постоянно создающийся файл doc001.exe

[Олег Денисенко 0]

В корне диска Д поселился файл doc001.exe. так - Антивирус Касперского его не видит, после того как заходишь в диск д, он его обнаруживает и удаляет так как лечить не может. через 2-5 мин файл появляется заново. Если удаляешь вручную, то происходит тоже самое.

CollectionLog-2018.11.13-15.38.zip

[regist 618]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Олег\Favorites\Links\Интернет.url', '');
 DeleteFile('C:\Users\Олег\Favorites\Links\Интернет.url');
 ExecuteRepair(1);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[Олег Денисенко 0]

номер KLAN

 

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
quarantine.zip

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

 

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Олег\Favorites\Links\Интернет.url', '');
 DeleteFile('C:\Users\Олег\Favorites\Links\Интернет.url');
 ExecuteRepair(1);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
  

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.
  

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

После запуска программы UVS от имени администратора выбираю - "Запустить под текущим пользователем". Открывается окно и начинается сканирование и приложение виснет. не дает доступ кменю -> файл. пробовал 3 раза, ждал 40 минту

Изменено 13 ноября, 2018 пользователем Олег Денисенко

[regist 618]

оверквотингом не надо заниматься. Для быстрого ответа есть поле внизу.

Перед запуском uVS антивирус отключали? Попробуйте собрать из безопасного режима.

[regist 618]

+

Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.

• Запустите утилиту
• Скопируйте и вставьте следующий текст в поле ввода:
  

  HKCU\Software\Microsoft\Windows\CurrentVersion\PackagedAppXDebug
  HKCU\Software\Classes\ActivatableClasses\Package

• Отметьте опцию Export keys.
• нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.
  

 

[Олег Денисенко 0]

файл из MiniRegTool64

программу UVS так и не смог запустить, виснет на одном и том же месте. в безопасном режиме тоже. В строке состояния написано - анализ автозапуска... и полоса загрузки где-то на 1/3

Result.txt

[regist 618]

@Олег Денисенко, а uVS если "Запустить под LocalSystem" ?

[Олег Денисенко 0]

@regist, тоже самое, виснет. причем система работает и не перегружена, а сама программа не отвечает

[regist 618]

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

 

[Олег Денисенко 0]

результаты сканирования

scan.txt

Изменено 14 ноября, 2018 пользователем Олег Денисенко

[regist 618]

1) Программы/расширения от Mail.ru используете?
2)

VKSaver [2018/05/15 09:47:30]-->"C:\ProgramData\VKSaver\VKSaver.exe" -uninstall

деинсталируйте.

3) Для чего у вас открыт общий доступ к диск D:\ ? Закройте его и к остальным папкам если нет особой необходимости закройте. Скорее всего по сетки вирус и лезет.

4) Обновления системы если не установлены поставьте.

[Олег Денисенко 0]

1) нет, не использую, кто то, когда то, что-то устанавливал (потому что комп рабочий), а они сами понаустанавливались, теперь не могу вытравить.

2) удалил

3) общий доступ открыт потому что компьютер рабочий (в офисе 3-4 компа) между ними настроена локальная сеть для обмена данными. общий доступ желательно не закрывать.

4) обновления системы ставятся периодически сами, на данный момент должны стоять актуальные.

 

до того как создать заявку на форуме, я обнаружил еще на одном рабочем компе такой же вирус, смог удалить его по какому то видеоуроку (через командную строку). на том компе он перестал появляться.

на моем компе не получилось так же. на данный момент файл doc001.exe не появляется в корне диска Д ни там ни на моем компьютере

[Олег Денисенко 0]

@regist, к сожалению, файл doc001 не перестал появляться в корне Д. просто какое то время была тишина

[regist 618]

 

 

общий доступ открыт потому что компьютер рабочий (в офисе 3-4 компа) между ними настроена локальная сеть для обмена данными. общий доступ желательно не закрывать.

Для этого надо создать отдельную сетевую папку, а не рассшаривать все диски. Если на один комп пролезет шифратор, то в итоге вместо одной папке он у вас пошифрует всё.

 

По поводу сбора лога uVS. Попробуйте так

Закройте все остальные программы. Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему запустив снова создание лога uVS и подождите подольше.  -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, , File.Karelia).
 

В MBAM удалите всё найденное.

[Олег Денисенко 0]

@regist, МВАМ - это что, простите?