Сеть заражена одним вирусом DOC001.exe
 

:star2: помогите удалить вирус в сети Вложение 431635

7 компьютеров и на всех один и тот же. утилита доктор веб не удаляет. стоит бесплатный антивирус AVG

1 компьютер - 1 тема.

Выполните http://www.tehnari.ru/f35/t113762/

не получается добавить основные логи (образ автозапуска в uVS)

Вложение 431811 основные логи (образ автозапуска в uVS)

В расширенном режиме редактирования есть управление вложениями. Архивируете RAR, ZIP ,7z - любым, и добавляете.

Не прочитала Правила ))
На технарях они отличаются.
И сейчас - майк сказал создавать на каждый комп отдельную тему.

А если упаковать лог в архив? Какая ошибка появляется при попытке загрузить вложение? Лог можете загрузить на Яндекс диск или Облако Mail, а здесь дать ссылку на него.

Некоторые пользователи просто приходят в этот раздел, чтобы набить себе несколько сообщений. Как правило именно в разделах по лечению вирусов они ничего не решают.

А некоторые пользователи дают советы, прямо нарушающие Правила форума.
Файлообменники у нас под запретом, независимо от их типа и ситуации, и то, что на них иногда закрывают глаза, не значит, что нужно их предлагать.
Насчёт архивирования и выкладывания я ответил быстрее, чем ты, но она ушла, не отреагировав.

вот я же загрузила

К сожалению, нет. При клике по ссылке вылезает вот эта грусть-тоска:
Вложение 431854
Попытайтесь ещё раз прикрепить вложение по нашим правилам:
http://www.tehnari.ru/f8/t32642/

Вложение 431855 по инструкции делаю, а теперь есть?

А теперь есть!

подскажите, по моей проблеме что можно сделать?

Я отвечаю только после основной работы. Обычно после 5-6 часов вечера по МСК. О чем собственно здесь http://www.tehnari.ru/f35/t113762/ и написано.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ---

   ;uVS v4.0.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
breg

exec C:\Users\Ира Герасименко\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned
exec "C:\Users\Ира Герасименко\AppData\Local\Package Cache\{95f0deb2-2099-4305-8cbe-a02c9fdd4dc2}\BrowserManagerInstaller.exe"  /uninstall
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKDKFNBDDPDPIDBPNLJCOCPJEAAFNGDB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGDNILODCPLJOMELBBNPGDOGDBMCLBNI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMBCKJCFNJMOIINPGDDEFODCIGHGIKKGN%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\ИРА ГЕРАСИМЕНКО\APPDATA\ROAMING\DHELPER.EXE
delref F:\RUN.EXE
regt 5
deltmp
restart

   ---

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Зря вам в теме почистили "флуд", он всё таки был необходим.
Обратитесь к опытному сисадмину, он всё сделает.

Вложение 431906 этот файл? Вложение 431907 ну и это на всякий случай прикреплю

Компьютер стал работать намного быстрее, особенно в браузере стало быстрей все открываться. могу я использовать этот же скрипт на других компьютерах в сети?

Нет. Скрипт пишется под конкретную систему.
Вам изначально сказали: один компьютер, одна тема.
И одна процедура. Запустили проверку, выложили лог, получили скрипт.
Чукча не читатель, чукча писатель.

Странно.
В присланном файле корректировки реестра нет даже упоминания о DOC001.exe. Впрочем, после остановки гуглёвого апдейта комп действительно должен работать шустрей.

P.s. А ник Kapl как-нибудь связан с Ирой Герасименко? :)

просто был не занят ник, а хотелось по короче, вот такой и придумала, он ни чего не значит

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   
   Код:

   ---

   CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-867161865-3211470483-1732610535-1000\...\Run: [] => [X]
HKU\S-1-5-21-867161865-3211470483-1732610535-1000\...\Winlogon: [Shell] C:\Windows\EXPLORER.EXE [3229696 2016-08-29] (Microsoft Corporation) <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-867161865-3211470483-1732610535-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
C:\Users\Ира Герасименко\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp
Task: {5BE875D4-8A11-43D2-9B4B-DFA86E2A4692} - System32\Tasks\{25650A49-7DC5-428D-8FCE-D1E82030A8D1} => C:\Windows\system32\pcalua.exe -a G:\Программы\WPI\Install\Office\PowerPoint2007.exe -d G:\Программы\WPI\Install\Office

   ---

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

Вложение 432008 :forum::forum::forum:

архива Дата_время.zip нет

Вложение 432009 :forum::forum::forum::forum:

Вложение 432011 это опять выскакивает

Где конкретно антивирус находит угрозу (по какому пути)?

Вложение 432169 :forum::forum::forum:

Закройте сетевую папку (сетевой диск) E на время лечения всех 7 ПК в локальной сети.

отключила, проверила AVG, теперь не находит вирусы. нужно повторить приведенный выше скрипт?

Как я ранее уже говорил:

Это значит - берете скажем второй ПК, снимаете с него лог uVS по правилам, создаете новую тему с логом, а дальше аналогичную операцию проделываете со всеми остальными ПК. Только после того как пролечите остальные ПК в сети можно будет открыть сетевой диск.

я имела ввиду на этом же компьютере, ведь вирусы опять повились

В сетевой общей папке, но не на самом ПК. Сетевую папку пытается инфицировать какой-то другой компьютер в локальной сети.