Перейти к содержанию

Не открывается и не удаляется программа. Вирус?


Рекомендуемые сообщения

На моём компе недавно обнаружил следующее: программа Viber не открывается. Попробовал её удалить - не удаляется. Что делать? Может, это вирус.

 


Сразу прикрепляю логи Autogger-а

CollectionLog-2017.06.29-14.51.zip

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 46
  • Created
  • Последний ответ

Top Posters In This Topic

  • cognito

    25

  • regist

    21

  • Soft

    1

@cognito, везёт же вам... теперь вы Wanna Cry подхватили. Файлы уже успело заширофровать или ещё нет?

Если нет, то советую срочно выключить его (может не успеет пошифровать) и лечить из под Live CD. Если успело, то тогда наоборот выключать нельзя, может удасться выдернуть ключ расшировки. Скрипт дам попозже, но если ещё не успело пошифровать, то напишите потом дам другие инструкции. А также если пошифровало, но комп ещё ни разу не выключали, то скрипт тоже не выполняйте пока.


Upd.
Посмотрел, вирус к вам залез 2017-05-12 так что если он что мог зашифровать, то наверняка уже шифровал, а компьютер наверняка за это время уже много раз перезагружался. Так что можете спокойно выполнять скрипт.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 QuarantineFileF('C:\ProgramData\biomftelmvzuzuk211', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '32');
 DeleteService('mssecsvc2.0');
 DeleteFileMask('C:\ProgramData\biomftelmvzuzuk211', '*', true);
 DeleteDirectory('C:\ProgramData\biomftelmvzuzuk211');
 DelBHO('{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

newvirus@kaspersky.com

файл avz00001.dta заражён Не знаю, где найти его KLAN.

Вот ссылка https://virusdesk.kaspersky.ru/#scanresults

Изменено пользователем cognito
Ссылка на сообщение
Поделиться на другие сайты

 

 


Не знаю, где найти его KLAN. Вот ссылка https://virusdesk.ka...ru/#scanresults
потому что надо выполнять то что вам пишут, а не делать что-то от себя. Написано было отправить на почту

 

 


отправьте по адресу newvirus@kaspersky.com
А клан был бы написан в ответе робота.
Ссылка на сообщение
Поделиться на другие сайты

 

Не знаю, где найти его KLAN. Вот ссылка https://virusdesk.ka...ru/#scanresults

потому что надо выполнять то что вам пишут, а не делать что-то от себя. Написано было отправить на почту

 

 

отправьте по адресу newvirus@kaspersky.com

А клан был бы написан в ответе робота.

 

Спасибо, значит, жду Вашего ответа

 

 

newvirus@kaspersky.com

Извиняюсь, не так Вас понял, теперь исправил ошибку.

Жду ответа.

Вот ответ

Ответ_newvirus@kaspersky.com .txt

Ссылка на сообщение
Поделиться на другие сайты

@Soft, Вот логи 


Ответ от newvirus@kaspersky.com Re: вирус [KLAN-6468199731]

CollectionLog-2017.06.30-16.02.zip

Ответ_newvirus@kaspersky.com.txt

Изменено пользователем regist
не надо прикреплять вирусы к сообщению
Ссылка на сообщение
Поделиться на другие сайты

Вы антивирус на время выполнения скрипта отключали?

 

 

1)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteService('mssecsvc2.0');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

2)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


3) Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

4) Чистка системы после некорректного удаления антивируса

 

Удалите хвосты от удалённных антивирусов. В частности вижу там хвосты Аваст, Касперского и мне показалось или там и от McAfee хвосты?

 

5)

etranslator [2014/03/19 16:17:27]-->"C:\Users\Вадим\AppData\Roaming\etranslator\etranslator.exe" /uninstall

Деинсталируйте обязательно.

 

6)

Кнопка "Яндекс" на панели задач [2016/05/21 17:33:55]-->C:\Users\Вадим\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned
Менеджер браузеров [2017/06/01 07:49:34]-->"C:\Users\Вадим\AppData\Local\Package Cache\{a4e708c3-efaf-49b0-aa5a-394305338e7b}\BrowserManagerInstaller.exe"  /uninstall
Яндекс.Строка [20151220]-->MsiExec.exe /I{56429708-D00E-4468-B78F-C23E162A94C1}

Если не используете, то тоже деинсталируйте.

 

7) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Ссылка на сообщение
Поделиться на другие сайты

 

 


Вы антивирус на время выполнения скрипта отключали?

Да. Но Autologger не перезагрузился в обычном режиме. поэтому выполнил сразу стандартный скрипт № 2

Ссылка на сообщение
Поделиться на другие сайты

@cognito, я не про автологер. А про скрипт лечения для AVZ. Потому что по вашим логам такое чувство, что вы скрипт вообще не выполняли (возможно антивирус заблокировал работу AVZ).

Ссылка на сообщение
Поделиться на другие сайты

 

 


3) Поставьте обновление http://www.catalog.u...spx?q=KB4012212

Не получается, установщик зависает, в поиске обновлений на компе.


@cognito, я не про автологер. А про скрипт лечения для AVZ. Потому что по вашим логам такое чувство, что вы скрипт вообще не выполняли (возможно антивирус заблокировал работу AVZ).

Выполнял.

Ссылка на сообщение
Поделиться на другие сайты

Похоже на разговор слепого с глухим :(.

 

@cognito, перечитайте ещё раз, но теперь внимательно, что вас спрашиваю.

Я прекрасно понимаю, что Вы меня спрашиваете. Но шаг 3) Вашего алгоритма выполнить не удаётся. Что мне делать? Проигнорировать это и идти на шаг 4? Вот что я Вас спрашиваю.

Ссылка на сообщение
Поделиться на другие сайты

Если понимаете, то почему до сих пор не ответили на вопрос?

 

 


Вы антивирус на время выполнения скрипта отключали?

 

А то что вы не можете выполнить шаг 3 опять также может быть виноват ваш антивирус. Поэтому до сих пор жду от вас ответа.

 

И на крайний случай пробуйте поставить этот апдейт из безопасного режима. Там ваш антвирус не должен ему мешать.

Ссылка на сообщение
Поделиться на другие сайты

@regist, так бы и сказали, что перед каждым шагом Вашего алгоритма антивирус должен быть отключен. Вот теперь обновление пошло.

Но перед этим я, плюнув, удалил в безопасном режиме хвосты аваста.

Кстати, в безопасном режиме это обновление сообщает "в безопасном режиме эта служба не может быть запущена". 


Почистил хвосты антивирусов, кроме касперского. Ибо удаляйтер тут сообщает: продуктов не обнаружено,  ведите вручную. А вручную я не знаю, что писать.


@regist, объясните, пожалуйста, как сделать шаги 5 и 6 Вашего алгоритма. 


Кстати, https://virusinfo.info/virusdetector/upload.phpпока еще думает.


Кстати,а критично при выполнении Ваших рекомендаций то, подключена ли машина к интернету? Пока что нигде на это ответ не увидел.


Пока что логи такие

CollectionLog-2017.07.01-03.51.zip

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • ska79
      От ska79
      В диспетчере учетных данных windows в разделе общие учётные данные, есть следующие записи на скриншоте.
      Удалил киностудию windows live, однако записи остались. Если удалить их вручную то после ребута появляются снова
       

    • ProstoPrince
      От ProstoPrince
      В попытках расправится с вирусами на компьютере уже голову сломал, поэтому обращаюсь к знающим людям. Надеюсь на вашу помощь уважаемые, был бы очень благодарен за помощь! 

      FRST.txt Addition.txt
    • Константин63
      От Константин63
      Здравствуйте ,помогите удалить Trojan.Win64.Miner.gen. Зараженный файл Flock.exe
      CollectionLog-2021.02.12-13.24.zip
    • Michael Mikhail
      От Michael Mikhail
      Здравствуйте,
      помогите разобраться с данным "предложением" (стоит ли входить?):

      Дополнительно.
    • Velikodushniy
      От Velikodushniy
      Доброго времени суток всем!
      Вы случаем не знаете как избавить от принудительной рекламки webalta.ru Которая постоянно подгружается в твоем браузере в новом окне при запуске. Я использую Оперу.
      Залез в интернет оказывается не я один так "мучаюсь" с этой вебалтой. Вирусом её не зазовешь но навязчиво-принудительной рекламой да.
      Очень хотелось бы от неё избавиться!
       
      Все дествия найденные в интернете по избавлению от этого не помогли !
      Вот как пример действий: http://todostep.ru/nowebalta.html
       
      Интересно то что опять же в безопасном режими с поддержкой сети эта страница не подгружается в браузере, а в обычном режиме моментально.
      В реестре осталась (все остальные поудалял) вот такая ветка с адресом этой вебалты
      Но при попытке удаления пишет ошибка при удалении раздела! (( Можно ли как то принудительно её грохнуть. Так как это осталась единственная ветка с этой вебалтой думаю проблема именно в ней!
       
      За ранее спасибо за помощь.

×
×
  • Создать...