Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

[РЕШЕНО] постоянно создающийся файл doc001.exe

Павел Чередниченко

Автор Павел Чередниченко
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Павел Чередниченко Постоялец

Павел Чередниченко

Опубликовано
Опубликовано (изменено)

Доброго! Компьютер поймал майнер, как я понимаю, никак не могу найти способ его убить. Помогите пожалуйста.

LOG.rar

CollectionLog-2019.02.26-14.02.zip

Изменено пользователем Павел Чередниченко
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 34
  • Создана
  • Последний ответ

Топ авторов темы

  • Павел Чередниченко

    18

  • Sandor

    12

  • regist

    5

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Павел Чередниченко
Павел Чередниченко

@Sandor,Да, всё прошло успешно! Спасибо!

Изображения в теме

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player

Кнопка "Яндекс" на панели задач

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #6', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #6', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
Павел Чередниченко Постоялец

Павел Чередниченко

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player

Кнопка "Яндекс" на панели задач

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #6', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #6', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Скрипт не отрабатывает, AVZ ругается на него.

post-53234-0-49039800-1551182002_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1. Не цитируйте, пожалуйста, все предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

2. AVZ следует запускать из папки Автологера, т.е. эту:

C:\1\AutoLogger-test (1)\AutoLogger\AVZ\avz.exe

Ссылка на комментарий
Поделиться на другие сайты
Павел Чередниченко Постоялец

Павел Чередниченко

Опубликовано
  • Автор
Опубликовано

@Sandor, Файл карантина отправил, логи по новой собрал. Ответа пока на почту не было.

 

 

 

CollectionLog-2019.02.26-15.23.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\TEMPO\DOC001.EXE
bl C720AC483A5752C2B69945A8AD673162 1109494
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BC338206CA82 60 Worm.NSIS.BitMin.d [Kaspersky] 7

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
zoo %SystemDrive%\USERS\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
zoo %SystemDrive%\USERS\TORGI\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
zoo %SystemDrive%\USERS\DOCUMENTS AND SETTINGS\TORGI\START MENU\PROGRAMS\STARTUP\DOC001.EXE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\START MENU\PROGRAMS\STARTUP\DOC001.EXE
zoo %SystemDrive%\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
zoo %SystemDrive%\USERS\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\START MENU\PROGRAMS\STARTUP\DOC001.EXE
zoo %SystemDrive%\USERS\1\START MENU\PROGRAMS\STARTUP\DOC001.EXE
zoo %SystemDrive%\USERS\ADMIN\START MENU\PROGRAMS\STARTUP\DOC001.EXE
zoo %SystemDrive%\USERS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP\DOC001.EXE
zoo %SystemDrive%\USERS\TORGI\START MENU\PROGRAMS\STARTUP\DOC001.EXE
zoo %SystemDrive%\USERS\USER\START MENU\PROGRAMS\STARTUP\DOC001.EXE
chklst
delvir

;---------command-block---------
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ODIJCGAFKHPOBJLNFDGIACPDENPMBGME\11.0.4_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ODIJCGAFKHPOBJLNFDGIACPDENPMBGME\11.0.4_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.15_0\ПОИСК  ЯНДЕКСA
delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.15_0\ПОИСК  ЯНДЕКСA
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDELDJOLAMFBCGNNDJMJJIINNHBNBNLA\1.0.3_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDELDJOLAMFBCGNNDJMJJIINNHBNBNLA\1.2.9.0_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GGFFMGAELFGIHLBPICEAICKAJBJBHIGE\8.24.0_0\ПОИСК ЯНДЕКСA
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK\3.3.36_0\ПУЛЬС
delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK\3.3.36_0\ПУЛЬС
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС
delref \\!S!\%J\DOC001.EXE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
apply

deltmp
regt 27
czoo
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

 

 

Соберите и прикрепите новый лог uVS.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Систему обновляете? Давайте проверим:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления
7-Zip 9.32 v.9.32.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Yandex v.19.1.1.909 Внимание! Скачать обновления
Mozilla Firefox 51.0.1 (x86 ru) v.51.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Элементы Яндекса 8.9 для Internet Explorer v.8.9.1.5100 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Ссылка на комментарий
Поделиться на другие сайты
Павел Чередниченко Постоялец

Павел Чередниченко

Опубликовано
  • Автор
Опубликовано

@regist, Эти действия безусловно будут полезны, но никак не приведут к решению моего вопроса. 

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • scaramuccia
      Как распаковать EXE
      Автор scaramuccia
      Всем привет!
      Касперский обнаружил объект HEUR:Trojan.Win32.Generic в установочном exe-файле. Скорее всего это ложное срабатывание, но все же.
      Он показывает полный путь к объекту: папка, архив, установочный файл и т. д. Как Касперский его так разбирает, если этот файл не распаковывается архиватором, пишет: "Ошибка. Есть данные после конца блока полезных данных"?
      Какие есть способы и ресурсы для этого?
      DIE показывает, что большую часть файла занимает оверлей, который хранит какую-то DLL.

    • gexxxagon
      Ошибка 0xc000017 постоянно выходит
      Автор gexxxagon
      При любой работе с пк (при работе с дисками, некоторыми командами в строке и тд) выходит эта ошибка.
      В Dr.Web CureIt чисто, все что было исправлено.
      Вручную через регистр пытались исправить некоторые ошибки, что-то исправилось, а что-то нет.
       
      Предполагаю, что возникло после установки обхода ограничений ютуба и дискорда, как многие говорят.
       
      Прилагаю файл, который обычно просят.
      FRST.txt
    • Evgeniych
      [РЕШЕНО] Вирусы - Майнеры - Tool.BtcMine.2622/2627 - Не открываются любые файлы exe.
      Автор Evgeniych
      Здравствуйте! Возникла такая дилемма, а именно : Перестали открываться любые файлы exe. ; Ноутбук стал работать более громко и повысилась нагрузка на ЦП и ГП. Так как файлы exe не открывались, пришлось открывать Dr. Web с помощью Winrar. Только после архивации exe файла, у меня получается что либо установить и открыть. После прогонки Dr.Web удалил все вирусы (парочку случайно зацепил и поместил в карантин), но exe файлы так и не открываются и ноутбук немного нагружен. Нужна помощь, заранее благодарю. Система Win 11. Если что, простите заранее за глупые вопросы (совсем чайник в данном).

    • KL FC Bot
      Как создать надежный и запоминающийся пароль | Блог Касперского
      Автор KL FC Bot
      Информационный поток с каждым днем не уменьшается, и в 2025 году в нашей голове остается все меньше места для таких вещей, как пароль к той самой почте, которую вы завели в далеком 2020, чтобы зарегистрировать маму на маркетплейсе. Во Всемирный день пароля, выпадающий в этом году на 1 мая, День труда, предлагаем потрудиться и объединиться в борьбе против забывчивости, слабых паролей и хакеров.
      Как уже не раз подтверждали наши эксперты, целевая компрометация пароля — лишь вопрос времени и средств, причем зачастую — очень короткого времени и копеечных средств. И наша задача — максимально усложнить этот процесс, напрочь отбив желание у взломщиков заниматься именно вашими данными.
      В прошлогоднем исследовании мы выяснили, что 59% всех паролей мира могут быть взломаны менее чем за час при помощи умных алгоритмов, требующих мощной видеокарты вроде RTX 4090 или дешевой аренды облачных вычислительных мощностей. Сейчас мы проводим второй этап исследования и скоро расскажем, изменилась ли ситуация за год к лучшему или нет, так что подписывайтесь на наш блог или телеграм-канал, чтобы первыми узнать о результатах.
      Сегодня мы не просто расскажем о наиболее безопасных методах аутентификации и способах создания сложных паролей, но и обсудим техники их запоминания, а также ответим на вопрос, почему использовать менеджер паролей в 2025 году — действительно хорошая идея.
      Как безопаснее логиниться в 2025 году
      Сейчас у нас достаточно вариантов, с помощью которых можно проходить аутентификацию в сервисах и на веб-сайтах:
      классическая связка логин-пароль; аутентификация с помощью стороннего сервиса (VK, Яндекс, Apple, Google и т. д.); двухфакторная аутентификация с подтверждением: через SMS с одноразовым кодом; через приложение-аутентификатор (например, Kaspersky Password Manager, Google Authenticator или Microsoft Authenticator); с применением аппаратного ключа (например, Flipper, YubiKey или USB-токена); использование passkey и биометрической аутентификации. Разумеется, каждый из этих способов можно как усилить, например создать сложный пароль из 20+ случайных символов, так и ослабить, допустим, оставляя токен в USB-порту, а сам компьютер — без присмотра в публичных местах. И потому время «классических» паролей еще не прошло. Поэтому давайте разбираться, как мы можем усилить наши текущие позиции: придумать и запомнить незабываемый пароль.
       
      View the full article
    • CHEAX
      [РЕШЕНО] Два файла dwm.exe, один из которых вирус.
      Автор CHEAX
      Один из файлов грузит систему, ни один антивирус поймать не может, в том числе Касперский Премиум. На данном форуме видел подобные темы, uVS скачан. Просьба помочь в решении вопроса.

×
×
  • Создать...