Перейти к содержанию

NET:MALWARE.URL греет видеокарту


Рекомендуемые сообщения

Всех приветствую! Система свежая, не захламлена. Вчера установил сыну неоригинальный майнкрафт, сегодня после запуска компьютера почти сразу начали крутиться вентиляторы на видеокарте, что ранее происходило только после 7-10 минут в игре. С рабочего стола пропал значок аиды64, нашел его в корзине, аида показывает температуру 60-65 на карте, вентиляторы срабатывают каждые 5 минут. В процессах ничего криминального не увидел. Cureit нашел NET:MALWARE:URL в ехешнике Яндекс браузера. Почитал интернет, не лечил ничем пока. KVRT не нашел ничего. Образ uVS, лог курейта и скрин прилагаю. Заранее благодарю за помощь!  

cureit.png

cureitlog.rar DESKTOP-ILFI902_2024-03-09_09-58-50_v4.15.1.7z

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Mark D. Pearlstone сказал:

Порядок изучил, загрузил лог из uVS потому, как в других темах просили именно его. Файл с автологгером не дает открыть браузер, блокирует его наглухо.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

Ссылка на комментарий
Поделиться на другие сайты

AV_block_remove_2024.03.09-15.53.log

После запуска AVbr автоматической перезагрузки не последовало. После ручной перезагрузки автологер по-прежнему не дает скачать, в том числе через эдж браузер

Изменено пользователем AlexStormm
Ссылка на комментарий
Поделиться на другие сайты

Autologger у вас блокируется в WinDefender, надо добавить пути сохранения и запуска в исключения.

 

Quote

Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=Program:Win32/Wacapew.C!ml&threatid=265744&enterprise=0
Имя: Program:Win32/Wacapew.C!ml
ИД: 265744
Серьезность: Высокий
Категория: Изменение параметров
Путь: containerfile:_C:\Users\Egor\Downloads\AutoLogger.zip

 

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему без перезагрузки и завершит работу


 

Start::
Edge StartupUrls: Default -> "hxxps://yandex.com/","hxxps://ovgorskiy.ru"
Unlock: C:\Users\Все пользователи
Unlock: C:\Users\Public\Documents\Моя музыка
Unlock: C:\Users\Public\Documents\мои рисунки
Unlock: C:\Users\Public\Documents\Мои видеозаписи
Unlock: C:\Users\Default\Шаблоны
Unlock: C:\Users\Default\Мои документы
Unlock: C:\Users\Default\главное меню
Unlock: C:\Users\Default\Documents\Моя музыка
Unlock: C:\Users\Default\Documents\мои рисунки
Unlock: C:\Users\Default\Documents\Мои видеозаписи
Unlock: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Программы
Unlock: C:\ProgramData\Шаблоны
Unlock: C:\ProgramData\Рабочий стол
Unlock: C:\ProgramData\Документы
Unlock: C:\ProgramData\главное меню
Unlock: C:\ProgramData\Microsoft\Windows\Start Menu\Программы
Unlock C:\Documents and Settings
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Ссылка на комментарий
Поделиться на другие сайты

Вроде все получилось, спасибо большое! Автологгер запустил после исправления в FRST, лог на всякий случай прилагаю.

Fixlog.txt CollectionLog-2024.03.10-10.47.zip

Ссылка на комментарий
Поделиться на другие сайты

Чего то вредоносного нет в логах, разве что сканер фиксирует внешнюю сетевую активность и детектирует ее как NET:MALWARE.URL,

возможно есть переадресация на вредоносные сайты. пробуйте сбросить настройки роутера до заводских и заново перенастроить роутер для доступа в сеть, или проверить, настройки DNS в роутере.

 

Для очистки системы:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemRoot%\AACT.EXE
hide %SystemRoot%\AACT_TOOLS\AACT_FILES
hide %SystemRoot%\AACT_TOOLS
hide %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_X64.EXE
hide %SystemDrive%\ACTIVATORS
hide %SystemDrive%\INSTALL
hide %SystemRoot%\KMS
hide %SystemRoot%\KMSAUTOS
hide %SystemRoot%\KMSAUTOS\KMSAUTOX64.EXE
hide %SystemRoot%\KMSAUTOS\KMSAUTO_FILES
hide %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\KMSAUTO_FILES
hide %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\KMSAUTO_X64.EXE
hide %SystemDrive%\PROGRAMDATA\KMSAUTOS\BIN\KMSSS.EXE
;------------------------autoscript---------------------------

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_FILES
delref %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_FILES\KMSSS.EXE
delref %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\AACT_FILES\KMSSS.EXE
delref %SystemRoot%\AACT_TOOLS\AACT.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_X64.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_FILES\KMSSS.EXE
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\KMSSS.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\TUNMIRROR.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTOS\BIN\TUNMIRROR.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\DRIVER\X64WDV\FAKECLIENT.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart

 

Напишите, по результату, наблюдается ли указанный детект при сканировании или нет.

Ссылка на комментарий
Поделиться на другие сайты

Скрипт исполнил, спасибо большое! Курейт опять что-то находит, с роутером позанимаюсь чуть позднее. Если свежий лог курейта указывает на внешнюю проблему, которая решится после манипуляций с роутером, то думаю, что тему можно закрыть. 

cureit.log2.rar

Ссылка на комментарий
Поделиться на другие сайты

\Net\16296\TCP\134.209.192.77-443\Device\HarddiskVolume3\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe - infected with NET:MALWARE.URL
\Net\16296\TCP\134.209.192.77-443\Device\HarddiskVolume3\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe - infected - 0ms, 0 bytes

 

\Net\0\TCP\134.209.192.77-443\System Idle Process - infected with NET:MALWARE.URL
\Net\0\TCP\134.209.192.77-443\System Idle Process - infected - 0ms, 0 bytes

------------

+

это еще сделайте, возможно через уязвимости пробивает систему.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Обновите данное ПО:

Microsoft OneDrive v.19.043.0304.0013 Внимание! Скачать обновления

Yandex (All Users) v.24.1.3.809 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Microsoft Edge v.120.0.2210.77 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

 

Ссылка на комментарий
Поделиться на другие сайты

Браузеры обновил, ванДрайв не стал, он просит учетку майкрософт, а ОС не лицензия. ВанДрайв из автозапуска убрал. Понаблюдаю. Спасибо большое!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Andrian28
      От Andrian28
      Добрый вечер. Недавно просканировал ПК и нашёл вирус NET:MALWARE.URL.Помогите пожалуйста его удалить. Логи прикрепил
      log.zip
    • lomosow
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
    • moyyor
      От moyyor
      Решил проверить ноут через DrWeb, обнаружился вирус net:malware.url. Как его удалить ? Логи прикрепил. 

      CollectionLog-2024.11.01-13.28.zip
    • Сергейasdasdasd
      От Сергейasdasdasd
      Здравствуйте! Возникла та же проблема

      Помогите, пожалуйста! Скачал пиратский adobe photoshop, ae, pp... Не удаляется ничем. В ваших постах есть ссылка на файл, но он удалён с диска, поэтому я не смогу повторить шаги
       
      Сообщение от модератора thyrex Перенесено из темы  
×
×
  • Создать...