Помогите. Вирус DOC001.exe [HEUR:Trojan.Win32.Agent.gen]

Добрый день!
На пк появляются папки
C:\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\Users\Гусева\AppData\Roaming\Temps\DOC001.exe
C:\Users\Гусева\AppData\Roaming\Temps\NsCpuCNMiner32.exe
C:\Users\Гусева\AppData\Roaming\Temps\NsCpuCNMiner64.exe
C:\10.58.5.148\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\Users\1\Start Menu\Programs\Startup\DOC001.exe
C:\Users\10.58.5.148\Start Menu\Programs\Startup\DOC001.exe
C:\Users\admin\Start Menu\Programs\Startup\DOC001.exe
C:\Users\administrator\Start Menu\Programs\Startup\DOC001.exe
C:\Users\UHOR-D026\Start Menu\Programs\Startup\DOC001.exe
C:\Users\User\Start Menu\Programs\Startup\DOC001.exe
C:\Users\администратор\Start Menu\Programs\Startup\DOC001.exe
Результаты проверки онлайн-сканером drweb:
[B]Проверка файла: DOC001.exe [/B]
[B]Размер: 1033458 [/B]
[B]MD5: 26ed698da25b4644a62ca4b33513395c[/B]
[B]Время проверки: 86.72ms[/B]
[B]Результат проверки: Обнаружена угроза! [/B]
[B]Найденные вирусы: Trojan.MulDrop8.11248[/B]
[B]Полный отчёт антивируса Dr.Web: *[/B]

[B] - Description: Dr.Web (R) daemon for Linux v6.0.2.4[/B]
[B]Copyright (c) Igor Daniloff, 1992-2018[/B]
[B]Engine version: 7.0.33.6080 <API:2.2>[/B]
[B]- Loaded bases:[/B]
[B]Base /var/drweb/bases/drwtoday.vdb contains 3291 records.[/B]
[B]Base /var/drweb/bases/dwf11000.vdb contains 4 records.[/B]
[B]Base /var/drweb/bases/drwdaily.vdb contains 11041 records.[/B]
[B]Base /var/drweb/bases/drw1109n.vdb contains 96677 records.[/B]
[B]Base /var/drweb/bases/drw1109m.vdb contains 21427 records.[/B]
[B]Base /var/drweb/bases/drw1109l.vdb contains 26304 records.[/B]
[B]Base /var/drweb/bases/drw1109k.vdb contains 27692 records.[/B]
[B]Base /var/drweb/bases/drw1109j.vdb contains 25886 records.[/B]
[B]Base /var/drweb/bases/drw1109i.vdb contains 23644 records.[/B]
[B]Base /var/drweb/bases/drw1109h.vdb contains 20928 records.[/B]
[B]Base /var/drweb/bases/drw1109g.vdb contains 21065 records.[/B]
[B]Base /var/drweb/bases/drw1109f.vdb contains 41256 records.[/B]
[B]Base /var/drweb/bases/drw1109e.vdb contains 37331 records.[/B]
[B]Base /var/drweb/bases/drw1109d.vdb contains 13939 records.[/B]
[B]Base /var/drweb/bases/drw1109c.vdb contains 29551 records.[/B]
[B]Base /var/drweb/bases/drw1109b.vdb contains 18309 records.[/B]
[B]Base /var/drweb/bases/drw1109a.vdb contains 17900 records.[/B]
[B]Base /var/drweb/bases/drw11099.vdb contains 17479 records.[/B]
[B]Base /var/drweb/bases/drw11098.vdb contains 8248 records.[/B]

Уважаемый(ая) [B]Nikolas209[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

А зачем логи от июля месяца? Переделывайте.

Прошу прощения, переделал.

Выполните скрипт в AVZ из папки Autologger
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\DOC001.exe','');
QuarantineFile('c:\users\Гусева\appdata\roaming\showhostname2.exe','');
TerminateProcessByName('C:\Users\Гусева\AppData\Roaming\Temps\NsCpuCNMiner64.exe');
QuarantineFile('C:\Users\Гусева\AppData\Roaming\Temps\NsCpuCNMiner64.exe','');
TerminateProcessByName('c:\programdata\{44060624-4406-4406-440606249413}\lsm.exe');
QuarantineFile('c:\programdata\{44060624-4406-4406-440606249413}\lsm.exe','');
TerminateProcessByName('c:\users\Гусева\appdata\roaming\temps\doc001.exe');
QuarantineFile('c:\users\Гусева\appdata\roaming\temps\doc001.exe','');
DeleteFile('c:\users\Гусева\appdata\roaming\temps\doc001.exe','32');
DeleteFile('c:\programdata\{44060624-4406-4406-440606249413}\lsm.exe','32');
DeleteFile('C:\Users\Гусева\AppData\Roaming\Temps\NsCpuCNMiner64.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft LocalManager[Windows 7 Professional]','64');
DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\DOC001.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]

Новый лог

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.

Готово

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2018-04-09] ()
2018-09-03 14:50 - 2018-09-03 14:50 - 000204800 _____ () C:\Users\Гусева\AppData\Local\Temp\java12.exe
2016-02-03 14:01 - 2016-02-03 14:02 - 000634296 _____ (ForensiT Limited) C:\ProgramData\UserProfileMigrationService.exe
2016-02-03 14:01 - 2016-02-03 14:02 - 000634296 _____ (ForensiT Limited) C:\Users\Все пользователи\UserProfileMigrationService.exe
2018-01-09 09:46 - 2018-01-06 14:00 - 000010752 _____ () C:\Users\Гусева\AppData\Roaming\ShowHostname2.exe
Task: {26C47BFB-589A-4857-9D40-6F4AB96297DD} - \Microsoft LocalManager[Windows 7 Professional] -> No File <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]