[майнер] постоянно создающийся файл doc001.exe

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
  ;Target OS: NTv10.0
  v400c
  BREG
  delmz %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  ;---------command-block---------
  zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE
  apply
  
  czoo
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Карантин можно не отправлять. Повторите еще раз лог uVS.

[Calorite]

Свежий лог

DESKTOP-5GLJ9EM_2019-06-21_15-47-38_v4.1.6.7z

[Sandor]

Выполните этот же скрипт, только в безопасном режиме.

 

В нормальном режиме:

• Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
• Запустите файл TDSSKiller.exe.
• Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
• В процессе проверки могут быть обнаружены объекты двух типов:
  • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
  • подозрительные (тип вредоносного воздействия точно установить невозможно).
• По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
• Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
• Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
• Самостоятельно без указания консультанта ничего не удаляйте!!!
• После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
• Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

 

Сделайте свежий CollectionLog Автологером.

Изменено 21 июня, 2019 пользователем Sandor

[Calorite]

Лог UVS сделал, TDSSKiller сейчас сделаю

Прикрепил лог TDSKiller, в процессе сканирования ничего не найдено

Collection лог

DESKTOP-5GLJ9EM_2019-06-23_11-46-26_v4.1.6.7z

TDSSKiller.3.1.0.28_23.06.2019_11.57.00_log.txt

CollectionLog-2019.06.23-12.09.zip

[Sandor]

Проверьте, пожалуйста, файл DOC001.exe реально есть в этой папке?

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\

[Calorite]

Да, есть

[Sandor]

После ручного удаления он опять появляется? Если да - сразу или после перезагрузки?

[Calorite]

Появляется сразу

Вообще наверное стоило упомянуть, что компьютер подключен к общей локальной сети

[Sandor]

Пока файл вручную не удаляйте и соберите лог uVS по этой или по этой инструкции.

[Calorite]

Ну я его несколько минут назад удалял, чтобы проверить как вы просили в последний раз. Он соотсветственно снова появился, мне теперь все равно собирать лог uVS?

[Calorite]

Не удалось, пишет This app can't run for you PC.

UVS скачивал по ссылке, которую вы указывали ранее

И.е. я все делал как написано и когда дошла очередь до открытия uvs через блокнот вылетает та ошибка

[Sandor]

Это вы пробовали из среды восстановления. А с помощью LiveCD попробуйте (первая ссылка).

[Calorite]

Обратился к сис админу, оказывается у нас вся сеть заражается извне, через наши сайты