Перейти к содержанию

NET:MALWARE.URL греет видеокарту


Рекомендуемые сообщения

Всех приветствую! Система свежая, не захламлена. Вчера установил сыну неоригинальный майнкрафт, сегодня после запуска компьютера почти сразу начали крутиться вентиляторы на видеокарте, что ранее происходило только после 7-10 минут в игре. С рабочего стола пропал значок аиды64, нашел его в корзине, аида показывает температуру 60-65 на карте, вентиляторы срабатывают каждые 5 минут. В процессах ничего криминального не увидел. Cureit нашел NET:MALWARE:URL в ехешнике Яндекс браузера. Почитал интернет, не лечил ничем пока. KVRT не нашел ничего. Образ uVS, лог курейта и скрин прилагаю. Заранее благодарю за помощь!  

cureit.png

cureitlog.rar DESKTOP-ILFI902_2024-03-09_09-58-50_v4.15.1.7z

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Mark D. Pearlstone сказал:

Порядок изучил, загрузил лог из uVS потому, как в других темах просили именно его. Файл с автологгером не дает открыть браузер, блокирует его наглухо.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

Ссылка на комментарий
Поделиться на другие сайты

AV_block_remove_2024.03.09-15.53.log

После запуска AVbr автоматической перезагрузки не последовало. После ручной перезагрузки автологер по-прежнему не дает скачать, в том числе через эдж браузер

Изменено пользователем AlexStormm
Ссылка на комментарий
Поделиться на другие сайты

Autologger у вас блокируется в WinDefender, надо добавить пути сохранения и запуска в исключения.

 

Quote

Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=Program:Win32/Wacapew.C!ml&threatid=265744&enterprise=0
Имя: Program:Win32/Wacapew.C!ml
ИД: 265744
Серьезность: Высокий
Категория: Изменение параметров
Путь: containerfile:_C:\Users\Egor\Downloads\AutoLogger.zip

 

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему без перезагрузки и завершит работу


 

Start::
Edge StartupUrls: Default -> "hxxps://yandex.com/","hxxps://ovgorskiy.ru"
Unlock: C:\Users\Все пользователи
Unlock: C:\Users\Public\Documents\Моя музыка
Unlock: C:\Users\Public\Documents\мои рисунки
Unlock: C:\Users\Public\Documents\Мои видеозаписи
Unlock: C:\Users\Default\Шаблоны
Unlock: C:\Users\Default\Мои документы
Unlock: C:\Users\Default\главное меню
Unlock: C:\Users\Default\Documents\Моя музыка
Unlock: C:\Users\Default\Documents\мои рисунки
Unlock: C:\Users\Default\Documents\Мои видеозаписи
Unlock: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Программы
Unlock: C:\ProgramData\Шаблоны
Unlock: C:\ProgramData\Рабочий стол
Unlock: C:\ProgramData\Документы
Unlock: C:\ProgramData\главное меню
Unlock: C:\ProgramData\Microsoft\Windows\Start Menu\Программы
Unlock C:\Documents and Settings
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Ссылка на комментарий
Поделиться на другие сайты

Вроде все получилось, спасибо большое! Автологгер запустил после исправления в FRST, лог на всякий случай прилагаю.

Fixlog.txt CollectionLog-2024.03.10-10.47.zip

Ссылка на комментарий
Поделиться на другие сайты

Чего то вредоносного нет в логах, разве что сканер фиксирует внешнюю сетевую активность и детектирует ее как NET:MALWARE.URL,

возможно есть переадресация на вредоносные сайты. пробуйте сбросить настройки роутера до заводских и заново перенастроить роутер для доступа в сеть, или проверить, настройки DNS в роутере.

 

Для очистки системы:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemRoot%\AACT.EXE
hide %SystemRoot%\AACT_TOOLS\AACT_FILES
hide %SystemRoot%\AACT_TOOLS
hide %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_X64.EXE
hide %SystemDrive%\ACTIVATORS
hide %SystemDrive%\INSTALL
hide %SystemRoot%\KMS
hide %SystemRoot%\KMSAUTOS
hide %SystemRoot%\KMSAUTOS\KMSAUTOX64.EXE
hide %SystemRoot%\KMSAUTOS\KMSAUTO_FILES
hide %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\KMSAUTO_FILES
hide %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\KMSAUTO_X64.EXE
hide %SystemDrive%\PROGRAMDATA\KMSAUTOS\BIN\KMSSS.EXE
;------------------------autoscript---------------------------

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_FILES
delref %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_FILES\KMSSS.EXE
delref %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\AACT_FILES\KMSSS.EXE
delref %SystemRoot%\AACT_TOOLS\AACT.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_X64.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_FILES\KMSSS.EXE
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\KMSSS.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\TUNMIRROR.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTOS\BIN\TUNMIRROR.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\DRIVER\X64WDV\FAKECLIENT.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart

 

Напишите, по результату, наблюдается ли указанный детект при сканировании или нет.

Ссылка на комментарий
Поделиться на другие сайты

Скрипт исполнил, спасибо большое! Курейт опять что-то находит, с роутером позанимаюсь чуть позднее. Если свежий лог курейта указывает на внешнюю проблему, которая решится после манипуляций с роутером, то думаю, что тему можно закрыть. 

cureit.log2.rar

Ссылка на комментарий
Поделиться на другие сайты

\Net\16296\TCP\134.209.192.77-443\Device\HarddiskVolume3\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe - infected with NET:MALWARE.URL
\Net\16296\TCP\134.209.192.77-443\Device\HarddiskVolume3\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe - infected - 0ms, 0 bytes

 

\Net\0\TCP\134.209.192.77-443\System Idle Process - infected with NET:MALWARE.URL
\Net\0\TCP\134.209.192.77-443\System Idle Process - infected - 0ms, 0 bytes

------------

+

это еще сделайте, возможно через уязвимости пробивает систему.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Обновите данное ПО:

Microsoft OneDrive v.19.043.0304.0013 Внимание! Скачать обновления

Yandex (All Users) v.24.1.3.809 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Microsoft Edge v.120.0.2210.77 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

 

Ссылка на комментарий
Поделиться на другие сайты

Браузеры обновил, ванДрайв не стал, он просит учетку майкрософт, а ОС не лицензия. ВанДрайв из автозапуска убрал. Понаблюдаю. Спасибо большое!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Nabludatel
      Автор Nabludatel
      Здравствуйте, нашел через Dr.Web Cureit вирус который невозможно вылечить. 
      Все логи прилагаю.
      Addition.txt FRST.txt cureit.zip
    • vorosshilov_k
      Автор vorosshilov_k
      Здравствуйте! Процессор ноутбука начал хорошенько греться даже в идле на батарее и на зарядке. Решил проверить кьюритом и увидел NET:MALWARE.URL winnet.exe. Понял, что лучше оставить заявку на форуме, чем заниматься самодеятельностью. Все файлы прилагаю. Заранее спасибо!

      CollectionLog-2025.04.11-14.05.zip
    • Suga
      Автор Suga
      Решил проверить компьютер на вирусы тк какой-то процесс после запуска игр нагружал видеокарту в 100-90%. В диспетчере задач нагружал "хост окна консоли", теперь пропадает после запуска диспетчера. Как удалить "NET:MALWARE.URL"?

    • Ded_
      Автор Ded_
      Подцепиил вирус NET:MALWARE.URL
    • ClausePixel
      Автор ClausePixel
      Подскажите проверил компьютер через Dr.web.Cureit, нашел странную угрозу, но не могу ее удалить net:malware.url
      лог прикладываю
       
      cureit.zip
×
×
  • Создать...