Перейти к содержанию
Calorite

[майнер] постоянно создающийся файл doc001.exe

Рекомендуемые сообщения

Добрый день! Столкнулся с той же проблемой, что и здесь. До сих пор не удалось ее решить, буду очень признателен помощи

CollectionLog-2019.06.21-12.42.zip

Изменено пользователем Calorite

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    BREG
    ;---------command-block---------
    delref %Sys32%\DRIVERS\85064662.SYS
    apply
    
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
    bl DF11B3105DF8D7C70E7B501E210E3CC3 1815801
    addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BC338206CA82 60 Worm.NSIS.BitMin.d [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\1\START MENU\PROGRAMS\STARTUP\DOC001.EXE
    zoo %SystemDrive%\USERS\192.168.111.81\START MENU\PROGRAMS\STARTUP\DOC001.EXE
    zoo %SystemDrive%\USERS\ADMIN\START MENU\PROGRAMS\STARTUP\DOC001.EXE
    zoo %SystemDrive%\USERS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP\DOC001.EXE
    zoo %SystemDrive%\USERS\DESKTOP-5GLJ9EM\START MENU\PROGRAMS\STARTUP\DOC001.EXE
    zoo %SystemDrive%\USERS\USER\START MENU\PROGRAMS\STARTUP\DOC001.EXE
    zoo %SystemDrive%\USERS\ÀÄÌÈÍÈÑÒÐÀÒÎÐ\START MENU\PROGRAMS\STARTUP\DOC001.EXE
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\START MENU\PROGRAMS\STARTUP\DOC001.EXE
    chklst
    delvir
    
    deltmp
    czoo
    restart
    
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Подробнее читайте в этом руководстве.

 

Соберите новый лог uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Прислал на почту

Что именно?

И что сейчас с проблемой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот как в инструкции ниже написано сделал
"После выполнения скрипта зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например:ZOO_2011-06-30_22-04-27.7z) если архив отсутствует, то заархивруйте папку ZOO с паролем virus. И отправьте на адрес quarantine<at>safezone.cc(at=@) в заголовке (теме) письма укажите ссылку на тему где вам оказывается помощь."

 

Проблема осталась, папки с файлом doc001.exe еще в строю и Malwarbytes до сих пор ругается

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Malwarbytes до сих пор ругается

Покажите его отчет:

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Удалите найденное через MBAM, перегрузите систему и сделайте новое сканирование. Если будет обнаружение, покажите отчёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Там можно было только отправить в карантин и я его туда отправил, перезагрузил комп, но проблема, к сожалению, осталась

scan2.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    sreg
    
    bp C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
    
    ;---------command-block---------
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
    delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
    apply
    
    czoo
    areg
    restart
    
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

 

Ещё раз соберите лог uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Архив отправил, новый лог прикрепил, пока, судя по всплывающим сообщениям от Windows Defender, не помогло

DESKTOP-5GLJ9EM_2019-06-21_15-25-48_v4.1.6.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.