменено 29 июня, 2017 пользователем regist

[cognito]

newvirus@kaspersky.com

файл avz00001.dta заражён Не знаю, где найти его KLAN.

Вот ссылка https://virusdesk.kaspersky.ru/#scanresults

Изменено 29 июня, 2017 пользователем cognito

[regist]

 

 

Не знаю, где найти его KLAN. Вот ссылка https://virusdesk.ka...ru/#scanresults

потому что надо выполнять то что вам пишут, а не делать что-то от себя. Написано было отправить на почту

 

 

отправьте по адресу newvirus@kaspersky.com

А клан был бы написан в ответе робота.

[cognito]

 

Не знаю, где найти его KLAN. Вот ссылка https://virusdesk.ka...ru/#scanresults

потому что надо выполнять то что вам пишут, а не делать что-то от себя. Написано было отправить на почту

 

 

отправьте по адресу newvirus@kaspersky.com

А клан был бы написан в ответе робота.

 

Спасибо, значит, жду Вашего ответа

 

 

newvirus@kaspersky.com

Извиняюсь, не так Вас понял, теперь исправил ошибку.

Жду ответа.

Вот ответ

Ответ_newvirus@kaspersky.com .txt

[Soft]

@cognito,

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[cognito]

@Soft, Вот логи 

Ответ от newvirus@kaspersky.com Re: вирус [KLAN-6468199731]

CollectionLog-2017.06.30-16.02.zip

Ответ_newvirus@kaspersky.com.txt

Изменено 30 июня, 2017 пользователем regist
не надо прикреплять вирусы к сообщению

[regist]

Вы антивирус на время выполнения скрипта отключали?

 

 

1)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteService('mssecsvc2.0');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

2)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


3) Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

4) Чистка системы после некорректного удаления антивируса

 

Удалите хвосты от удалённных антивирусов. В частности вижу там хвосты Аваст, Касперского и мне показалось или там и от McAfee хвосты?

 

5)

etranslator [2014/03/19 16:17:27]-->"C:\Users\Вадим\AppData\Roaming\etranslator\etranslator.exe" /uninstall

Деинсталируйте обязательно.

 

6)

Кнопка "Яндекс" на панели задач [2016/05/21 17:33:55]-->C:\Users\Вадим\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned
Менеджер браузеров [2017/06/01 07:49:34]-->"C:\Users\Вадим\AppData\Local\Package Cache\{a4e708c3-efaf-49b0-aa5a-394305338e7b}\BrowserManagerInstaller.exe"  /uninstall
Яндекс.Строка [20151220]-->MsiExec.exe /I{56429708-D00E-4468-B78F-C23E162A94C1}

Если не используете, то тоже деинсталируйте.

 

7) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

[cognito]

 

 

Вы антивирус на время выполнения скрипта отключали?

Да. Но Autologger не перезагрузился в обычном режиме. поэтому выполнил сразу стандартный скрипт № 2

[regist]

@cognito, я не про автологер. А про скрипт лечения для AVZ. Потому что по вашим логам такое чувство, что вы скрипт вообще не выполняли (возможно антивирус заблокировал работу AVZ).

[cognito]

 

 

3) Поставьте обновление http://www.catalog.u...spx?q=KB4012212

Не получается, установщик зависает, в поиске обновлений на компе.

@cognito, я не про автологер. А про скрипт лечения для AVZ. Потому что по вашим логам такое чувство, что вы скрипт вообще не выполняли (возможно антивирус заблокировал работу AVZ).

Выполнял.

[regist]

Похоже на разговор слепого с глухим .

 

@cognito, перечитайте ещё раз, но теперь внимательно, что вас спрашиваю.

[cognito]

Похоже на разговор слепого с глухим .

 

@cognito, перечитайте ещё раз, но теперь внимательно, что вас спрашиваю.

Я прекрасно понимаю, что Вы меня спрашиваете. Но шаг 3) Вашего алгоритма выполнить не удаётся. Что мне делать? Проигнорировать это и идти на шаг 4? Вот что я Вас спрашиваю.

[regist]

Если понимаете, то почему до сих пор не ответили на вопрос?

 

 

Вы антивирус на время выполнения скрипта отключали?

 

А то что вы не можете выполнить шаг 3 опять также может быть виноват ваш антивирус. Поэтому до сих пор жду от вас ответа.

 

И на крайний случай пробуйте поставить этот апдейт из безопасного режима. Там ваш антвирус не должен ему мешать.

[cognito]

@regist, так бы и сказали, что перед каждым шагом Вашего алгоритма антивирус должен быть отключен. Вот теперь обновление пошло.

Но перед этим я, плюнув, удалил в безопасном режиме хвосты аваста.

Кстати, в безопасном режиме это обновление сообщает "в безопасном режиме эта служба не может быть запущена". 

Почистил хвосты антивирусов, кроме касперского. Ибо удаляйтер тут сообщает: продуктов не обнаружено,  ведите вручную. А вручную я не знаю, что писать.

@regist, объясните, пожалуйста, как сделать шаги 5 и 6 Вашего алгоритма. 

Кстати, https://virusinfo.info/virusdetector/upload.phpпока еще думает.

Кстати,а критично при выполнении Ваших рекомендаций то, подключена ли машина к интернету? Пока что нигде на это ответ не увидел.

Пока что логи такие

CollectionLog-2017.07.01-03.51.zip