Перейти к содержанию

[РЕШЕНО] NET:MALWARE.URL tool.btcmine.2711


Рекомендуемые сообщения

Обычно я очень аккуратен, но вот первый раз в жизни словил серьезный вирус, до этого максимум трояны раз в несколько лет. Видел уже точно такую же ситуацию на этом форуме от пользователя Tossik. В целом почти все как у него. Не открываются сайты с антивирусом. С трудом скачал dr.web curelt. Было обнаружено NET:MALWARE.URL tool.btcmine.2711 от MicrosoftHost.exe. С tool.btcmine.2711 происходит перемещение в карантин , с NET:MALWARE.URL ошибка лечения . После перезагрузки все по новой. Через какое то время после открытия закрывается диспетчер задач. Сразу же закрывается папка ProgramData. Как я понимаю, вирус находится именно там в папке WindowsTask, судя по результатам Dr. Web. Переустанавливать Windows очень не хочется, потому что придется под чистую форматировать оба диска, а на жестком у меня очень важные данные по работе. Не знаю, стоило ли вообще создавать новую тему, или сделать все как было в теме Tossik. Наверное двух полностью одинаковых ситуаций не бывает. Сбор логов проводил в безопасном режиме с поддержкой сетевых драйверов

CollectionLog-2023.06.03-10.15.zip

Изменено пользователем Andrew99
Ссылка на комментарий
Поделиться на другие сайты

Скачайте AV block remover.
Распакуйте (но не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, напри-мер, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe (file missing)
O22 - Tasks_Migrated: (damaged) OneDrive Standalone Update Task-S-1-5-21-2982222441-3591965669-1640925541-1007 - C:\Users\Drohne\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing) (user missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser - C:\WINDOWS\System32\MbaeParserTask.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\SettingSync\BackgroundUploadTask - {59B9640B-3F70-4D1C-B159-F26EEB8A4C87} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\SettingSync\NetworkStateChangeTask - {A4173A49-F373-4475-9A0F-2D615204DC20} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2209.7-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cleanup - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2209.7-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2209.7-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 -IdleScheduledJob (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Verification - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2209.7-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (file missing)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2982222441-3591965669-1640925541-1001\...\Run: [YandexBrowserAutoLaunch_A41941752DEE82EA68D830F728A18841] => "C:\Users\Drohne\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
Task: {02B950CF-614B-4133-9BD7-702AC67AEBB1} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Нет файла)
Task: {087D7520-5CFA-4D9E-B023-B6BFA1E4B5A7} - System32\Tasks\TaskbarX => X:\Drohne\панель задач\TaskbarX.exe  -tbs=0 -color=0;0;0;50 -as=cubiceaseinout -obas=cubiceaseinout -asp=300 -ptbo=0 -stbo=0 -lr=400 -oblr=400 -sr=0 -cpo=1 -ftotc=1 (Нет файла)
Task: {51150A85-0945-46E6-94A8-B534416FFEFF} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2982222441-3591965669-1640925541-1007 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла)
Task: {A807675E-6C65-465C-A419-D333232154B1} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Нет файла)
Task: {BABF0BA6-FB0F-4B98-88C1-DCF1783651BC} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Нет файла)
Task: {D34C06EF-E3AC-41FD-B08A-1B1C52F12568} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2982222441-3591965669-1640925541-1007 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2023-06-01 21:53 - 2023-06-01 21:53 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-06-01 21:53 - 2023-06-01 21:53 - 000000000 __SHD C:\Program Files\RogueKiller
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
AlternateDataStreams: C:\AMD:err [1530]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjhhqkh [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhjihljp [0]
AlternateDataStreams: C:\Users\Drohne\Application Data:671890e017d8a4fb26004192461213ff [394]
AlternateDataStreams: C:\Users\Drohne\AppData\Roaming:671890e017d8a4fb26004192461213ff [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7962]
FirewallRules: [UDP Query User{98819BCE-2DA6-4FFF-B135-767DEEC9E404}C:\program files\epic games\fortnite\engine\binaries\win64\epicwebhelper.exe] => (Allow) C:\program files\epic games\fortnite\engine\binaries\win64\epicwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{36616AAC-6F71-4C5B-8374-5E6C27AAF063}C:\program files\epic games\fortnite\engine\binaries\win64\epicwebhelper.exe] => (Allow) C:\program files\epic games\fortnite\engine\binaries\win64\epicwebhelper.exe => Нет файла
FirewallRules: [UDP Query User{157CD821-E2FB-4F5B-90D0-83144D8C5DF4}C:\program files\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe] => (Allow) C:\program files\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{DDBB8B56-CAA4-4BFB-B869-75F86175DF8A}C:\program files\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe] => (Allow) C:\program files\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe => Нет файла
FirewallRules: [{AA169DFA-2BE6-4120-9DAC-ADEA9F8720D1}] => (Allow) C:\Users\Drohne\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{2103AA71-D97D-4C22-9A64-5DB63E8412FD}] => (Allow) C:\Users\Drohne\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{AABA81A0-C01D-46D5-BA23-BF8B7475310B}C:\users\drohne\appdata\roaming\utorrent\updates\utorrent.exe] => (Allow) C:\users\drohne\appdata\roaming\utorrent\updates\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{CB51D63C-6F72-4E40-BD73-9EBE8B84C4C1}C:\users\drohne\appdata\roaming\utorrent\updates\utorrent.exe] => (Allow) C:\users\drohne\appdata\roaming\utorrent\updates\utorrent.exe => Нет файла
FirewallRules: [{02A5F108-E7E7-4ECE-AEDB-BFF5CBD94F05}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EABackgroundService.exe => Нет файла
FirewallRules: [{53A3C6A5-506B-4B96-9391-C347572CA2CF}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EABackgroundService.exe => Нет файла
FirewallRules: [{ED607797-CDBF-4DCA-ABAE-EBD9A1FDF5F5}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAConnect_microsoft.exe => Нет файла
FirewallRules: [{8D11F713-D904-4FD0-ACD4-194AB8F2A0F2}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAConnect_microsoft.exe => Нет файла
FirewallRules: [{2AFCBCC6-5435-4C31-A894-DA806C1EF8C2}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EADesktop.exe => Нет файла
FirewallRules: [{82661907-8E06-4DCD-B746-F3DBB46DB508}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EADesktop.exe => Нет файла
FirewallRules: [{CC4D7C11-AB31-4509-96E4-E55D97F1350A}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAGEP.exe => Нет файла
FirewallRules: [{90EBB7A5-41E8-4A88-AE81-621629FBC164}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAGEP.exe => Нет файла
FirewallRules: [{CF69EFED-2A48-45B6-95C3-2164FB22AC9B}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALocalHostSvc.exe => Нет файла
FirewallRules: [{7FB8515C-6565-47C0-AA5C-D90445C61F35}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALocalHostSvc.exe => Нет файла
FirewallRules: [{EAA22626-E00A-47CD-8335-03ABBFAE571D}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALaunchHelper.exe => Нет файла
FirewallRules: [TCP Query User{EADC6820-54FB-44B4-8E49-D69D44286455}C:\program files\ea games\fifa 18\fifa18.exe] => (Allow) C:\program files\ea games\fifa 18\fifa18.exe => Нет файла
FirewallRules: [UDP Query User{6E87663C-0EE1-4B7F-AF68-EAFF1DE8AAA3}C:\program files\ea games\fifa 18\fifa18.exe] => (Allow) C:\program files\ea games\fifa 18\fifa18.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Да, спасибо большое, по сути она была решена еще после avbr. Я уже мог зайти с браузера на этот форум, а сейчас судя по всему были стерты все следы присутствия майнера. Очень вам благодарен, огромное спасибо! Вы настоящий профессионал!

Ссылка на комментарий
Поделиться на другие сайты


Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------


AMD Software v.20.45.36 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 16.0.5 Basic v.16.0.5 Внимание! Скачать обновления
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

по возможности исправьте указанное, и на этом закончим

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • moyyor
      От moyyor
      Решил проверить ноут через DrWeb, обнаружился вирус net:malware.url. Как его удалить ? Логи прикрепил. 

      CollectionLog-2024.11.01-13.28.zip
    • Nedofizik
      От Nedofizik
      Добрый день!
      Заметил проблемы с ноутбуком где-то год назад, списывал на то что "тяжелые" игры запускал и не обращал внимания. На прошлой неделе товарищ рассказал, что есть вид вирусов, что нагружают процессор и их трудно найти. Проверил у себя и обнаружил такой. В итоге это все привело меня к установке утилит антивирусов, которые выдали мне угрозу со NET.MALWARE.URL, конечно же попытался её удалить, но по по классике это сделать нельзя. Прошу совета и помощи в решении проблемы у знатоков.
      CollectionLog-2024.09.28-09.58.zip
    • Andrian28
      От Andrian28
      Добрый вечер. Недавно просканировал ПК и нашёл вирус NET:MALWARE.URL.Помогите пожалуйста его удалить. Логи прикрепил
      log.zip
    • lomosow
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
×
×
  • Создать...