Помогите. Вирус DOC001.exe [HEUR:Trojan.Win32.Agent.gen]

**Nikolas209** · 03.09.2018, 17:08

Добрый день!
На пк появляются папки
C:\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\Users\Гусева\AppData\Roaming\Temps\DOC001.exe
C:\Users\Гусева\AppData\Roaming\Temps\NsCpuCNMiner 32.exe
C:\Users\Гусева\AppData\Roaming\Temps\NsCpuCNMiner 64.exe
C:\10.58.5.148\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Startup\DOC001.exe
C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\administrator\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Startup\DOC001.exe
C:\администратор\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Startup\DOC001.exe
C:\Users\1\Start Menu\Programs\Startup\DOC001.exe
C:\Users\10.58.5.148\Start Menu\Programs\Startup\DOC001.exe
C:\Users\admin\Start Menu\Programs\Startup\DOC001.exe
C:\Users\administrator\Start Menu\Programs\Startup\DOC001.exe
C:\Users\UHOR-D026\Start Menu\Programs\Startup\DOC001.exe
C:\Users\User\Start Menu\Programs\Startup\DOC001.exe
C:\Users\администратор\Start Menu\Programs\Startup\DOC001.exe
Результаты проверки онлайн-сканером drweb:
Проверка файла: DOC001.exe
Размер: 1033458
MD5: 26ed698da25b4644a62ca4b33513395c
Время проверки: 86.72ms
Результат проверки: Обнаружена угроза!
Найденные вирусы: Trojan.MulDrop8.11248
Полный отчёт антивируса Dr.Web: *

- Description: Dr.Web (R) daemon for Linux v6.0.2.4
Copyright (c) Igor Daniloff, 1992-2018
Engine version: 7.0.33.6080 <API:2.2>
- Loaded bases:
Base /var/drweb/bases/drwtoday.vdb contains 3291 records.
Base /var/drweb/bases/dwf11000.vdb contains 4 records.
Base /var/drweb/bases/drwdaily.vdb contains 11041 records.
Base /var/drweb/bases/drw1109n.vdb contains 96677 records.
Base /var/drweb/bases/drw1109m.vdb contains 21427 records.
Base /var/drweb/bases/drw1109l.vdb contains 26304 records.
Base /var/drweb/bases/drw1109k.vdb contains 27692 records.
Base /var/drweb/bases/drw1109j.vdb contains 25886 records.
Base /var/drweb/bases/drw1109i.vdb contains 23644 records.
Base /var/drweb/bases/drw1109h.vdb contains 20928 records.
Base /var/drweb/bases/drw1109g.vdb contains 21065 records.
Base /var/drweb/bases/drw1109f.vdb contains 41256 records.
Base /var/drweb/bases/drw1109e.vdb contains 37331 records.
Base /var/drweb/bases/drw1109d.vdb contains 13939 records.
Base /var/drweb/bases/drw1109c.vdb contains 29551 records.
Base /var/drweb/bases/drw1109b.vdb contains 18309 records.
Base /var/drweb/bases/drw1109a.vdb contains 17900 records.
Base /var/drweb/bases/drw11099.vdb contains 17479 records.
Base /var/drweb/bases/drw11098.vdb contains 8248 records.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.09.2018, 17:12

Уважаемый(ая) Nikolas209, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 03.09.2018, 17:39

А зачем логи от июля месяца? Переделывайте.

**Nikolas209** · 03.09.2018, 17:51

Прошу прощения, переделал.

**thyrex** · 03.09.2018, 18:06

Выполните скрипт в AVZ из папки Autologger

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\DOC001.exe','');
 QuarantineFile('c:\users\Гусева\appdata\roaming\showhostname2.exe','');
 TerminateProcessByName('C:\Users\Гусева\AppData\Roaming\Temps\NsCpuCNMiner64.exe');
 QuarantineFile('C:\Users\Гусева\AppData\Roaming\Temps\NsCpuCNMiner64.exe','');
 TerminateProcessByName('c:\programdata\{44060624-4406-4406-440606249413}\lsm.exe');
 QuarantineFile('c:\programdata\{44060624-4406-4406-440606249413}\lsm.exe','');
 TerminateProcessByName('c:\users\Гусева\appdata\roaming\temps\doc001.exe');
 QuarantineFile('c:\users\Гусева\appdata\roaming\temps\doc001.exe','');
 DeleteFile('c:\users\Гусева\appdata\roaming\temps\doc001.exe','32');
 DeleteFile('c:\programdata\{44060624-4406-4406-440606249413}\lsm.exe','32');
 DeleteFile('C:\Users\Гусева\AppData\Roaming\Temps\NsCpuCNMiner64.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft LocalManager[Windows 7 Professional]','64');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\DOC001.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

**Nikolas209** · 04.09.2018, 08:35

Новый лог

**thyrex** · 04.09.2018, 17:23

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

**Nikolas209** · 05.09.2018, 10:42

Готово

**thyrex** · 05.09.2018, 16:40

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2018-04-09] ()
2018-09-03 14:50 - 2018-09-03 14:50 - 000204800 _____ () C:\Users\Гусева\AppData\Local\Temp\java12.exe
2016-02-03 14:01 - 2016-02-03 14:02 - 000634296 _____ (ForensiT Limited) C:\ProgramData\UserProfileMigrationService.exe
2016-02-03 14:01 - 2016-02-03 14:02 - 000634296 _____ (ForensiT Limited) C:\Users\Все пользователи\UserProfileMigrationService.exe
2018-01-09 09:46 - 2018-01-06 14:00 - 000010752 _____ () C:\Users\Гусева\AppData\Roaming\ShowHostname2.exe
Task: {26C47BFB-589A-4857-9D40-6F4AB96297DD} - \Microsoft LocalManager[Windows 7 Professional] -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

**CyberHelper** · 05.09.2018, 16:50

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Помогите. Вирус DOC001.exe [HEUR:Trojan.Win32.Agent.gen] (заявка № 220127)

Опции темы