Не удаляемый вирус

Доброго!
Microsoft Security Essentials находит и удаляет ransom:Win32/WannaCrypt.A!rsm, но тот появляется вновь. Так же начала появляться ошибка. Код ошибки 0x80508023
В последние пару дней регулярно выскакивает синий экран с последующей перезагрузкой.
Попытка установления обновлений Винды терпят крах на моменте установки. Либо после установки некорректно работает система (лечил откатом). Проверка после появления вируса Dr.Web, AVZ, IObit Malware Fighter, Malwarebytes и самим MSE ничего не нашла. Думал обновят базы и удалит окончательно, но увы.
Надеюсь с Вашей помощью смогу избавиться от этой заразы.

upd. Только что заметил, что процесс WindowsPowerShell v1.0 максимально грузит процессор.

Уважаемый(ая) [B]Alex.N[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[quote="Alex.N;1462378"]Microsoft Security Essentials находит и удаляет ransom:Win32/WannaCrypt.A!rsm[/quote]Обновления для системы, включая патч против WannaCry, установите для начала.

Выполните скрипт в AVZ
[code]begin
ExecuteFile('schtasks.exe', '/delete /TN "2416b20c-4d12-56cf-b5810653058f5997" /F', 0, 15000, true);
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

[B][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/B]

Обновление не удалось. Установка пакета kb4012215 проходит успешно, но процесс перезагрузки прерывается с повторяющейся перезагрузкой. После чего проверка запуска не находит ошибки и единственный выбор откат. Так было и ранее с автоматической установкой. Отдельно скачал windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b он же kb4012215.
Скрипт выполнен, в процессах PowerShell на данный момент не показывается.

[URL="http://virusinfo.info/showthread.php?t=130828"]отключите антивирусные программы[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL](в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\users\конь в пальто\documents\mer.vbs','');
DeleteFile('c:\users\конь в пальто\documents\mer.vbs');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\valvesoftrun');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url]. Для [u]повторной[/u] диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Вопросы:
1) Сколько свободного места на системном диске ?
2) Включен ли файл подкачки ?
3) Avast и MSE, 2-ва антивируса в системе Вам зачем ?

Оба скрипта выполнены (в первый раз АВЗ не распознал кириллицу). Карантин загружен.

[QUOTE=mrak74;1462906]1) Сколько свободного места на системном диске ?[/QUOTE]
3-5 Гб Темп забивается папками типа 3460_3049 и не только. Ничего не удаляю, дабы не затереть "улики".
[QUOTE=mrak74;1462906]2) Включен ли файл подкачки ?[/QUOTE]
Да, 4 Гб.
[QUOTE=mrak74;1462906]3) Avast и MSE, 2-ва антивируса в системе Вам зачем ?[/QUOTE]
Ранее была связка Аваст+Оутпост, но человек проводивший физическую чистку заменил их на МСЕ. Видимо некорректно. Фактически Аваст отсутствует, не считая записей и 1-2 сложноудаляемых папок

Меню Пуск - Панель управления - Администрирование - Планировщик заданий - Найдите там задачу с именем: "2416b20c-4d12-56cf-b5810653058f5997" правой кнопкой мыши по ней, в ниспадающем списке выберете "Отключить". Проверим тем самым эту проблему.
[quote="Alex.N;1462378"]upd. Только что заметил, что процесс WindowsPowerShell v1.0 максимально грузит процессор.[/quote]


Скачайте утилиту [URL="https://www.avast.ru/uninstall-utility"][B]avastclear[/B][/URL] запустите ее загрузив Windows в безопасный режим.

Почистите систему, например Ccleaner-ом (файлы/реестр).

Обновите Windows.

Дальше по ситуации, опишите есть ли проблемы, если есть то какие.

Доброго!

PowerShell отключил (дважды), но он по прежнему загружается во время работы ПК. Так же восстанавливается в планировщике. Могу предположить, что его работа следствие вируса. Так же в планировщике (планировщик заданий локальный) выскакивает ошибка "выбранная задача "{0}" больше не существует". [url]http://clip2net.com/s/3NtEQLs[/url] Обновление выдаёт ту же ошибку и посмотреть состояние задач выходит невозможным. Это напомнило мне о приложении "0" (название - ноль, имя 0 0) которое я не устанавливал. Возможно они взаимосвязаны в том числе и с вирусом.

Установить обновление kb4012215 по прежнему не выходит. Сама установка проходит нормально, но после в процессе необходимой перезагрузки происходит ошибка (сбой). Показывает загрузочный экран в течение 10-20 сек после чего перезагружает ПК автоматически. Далее происходит устранение ошибок при загрузке Windows. Ошибок не находит, но и запустить Винду он не может. Единственный выход откат, который в свою очередь "удаляет" необходимое обновление. Видимо вирус знает про это обновление и таким способом блокирует его установку.

Хотя MSE и уверяет нас, что находит и удаляет WannaCrypt.A!rsm, но полное сканирование ничего не показывает. В следствии чего, так же предполагаю, что это следствие другого вируса.

mer.vbs о котором Вы писали ранее, так же восстанавливается. Или AVZ не смог удалит его, по крайней мере он (mer.vbs) на прежнем месте.

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Установил МВАМ, активировал триал версию. Инструкция явно устарела.
Отключил защиту в реальном времени в MSE. Начал копаться в настройках, BSOD.
Запуск от имени администратора, полная проверка (подозрительно быстрая).
Галочка на проверке наличия руткитов сбрасывается при переключение вкладок настроек. Между вкладкой проверка и параметры сброс не проиходит.
МВАМ обнаружил тот же вирус, добавил в карантин.
Оба отчёта.
upd. Только что заблокировал PowerShell при попытке исходящего подключения. 8 попыток с разными айпи и портами, добавлю отчёт одного из них. И ещё один уже от хрома.
Выборочная проверка выглядит более обширной, попробую провести её. Результат будет 5-м отчётом.

Не выходит проверить всё ха один заход. Очень долго проверяет, а синий экран прерывает её. Если провести проверку секторально, это повлияет на результат?

Переместил обе папки PowerShell, этот процесс пока не появляется.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Добавил.

1) Удалите MBAM, в процессе удаления компьютер обязательно должен быть перезагружен.
2) [list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

[CODE]
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [AvastUI.exe] => "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
HKU\S-1-5-21-1279542481-1590185736-595392289-1000\...\MountPoints2: G - G:\AutoRun.exe
HKU\S-1-5-21-1279542481-1590185736-595392289-1000\...\MountPoints2: {342f8802-0562-11e2-993b-d8d3851af865} - G:\AutoRun.exe
HKU\S-1-5-21-1279542481-1590185736-595392289-1000\...\MountPoints2: {d5c72d4f-b4e3-11e1-a7e2-d8d3851af865} - F:\Autorun.exe
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
CHR HKLM-x32\...\Chrome\Extension: [lmicjbmidollmgbnjfecbdakfocmpoie] - {localappdata}\Google\Chrome\Application\Plugins\lmicjbmidollmgbnjfecbdakfocmpoie_0.0.3.crx <not found>
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File
ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File
ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File
FF Extension: (Podsolnushki.com ) - C:\Users\конь в пальто\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\podsolnushki.com.xpi [2012-08-27] [not signed]
EmptyTemp:
Reboot:[/CODE]
[*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
3) С помощью программ Acronis Disk Director или Paragon Partition Manager Вам необходимо расширить свободное место на системном диске. Ваших 2.79 GB свободного места мало. Работа кропотливая, не терпит ошибок, если почувствуете в себе не уверенность пригласите разбирающихся друзей или обратитесь в компьютерную мастерскую.
3) Файл подкачки (виртуальная память) параметр должен быть выставлен "Размер по выбору системы". По логам журналов на Вашем компьютере постоянно не хватает виртуальной памяти поэтому сбоят приложения и система. Варианты: либо файл подкачки у Вас задан в ручную, либо ему не хватает 2.79 GB свободного пространства. Поэтому обязательно увеличивайте размер свободного места на диске C (какими программами я написал выше).
4) Конфликты драйверов, неизвестные устройства в системе, из журналов событий. Скачайте [URL="http://download.drp.su/17-online/DriverPack-17-Online_1107181083.1504774508.exe"]DriverPack Solution[/URL], запустите, выберите "режим эксперта", в разделе приложения снимите галочки с приложений которые устанавливаются "в довесок", самостоятельно решите, что Вам нужно, что нет. Запустите обновление драйверов. По окончании установки выполните обязательную перезагрузку компьютера.

Далее по обстановке, жду Ваших действий, ответов.

Драйвера установлены, хотя и не без приключений. Файл подкачки изменил, а так же добавил 4 Гб на другом диске. До начала эпопеи с вирусом свободного места на диске С было ~7-8 Гб, чего вполне хватало для работы системы. Ничего не удалял, так как не знал какая информация будет необходима для расследования. К примеру файлы ошибок суммарно занимали 1,6 Гб. О увеличении места на диске С думал и ранее, но на данный момент считаю данную процедуру неоправданно опасной (свободного места сейчас 5+ Гб). Так как синий экран непредсказуем. Ваш коллега не ответил касательно секторальной проверки MBAM-ом, но думаю она не будет лишней. После этого удалю его и опубликую логи. , а так же повторю указанные процедуры. Кстати обнаружил старый лог MBAM, правда та проверка была в бесплатной версии программы. Прикрепляю и его.

[quote="Alex.N;1463391"]Ваш коллега не ответил касательно секторальной проверки MBAM-ом, но думаю она не будет лишней.[/quote]
Нашли Вы в MBAM вирус, удалили, по логу он в карантине.
[CODE]Ransom.WannaCrypt, C:\WINDOWS\mssecsvc.exe, Помещено в карантин, [675], [398126],1.0.2733[/CODE], из Вашего лога.
Это, [CODE]Домен:
IP-адрес: 212.51.134.123
Порт: [52246]
Тип: Исходящий трафик
Файл: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe[/CODE] проделки того же самого вируса.

Спасение от него только одно, установка обновлений (патчей) препятствующих его повторному проникновению.

[quote="thyrex;1462509"]Обновления для системы, включая патч против WannaCry, установите для начала.[/quote]
Вам об этом уже писали выше, в данный момент напоминаю.

Что мы делали Выше, пытались добиться стабильной работы Вашей ОС Windows, для того чтобы Вы смогли ее обновить. Обновили ?

Прости мне мою халатность. Не сохраняются абзацы и я упустил пункт с обновлением в предыдущем посте.
Помимо драйверов и какого=-то софта, пробовал с помощью предложенной Вами программы установить обновления. Она (программа) предложила 3 обновления, одно из которых было то, которое мы обсуждали ранее. К сожалению оно не установилось как и прежде, но 2 оставшихся стали и это дало положительный результат. Синий экран уже не докучает так активно.
MBAM смог обнаружить несколько больше при проверке. На 2-й диск меня не хватило, но попробую и его осилить при необходимости.
Отчёт прилагаю.

[quote="Alex.N;1463994"]Синий экран уже не докучает так активно.[/quote]
Но всё же бывает до сих пор ?

[quote="Alex.N;1463994"]MBAM смог обнаружить несколько больше при проверке.[/quote]
....PUP.Optional.DriverPack - это от программы автоматического поиска, установки драйверов, после обновления драйверов она нам больше не нужна. Удалите в MBAM всё найденное.

[quote="Alex.N;1463994"]пробовал с помощью предложенной Вами программы установить обновления. Она (программа) предложила 3 обновления, одно из которых было то, которое мы обсуждали ранее. К сожалению оно не установилось как и прежде, но 2 оставшихся стали и это дало положительный результат.[/quote]
Так иногда бывает. "цепочка" необходимых обновлений нарушена, последующее (нужное) не устанавливается. Если с местом на диске C ситуация улучшилась, можно через Центр обновлений Windows обновить систему, надеюсь это восстановит порушенную "цепочку" и необходимое обновление установится.

Про синий экран отпишитесь в следующем сообщении.

За последние пару дней не было ни одного (БСОД). Но были ли после установки обновлений сказат ьточно не могу.
Удалил.
[QUOTE=mrak74;1463394]Нашли Вы в MBAM вирус, удалили, по логу он в карантине.[/QUOTE]
Подобные находки не редкость и для MSE. Предполагаю, что это не первопричина в цепочке.
Запустил обновление через Центр обновлений Windows. Установились как и предже все и как и прежде во время перезагрузки происходит сбой и рестарт. Вот только в этот раз не оказалось ни одной точки восстановления и запустить Windows нет возможности. Так же не работает CD (или блокируется).

[quote="Alex.N;1464158"]Так же не работает CD (или блокируется).[/quote]
Как определили ? В BIOS привод CD виден ? При загрузке компьютера кнопкой Delete (для входа в BIOS или кнопкой F12 для выбора источника загрузки пользовались ...)

[quote="Alex.N;1464158"]Вот только в этот раз не оказалось ни одной точки восстановления и запустить Windows нет возможности.[/quote]
В Безопасный режим, загрузка через F8 заходить пробовали? После чего сразу же перезагрузка и загрузка в обычном режиме...

[quote="Alex.N;1464158"]Запустил обновление через Центр обновлений Windows. Установились как и предже все и как и прежде во время перезагрузки происходит сбой и рестарт.[/quote]
В некоторых случаях обновления просят выключить компьютер, не перезагрузить, а завершение работы с последующей установкой обновлений ... После чего включаете компьютер, снова пробегает окно идет установка обновлений (после включения), т.е. загрузка идет чуть дольше обычного, далее все нормально грузится.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]