NET:MALWARE.URL греет видеокарту

[AlexStormm 0]

Всех приветствую! Система свежая, не захламлена. Вчера установил сыну неоригинальный майнкрафт, сегодня после запуска компьютера почти сразу начали крутиться вентиляторы на видеокарте, что ранее происходило только после 7-10 минут в игре. С рабочего стола пропал значок аиды64, нашел его в корзине, аида показывает температуру 60-65 на карте, вентиляторы срабатывают каждые 5 минут. В процессах ничего криминального не увидел. Cureit нашел NET:MALWARE:URL в ехешнике Яндекс браузера. Почитал интернет, не лечил ничем пока. KVRT не нашел ничего. Образ uVS, лог курейта и скрин прилагаю. Заранее благодарю за помощь!  

cureitlog.rar DESKTOP-ILFI902_2024-03-09_09-58-50_v4.15.1.7z

[Mark D. Pearlstone 1 530]

Порядок оформления запроса о помощи

[AlexStormm 0]

1 час назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

Порядок изучил, загрузил лог из uVS потому, как в других темах просили именно его. Файл с автологгером не дает открыть браузер, блокирует его наглухо.

[safety 130]

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[AlexStormm 0]

AV_block_remove_2024.03.09-15.53.log

После запуска AVbr автоматической перезагрузки не последовало. После ручной перезагрузки автологер по-прежнему не дает скачать, в том числе через эдж браузер

Изменено 9 марта пользователем AlexStormm

[safety 130]

Подготовьте дополнительно логи анализа системы при помощи Farbar Recovery Scan Tool.

[AlexStormm 0]

Addition.txt FRST.txt

[safety 130]

Autologger у вас блокируется в WinDefender, надо добавить пути сохранения и запуска в исключения.

 

Quote

Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=Program:Win32/Wacapew.C!ml&threatid=265744&enterprise=0
Имя: Program:Win32/Wacapew.C!ml
ИД: 265744
Серьезность: Высокий
Категория: Изменение параметров
Путь: containerfile:_C:\Users\Egor\Downloads\AutoLogger.zip

 

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему без перезагрузки и завершит работу

 

Start::
Edge StartupUrls: Default -> "hxxps://yandex.com/","hxxps://ovgorskiy.ru"
Unlock: C:\Users\Все пользователи
Unlock: C:\Users\Public\Documents\Моя музыка
Unlock: C:\Users\Public\Documents\мои рисунки
Unlock: C:\Users\Public\Documents\Мои видеозаписи
Unlock: C:\Users\Default\Шаблоны
Unlock: C:\Users\Default\Мои документы
Unlock: C:\Users\Default\главное меню
Unlock: C:\Users\Default\Documents\Моя музыка
Unlock: C:\Users\Default\Documents\мои рисунки
Unlock: C:\Users\Default\Documents\Мои видеозаписи
Unlock: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Программы
Unlock: C:\ProgramData\Шаблоны
Unlock: C:\ProgramData\Рабочий стол
Unlock: C:\ProgramData\Документы
Unlock: C:\ProgramData\главное меню
Unlock: C:\ProgramData\Microsoft\Windows\Start Menu\Программы
Unlock C:\Documents and Settings
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

[AlexStormm 0]

Вроде все получилось, спасибо большое! Автологгер запустил после исправления в FRST, лог на всякий случай прилагаю.

Fixlog.txt CollectionLog-2024.03.10-10.47.zip

[safety 130]

Чего то вредоносного нет в логах, разве что сканер фиксирует внешнюю сетевую активность и детектирует ее как NET:MALWARE.URL,

возможно есть переадресация на вредоносные сайты. пробуйте сбросить настройки роутера до заводских и заново перенастроить роутер для доступа в сеть, или проверить, настройки DNS в роутере.

 

Для очистки системы:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemRoot%\AACT.EXE
hide %SystemRoot%\AACT_TOOLS\AACT_FILES
hide %SystemRoot%\AACT_TOOLS
hide %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_X64.EXE
hide %SystemDrive%\ACTIVATORS
hide %SystemDrive%\INSTALL
hide %SystemRoot%\KMS
hide %SystemRoot%\KMSAUTOS
hide %SystemRoot%\KMSAUTOS\KMSAUTOX64.EXE
hide %SystemRoot%\KMSAUTOS\KMSAUTO_FILES
hide %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\KMSAUTO_FILES
hide %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\KMSAUTO_X64.EXE
hide %SystemDrive%\PROGRAMDATA\KMSAUTOS\BIN\KMSSS.EXE
;------------------------autoscript---------------------------

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_FILES
delref %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_FILES\KMSSS.EXE
delref %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\AACT_FILES\KMSSS.EXE
delref %SystemRoot%\AACT_TOOLS\AACT.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_X64.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_FILES\KMSSS.EXE
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\KMSSS.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\TUNMIRROR.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTOS\BIN\TUNMIRROR.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\DRIVER\X64WDV\FAKECLIENT.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart

 

Напишите, по результату, наблюдается ли указанный детект при сканировании или нет.

[AlexStormm 0]

Скрипт исполнил, спасибо большое! Курейт опять что-то находит, с роутером позанимаюсь чуть позднее. Если свежий лог курейта указывает на внешнюю проблему, которая решится после манипуляций с роутером, то думаю, что тему можно закрыть. 

cureit.log2.rar

[safety 130]

\Net\16296\TCP\134.209.192.77-443\Device\HarddiskVolume3\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe - infected with NET:MALWARE.URL
\Net\16296\TCP\134.209.192.77-443\Device\HarddiskVolume3\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe - infected - 0ms, 0 bytes

 

\Net\0\TCP\134.209.192.77-443\System Idle Process - infected with NET:MALWARE.URL
\Net\0\TCP\134.209.192.77-443\System Idle Process - infected - 0ms, 0 bytes

------------

+

это еще сделайте, возможно через уязвимости пробивает систему.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[AlexStormm 0]

SecurityCheck.txt

[safety 130]

Обновите данное ПО:

Microsoft OneDrive v.19.043.0304.0013 Внимание! Скачать обновления

Yandex (All Users) v.24.1.3.809 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Microsoft Edge v.120.0.2210.77 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

 

[AlexStormm 0]

Браузеры обновил, ванДрайв не стал, он просит учетку майкрософт, а ОС не лицензия. ВанДрайв из автозапуска убрал. Понаблюдаю. Спасибо большое!