Пробовали Dr.Web CureIt, Dr.Web LiveDisk.
Установили пробный 30дневный Dr.Web, но он не чистит Doc001.exe до конца.
Архив autologger во вложении.
Извиняюсь за опечатку в заголовке, не нашел где поправить.
Пробовали Dr.Web CureIt, Dr.Web LiveDisk.
Установили пробный 30дневный Dr.Web, но он не чистит Doc001.exe до конца.
Архив autologger во вложении.
Извиняюсь за опечатку в заголовке, не нашел где поправить.
Уважаемый(ая) AntonSemyonov, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ из папки Autologger
Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe',''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
карантин загрузил, сделал новые логи
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\users\user\appdata\roaming\tempo\nscpucnminer32.exe'); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', ''); QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\DOC001.exe', ''); QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', ''); QuarantineFile('c:\users\user\appdata\roaming\tempo\nscpucnminer32.exe', ''); QuarantineFile('C:\Users\user\Start Menu\Programs\Startup\DOC001.exe', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '32'); DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\DOC001.exe', ''); DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', ''); DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '32'); DeleteFile('c:\users\user\appdata\roaming\tempo\nscpucnminer32.exe', ''); DeleteFile('C:\Users\user\Start Menu\Programs\Startup\DOC001.exe', ''); DeleteFileMask('c:\users\user\appdata\roaming\tempo', '*', true); DeleteDirectory('c:\users\user\appdata\roaming\tempo'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Сделайте новый лог такой версией Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.
WBR,
Vadim
карантин загрузил, логи с автологгера прикрепляю, шифт нажать забыл.
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".Отчёт о работе прикрепите.Код:>>> "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk" -> ["C:\Users\user\AppData\Roaming\Tempo\DOC001.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Обновить уведомитель.lnk" -> ["C:\Program Files\WinZip\WZUpdateNotifier.exe"] - "C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe" (1109494 байт) (MD5: C720AC483A5752C2B69945A8AD673162) -> (PE EXE) - "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe" (1109494 байт) (MD5: C720AC483A5752C2B69945A8AD673162) -> (PE EXE) - "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SIMG001.exe" (3414055 байт) (MD5: 0B31980DE6B1FD6C0EA8C7136F577E11) -> (PE EXE) - "C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe" (1109494 байт) (MD5: C720AC483A5752C2B69945A8AD673162) -> (PE EXE) - "C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SIMG001.exe" (3414055 байт) (MD5: 0B31980DE6B1FD6C0EA8C7136F577E11) -> (PE EXE) - "C:\Users\OK-3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe" (1109494 байт) (MD5: C720AC483A5752C2B69945A8AD673162) -> (PE EXE) - "C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SIMG001.exe" (3414055 байт) (MD5: 0B31980DE6B1FD6C0EA8C7136F577E11) -> (PE EXE) - "C:\Users\администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe" (1109494 байт) (MD5: C720AC483A5752C2B69945A8AD673162) -> (PE EXE) - "C:\Users\ПК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SIMG001.exe" (3414055 байт) (MD5: 0B31980DE6B1FD6C0EA8C7136F577E11) -> (PE EXE)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
все сделал, результат прикрепил к сообщению
Похоже, не всё скопировали в окно ClearLNK, добьём в FRST.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: HKLM\...\Run: [] => [X] HKU\S-1-5-21-1771710883-1460525301-298760792-1000\...\Run: [] => [X] HKU\S-1-5-21-1771710883-1460525301-298760792-1000\...\MountPoints2: {30ccfec7-5e90-11e4-97ea-806e6f6e6963} - D:\Run.exe Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-01-21] () Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-01-21] () Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SIMG001.exe [2015-10-10] () Startup: C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-01-21] () Startup: C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SIMG001.exe [2015-10-10] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-01-21] () Startup: C:\Users\OK-3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-01-21] () Startup: C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SIMG001.exe [2015-10-10] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-01-21] () Startup: C:\Users\администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-01-21] () Startup: C:\Users\ПК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SIMG001.exe [2015-10-10] () 2019-01-21 13:20 - 2019-01-21 12:55 - 001109494 _____ C:\Users\DOC001.exe Virustotal: C:\Users\user\AppData\Roaming\cppredistx86.exe 2019-01-04 11:04 - 2017-06-04 20:01 - 000000000 __RSH () C:\Users\user\AppData\Roaming\cppredistx86.exe WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\": WMI:subscription\__EventFilter->BVTFilter: WMI:subscription\CommandLineEventConsumer->BVTConsumer: MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^DOC001.exe => C:\Windows\pss\DOC001.exe.CommonStartup Reboot:
Отключите до перезагрузки антивирус, закройте все программы, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
сделал, проблема все еще остается. может заново просканировать? fixlog прилагаю к сообщению.screendrweb.jpg
засел так засел
Последний раз редактировалось AntonSemyonov; 29.01.2019 в 03:21.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
сделал, файлы прикрепил к сообщению
Пролечим в очередной раз. Проблема в том, что у вас сетевой червь бродит, пока не найдёте источник заразы и не устраните уязвимости, через которые он распространяется, победы не будет. Возможно, придётся отключить административный доступ к локальным дискам, прикиньте заранее, насколько он необходим на этом компьютере.
Закройте все приложения, отключите до перезагрузки антивирус.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %Sys32%\CALC.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\TEMPO\NSCPUCNMINER32.EXE addsgn 71007B5D50D232240BD4AEB164200C352C8A7F32851349847A3C552CC046E1DC769E260068061EA5374780BB46F61BFA82CA28D403DA33C029F2645BB48FE1B4 8 Tool.BtcMine.1799 [DrWeb] 7 zoo %SystemDrive%\USERS\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BC338206CA82 60 Adware.Downware.918 [DrWeb] 7 zoo %SystemDrive%\USERS\1\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\ADMIN\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\OK-3\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\START MENU\PROGRAMS\STARTUP\DOC001.EXE chklst delvir deldir %SystemDrive%\USERS\USER\APPDATA\ROAMING\TEMPO del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EXPLORER.LNK apply czoo deltmp restart
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сообщите, что с проблемой.
Устанавливайте патчи и обновления, исправляйте настройки системы:Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4480970 Внимание! Скачать обновления
HotFix KB4487345 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 10 ActiveX v.10.0.32.18 Внимание! Скачать обновления
WBR,
Vadim
пролечил, логи прикладываю к сообщению.
установил обновления, пока полет нормальный ~час, наблюдаем дальше. завтра отпишу еще.
Спасибо огромное за помощь. Проблема больше не проявляется.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 3
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 21
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\programdata\microsoft\windows\start menu\programs\startup=
\doc001.exe - Worm.NSIS.BitMin.d ( BitDefender: Application.Bi=
tCoinMiner.IG, AVAST4: Win32:Malware-gen )- c:\users\user\appdata\roaming\tempo\nscpucnminer32 .exe - =
not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen ( AVAST4: Win32:C=
ryptoMiner-L [Trj] )- \doc001.exe._a91be77fa1bc117c34b3e652706e3b276b487 769 - Worm.N=
SIS.BitMin.d ( BitDefender: Application.BitCoinMiner.IG, AVAST4: W=
in32:Malware-gen )- \nscpucnminer32.exe._10f885f7595de28f5b8a6ca5c5b85 2edc8fd3238 - [=
B]not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen[/B] ( AVAST4: Win32=
:CryptoMiner-L [Trj] )
Уважаемый(ая) AntonSemyonov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.