Вирус doc001.exe как птица Феникс воскресает после удаления

[ais2]

Контейнер DOC001.exe прописывается в C:\ProgramData\.Start Menu

От туда запускается и начинает создавать в корне диска С:\   папки (admin\ ...\Start Menu, adminustrator\...\Start Menu, 1\...\Start Menu, и т. п.) .

Dr.Web прибивает контейнер DOC001.exe (Trojan.MulDrop8.11248, Tool.BtcMine.1799, Tool.BtcMine.1821).

Перед загрузкой ПК проверяем KVRT и Dr.Web CureIt!

DOC001.exe не обнаруживается.

Через некоторое время DOC001.exe появляется опять в C:\ProgramData\.Start Menu и все повторяется.

Подскажите как избавится от этой "дряни".

CollectionLog-2018.11.30-13.58.zip

[mike 1]

Компьютер находится в корпоративной локальной сети? 

[ais2]

Да. Сетевые ресурсы все пропроверили.  Проблемы только на нескольких ПК.

[regist]

Здравствуйте!

D:\FusionInventory-Agent\fusioninventory-agent.bat

Этот файл вам знаком?

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\FusionAgent\fusioninventory-agent.bat', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '');
 QuarantineFile('D:\FusionInventory-Agent\fusioninventory-agent.bat', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.