[РЕШЕНО] NET.MALWARE.URL прошу помощи с удалением

[Eskalente]

Недавно комп начал жёстко глючить. Я проверил через DrWeb Curelt! что на моём компе есть вирус NET.MALWARE.URL. DrWeb не излечил проблему и комп также продолжает жёстко зависать. Помогите пожалуйста. Можете пошагово объяснить что мне требуется делать.

CollectionLog-2024.02.11-04.05.zip

[safety]

подготовьте, пожалуйста, дополнительные логи:

Цитата

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+ добавьте в архиве лог сканирования в Cureit

[Eskalente]

5 минут назад, safety сказал:

+ добавьте в архиве лог сканирования в Cureit

Мне ещё раз сделать проверку в Cureit?
Я не сохранял никуда логи и программы на автосейв логов не были установлены

[Eskalente]

Только эти сделал
Я не знаю где брать лог с Cureit

FRST.zip WIN-G0QJ7OPJ66H_2024-02-11_05-07-17_v4.15.1.7z

[safety]

FRST и uVS сейчас проверю,

 

лог Курейта может быть здесь:

C:\Users\(пользователь) \Doctor Web

[Eskalente]

Да, лог Cureit находится именно здесь. За сегодняшний день у меня было сделано 2 лога. cureit(6928) - в 3:29 и второй лог cureit - в 5:15. Я думаю что тот который был сделан в 3:29 это и есть нужный, но пожалуй я в архив оба закину

CureIt Log.zip

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ЭРБОЛ\APPDATA\LOCAL\PROGRAMS\TASKBARSYSTEM\TASKBARSYSTEM.EXE
;------------------------autoscript---------------------------

delall D:\PROGRAMS\ADSPOWER\ADSPOWER.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ADSPOWER.LNK
delall %SystemDrive%\USERS\ЭРБОЛ\APPDATA\LOCAL\PROGRAMS\TASKBARSYSTEM\TASKBARSYSTEM.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\WEBCOMPANION.EXE
delall %SystemDrive%\USERS\ЭРБОЛ\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
delall %SystemDrive%\USERS\ЭРБОЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\HELPER.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\ЭРБОЛ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT READER\SHELL EXTENSIONS\FOXITPREVIEWHOST.EXE
delref %SystemDrive%\PROGRAM FILES\NOTEPAD++\NPPSHELL_06.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref E:\UPDATE10\DATA\OFFICE_2016-21_C2R_ISO_16.0.14729.20260_01.17.2022-17.43.12\OINSTALL.EXE
delref E:\UPDATE10\DATA\OFFICE_2016-21_C2R_ISO_16.0.14729.20260_01.17.2022-17.43.12\FILES
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemDrive%\PROGRAM FILES\DEFENDERCONTROL
delref %Sys32%\RZTHXHELPER.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\DRIVERS\EAANTICHEAT.SYS
delref %Sys32%\DRIVERS\RSDWF.SYS
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектом происходит после скрипта очистки в uVS.

13 minutes ago, Eskalente said:

Да, лог Cureit находится именно здесь

Судя по логу реагирует на mtorrent

C:\Users\Эрбол\AppData\Local\Temp\utorrent\utorrent.exe - infected - 450ms, 2719752 bytes

 

Изменено 10 февраля, 2024 пользователем safety

[Eskalente]

Комп в долгом режиме перезагрузки и пока черный экран

Я немного не догнал за последние 2 строки

Я должен отправить сюда лог который образуется после перезагрузки в папке uVS?

Или мне нужно заново перепроверить через Курейт обнаруживается ли вирус или нет?

 

Если комп не грузит могу через кнопку питания отключить его и заново включить?

 

 

Вот такой файлик получился
Мои дальнейшие действия?😅

log.zip

Изменено 10 февраля, 2024 пользователем Eskalente

[safety]

13 minutes ago, Eskalente said:

Мои дальнейшие действия?😅

выполните проверку в Курейт, посмотрим  что будет найдено в этот раз.

[Eskalente]

Написало что угроз не обнаружено
Однако я помню в какой то теме в форуме читал что кто-то в первый раз сделав скан через Курейт - вирус был обнаружен (как раз таки Malware), а во второй раз без каких-либо действий скан показал что вируса нет. Такое может быть?
Есть варианты как ещё проверить или то что показал Курейт - это и есть максималка?
Вы написали ещё что дело в mtorrent. Я помню что Курейт этот mtorrent пофиксил, а вот сам вирус Malware находился по какому то странному пути и в конце пути chrome.exe.

Что можете посоветовать ещё?
Мне не пользоваться utorrent и удалить его полностью с компа?

[safety]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 

Start::
CloseProcesses:
SystemRestore: On
HKU\S-1-5-21-1956313306-359995284-305753097-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize  (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-1956313306-359995284-305753097-1001\...\Run: [TaskbarSystem] => C:\Users\Эрбол\AppData\Local\Programs\TaskbarSystem\TaskbarSystem.exe [911360 2022-12-08] (Cleversort FZ-LLC -> ) <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AdsPower.lnk [2023-03-02]
ShortcutTarget: AdsPower.lnk -> D:\Programs\AdsPower\AdsPower.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {A9E8BFB5-D144-4256-BE03-0C1B5FCA1089} - System32\Tasks\System\SystemCheck => "%userprofile%\AppData\Roaming\Microsoft\Windows\Helper.exe"  -SystemCheck (Нет файла) <==== ВНИМАНИЕ
2023-02-15 23:58 C:\AdwCleaner
2023-02-15 23:58 C:\KVRT2020_Data
2023-02-15 23:58 C:\KVRT_Data
2023-02-15 23:58 C:\Program Files\AVAST Software
2023-02-15 23:58 C:\Program Files\AVG
2023-02-15 23:58 C:\Program Files\Bitdefender Agent
2023-02-15 23:58 C:\Program Files\ByteFence
2023-02-15 23:58 C:\Program Files\Cezurity
2023-02-15 23:58 C:\Program Files\COMODO
2023-02-15 23:58 C:\Program Files\DrWeb
2023-02-15 23:58 C:\Program Files\Enigma Software Group
2023-02-15 23:58 C:\Program Files\ESET
2023-02-15 23:58 C:\Program Files\Kaspersky Lab
2023-02-15 23:58 C:\Program Files\Loaris Trojan Remover
2023-02-15 23:58 C:\Program Files\Malwarebytes
2023-02-15 23:58 C:\Program Files\Process Lasso
2023-02-15 23:58 C:\Program Files\Rainmeter
2023-02-15 23:58 C:\Program Files\Ravantivirus
2023-02-15 23:58 C:\Program Files\SpyHunter
2023-02-15 23:58 C:\Program Files (x86)\360
2023-02-15 23:58 C:\Program Files (x86)\AVAST Software
2023-02-15 23:58 C:\Program Files (x86)\AVG
2023-02-15 23:58 C:\Program Files (x86)\Cezurity
2023-02-15 23:58 C:\Program Files (x86)\GRIZZLY Antivirus
2023-02-15 23:58 C:\Program Files (x86)\Kaspersky Lab
2023-02-15 23:58 C:\Program Files (x86)\Microsoft JDX
2023-02-15 23:58 C:\Program Files (x86)\Panda Security
2023-02-15 23:58 C:\Program Files (x86)\SpyHunter
2023-02-15 23:58 C:\Program Files (x86)\Transmission
2023-02-15 23:58 C:\Windows\speechstracing
2023-02-15 23:58 C:\Program Files\Common Files\AV
2023-02-15 23:58 C:\Program Files\Common Files\Doctor Web
2023-02-15 23:58 C:\Program Files\Common Files\McAfee
2023-02-15 23:58 C:\ProgramData\360safe
2023-02-15 23:58 C:\ProgramData\AVAST Software
2023-02-15 23:58 C:\ProgramData\Avira
2023-02-15 23:58 C:\ProgramData\BookManager
2023-02-15 23:58 C:\ProgramData\Doctor Web
2023-02-15 23:58 C:\ProgramData\ESET
2023-02-15 23:58 C:\ProgramData\Evernote
2023-02-15 23:58 C:\ProgramData\FingerPrint
2023-02-15 23:58 C:\ProgramData\grizzly
2023-02-15 23:58 C:\ProgramData\Kaspersky Lab
2023-02-15 23:58 C:\ProgramData\Kaspersky Lab Setup Files
2023-02-15 23:58 C:\ProgramData\Malwarebytes
2023-02-15 23:58 C:\ProgramData\MB3Install
2023-02-15 23:58 C:\ProgramData\McAfee
2023-02-15 23:58 C:\ProgramData\Norton
2023-02-15 23:58 C:\ProgramData\PuzzleMedia
2023-02-15 23:58 C:\ProgramData\RobotDemo
2023-02-15 23:58 C:\ProgramData\WavePad
John (S-1-5-21-1956313306-359995284-305753097-1003 - Administrator - Enabled)
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
AlternateDataStreams: C:\ProgramData\rsEngine.config.backup:CF02139FF4 [3442]
AlternateDataStreams: C:\ProgramData\sldh.dat:136096DD5B [3442]
AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Bass Slapper.lnk:2015821124 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Clavinet.lnk:01A132F7E4 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Electric Grand 80.lnk:C018DDFEC2 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Electric200.lnk:639980EC68 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\eMotion LV1.lnk:6DD825F03A [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Flow Motion.lnk:9C03AC0DEB [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Grand Rhapsody.lnk:06FD727EFB [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\O&O ShutUp10 (отключение шпионских функций AntiSpy).lnk:1D13FECCC4 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2022.lnk:638138415C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black Desert.lnk:54240D998C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [3442]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8484]
AlternateDataStreams: C:\Users\Эрбол\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Эрбол\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
IE trusted site: HKU\S-1-5-21-1956313306-359995284-305753097-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-1956313306-359995284-305753097-1001\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{ED247DD0-4B53-4AA4-8277-FBB29622297B}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe () [Файл не подписан]
FirewallRules: [{4A326DBF-C23B-4021-B1B8-1400A1389233}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe () [Файл не подписан]
FirewallRules: [{498E1FF8-1DD5-4DF9-AACC-C8EBE9FEB5BF}] => (Block) LPort=445
FirewallRules: [{52F47A39-4008-4796-9112-0AAE17250F4E}] => (Block) LPort=445
FirewallRules: [{5C5569CC-7487-4BCA-8C94-73DDB0D961B9}] => (Block) LPort=139
FirewallRules: [{A3885104-8C99-42BC-9352-30765637CA34}] => (Block) LPort=139
FirewallRules: [{14E09AE5-6AD6-4AE5-94CA-3A0C7F276E06}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{99D2CE8A-E2D3-4D10-A8D1-64DC5F49C8BD}] => (Allow) LPort=3389
FirewallRules: [{56158A8C-C929-4E16-AD16-2DF9EBA9D40D}] => (Allow) C:\Users\Эрбол\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{C316B080-0532-4452-AE7D-FCB564B280E7}] => (Allow) C:\Users\Эрбол\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{7E33B529-EE04-42B9-B596-40D4D44C0496}] => (Allow) C:\Users\Эрбол\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{5D018A64-D9B0-4495-AD35-5BA375029575}] => (Allow) C:\Users\Эрбол\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{50067649-4F08-4E55-9AF9-5C7FF3757C06}] => (Allow) C:\Users\Эрбол\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{92EB5213-950F-4CB7-8323-F581D16571CC}] => (Allow) C:\Users\Эрбол\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
EmptyTemp:
Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

[Eskalente]

Вот что получилось

fixlog.zip

[safety]

13 minutes ago, Eskalente said:

Вот что получилось

Левая учетка с правами администратора удалена. (после майнера осталась).

John (S-1-5-21-1956313306-359995284-305753097-1003 - Administrator - Enabled) => успешно удалены

 

Система очищена.

 

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении

 

[Eskalente]

Вот

 

Я же правильно понимаю что проблема была в торренте?

Мне впредь не стоит больше работать с этой программой да?

securitycheck.zip

Изменено 11 февраля, 2024 пользователем Eskalente

[safety]

По возможности обновите данное ПО:

 

HotFix KB5034122 Внимание! Скачать обновления

NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.34.31938 v.14.34.31938.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.34.31938 v.14.34.31938.0 Внимание! Скачать обновления

7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления
Skype, версия 8.88 v.8.88 Внимание! Скачать обновления

Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
AIMP v.5.03.2394 Внимание! Скачать обновления
K-Lite Codec Pack 17.1.0 Full v.17.1.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.112.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^