[РЕШЕНО] постоянно создающийся файл doc001.exe

[Павел Чередниченко]

Доброго! Компьютер поймал майнер, как я понимаю, никак не могу найти способ его убить. Помогите пожалуйста.

LOG.rar

CollectionLog-2019.02.26-14.02.zip

Изменено 26 февраля, 2019 пользователем Павел Чередниченко

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player

Кнопка "Яндекс" на панели задач

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #6', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #6', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Павел Чередниченко]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player

Кнопка "Яндекс" на панели задач

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #6', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #6', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Скрипт не отрабатывает, AVZ ругается на него.

[Sandor]

1. Не цитируйте, пожалуйста, все предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

2. AVZ следует запускать из папки Автологера, т.е. эту:

C:\1\AutoLogger-test (1)\AutoLogger\AVZ\avz.exe

[Павел Чередниченко]

@Sandor, Файл карантина отправил, логи по новой собрал. Ответа пока на почту не было.

 

 

 

CollectionLog-2019.02.26-15.23.zip

[Sandor]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[Павел Чередниченко]

@Sandor, результат работы UVS

TORGI_2019-02-26_16-48-40_v4.1.2.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.1.2 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\TEMPO\DOC001.EXE
  bl C720AC483A5752C2B69945A8AD673162 1109494
  addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BC338206CA82 60 Worm.NSIS.BitMin.d [Kaspersky] 7
  
  zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  zoo %SystemDrive%\USERS\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  zoo %SystemDrive%\USERS\TORGI\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  zoo %SystemDrive%\USERS\DOCUMENTS AND SETTINGS\TORGI\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  zoo %SystemDrive%\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  zoo %SystemDrive%\USERS\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  zoo %SystemDrive%\USERS\1\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  zoo %SystemDrive%\USERS\ADMIN\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  zoo %SystemDrive%\USERS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  zoo %SystemDrive%\USERS\TORGI\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  zoo %SystemDrive%\USERS\USER\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  chklst
  delvir
  
  ;---------command-block---------
  delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ODIJCGAFKHPOBJLNFDGIACPDENPMBGME\11.0.4_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
  delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ODIJCGAFKHPOBJLNFDGIACPDENPMBGME\11.0.4_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
  delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.15_0\ПОИСК  ЯНДЕКСA
  delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.15_0\ПОИСК  ЯНДЕКСA
  delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
  delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
  delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDELDJOLAMFBCGNNDJMJJIINNHBNBNLA\1.0.3_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
  delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDELDJOLAMFBCGNNDJMJJIINNHBNBNLA\1.2.9.0_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
  delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GGFFMGAELFGIHLBPICEAICKAJBJBHIGE\8.24.0_0\ПОИСК ЯНДЕКСA
  delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK\3.3.36_0\ПУЛЬС
  delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK\3.3.36_0\ПУЛЬС
  delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС
  delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС
  delref \\!S!\%J\DOC001.EXE
  zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
  delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
  apply
  
  deltmp
  regt 27
  czoo
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

 

 

Соберите и прикрепите новый лог uVS.

[Павел Чередниченко]

 

 

Павел Чередниченко

 

Готово, файл отправлен

[Sandor]

Соберите и прикрепите новый лог uVS

Ждём.

[Павел Чередниченко]

@Sandor, свежий лог

TORGI_2019-02-26_18-17-52_v4.1.2.7z

[Sandor]

Систему обновляете? Давайте проверим:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Павел Чередниченко]

@Sandor, 

SecurityCheck.txt

[regist]

Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления
7-Zip 9.32 v.9.32.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Yandex v.19.1.1.909 Внимание! Скачать обновления
Mozilla Firefox 51.0.1 (x86 ru) v.51.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Элементы Яндекса 8.9 для Internet Explorer v.8.9.1.5100 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

[Павел Чередниченко]

@regist, Эти действия безусловно будут полезны, но никак не приведут к решению моего вопроса.