Перейти к содержанию

NET:MALWARE.URL греет видеокарту


Рекомендуемые сообщения

Всех приветствую! Система свежая, не захламлена. Вчера установил сыну неоригинальный майнкрафт, сегодня после запуска компьютера почти сразу начали крутиться вентиляторы на видеокарте, что ранее происходило только после 7-10 минут в игре. С рабочего стола пропал значок аиды64, нашел его в корзине, аида показывает температуру 60-65 на карте, вентиляторы срабатывают каждые 5 минут. В процессах ничего криминального не увидел. Cureit нашел NET:MALWARE:URL в ехешнике Яндекс браузера. Почитал интернет, не лечил ничем пока. KVRT не нашел ничего. Образ uVS, лог курейта и скрин прилагаю. Заранее благодарю за помощь!  

cureit.png

cureitlog.rar DESKTOP-ILFI902_2024-03-09_09-58-50_v4.15.1.7z

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Mark D. Pearlstone сказал:

Порядок изучил, загрузил лог из uVS потому, как в других темах просили именно его. Файл с автологгером не дает открыть браузер, блокирует его наглухо.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

Ссылка на сообщение
Поделиться на другие сайты

AV_block_remove_2024.03.09-15.53.log

После запуска AVbr автоматической перезагрузки не последовало. После ручной перезагрузки автологер по-прежнему не дает скачать, в том числе через эдж браузер

Изменено пользователем AlexStormm
Ссылка на сообщение
Поделиться на другие сайты

Autologger у вас блокируется в WinDefender, надо добавить пути сохранения и запуска в исключения.

 

Quote

Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=Program:Win32/Wacapew.C!ml&threatid=265744&enterprise=0
Имя: Program:Win32/Wacapew.C!ml
ИД: 265744
Серьезность: Высокий
Категория: Изменение параметров
Путь: containerfile:_C:\Users\Egor\Downloads\AutoLogger.zip

 

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему без перезагрузки и завершит работу


 

Start::
Edge StartupUrls: Default -> "hxxps://yandex.com/","hxxps://ovgorskiy.ru"
Unlock: C:\Users\Все пользователи
Unlock: C:\Users\Public\Documents\Моя музыка
Unlock: C:\Users\Public\Documents\мои рисунки
Unlock: C:\Users\Public\Documents\Мои видеозаписи
Unlock: C:\Users\Default\Шаблоны
Unlock: C:\Users\Default\Мои документы
Unlock: C:\Users\Default\главное меню
Unlock: C:\Users\Default\Documents\Моя музыка
Unlock: C:\Users\Default\Documents\мои рисунки
Unlock: C:\Users\Default\Documents\Мои видеозаписи
Unlock: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Программы
Unlock: C:\ProgramData\Шаблоны
Unlock: C:\ProgramData\Рабочий стол
Unlock: C:\ProgramData\Документы
Unlock: C:\ProgramData\главное меню
Unlock: C:\ProgramData\Microsoft\Windows\Start Menu\Программы
Unlock C:\Documents and Settings
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Ссылка на сообщение
Поделиться на другие сайты

Вроде все получилось, спасибо большое! Автологгер запустил после исправления в FRST, лог на всякий случай прилагаю.

Fixlog.txt CollectionLog-2024.03.10-10.47.zip

Ссылка на сообщение
Поделиться на другие сайты

Чего то вредоносного нет в логах, разве что сканер фиксирует внешнюю сетевую активность и детектирует ее как NET:MALWARE.URL,

возможно есть переадресация на вредоносные сайты. пробуйте сбросить настройки роутера до заводских и заново перенастроить роутер для доступа в сеть, или проверить, настройки DNS в роутере.

 

Для очистки системы:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemRoot%\AACT.EXE
hide %SystemRoot%\AACT_TOOLS\AACT_FILES
hide %SystemRoot%\AACT_TOOLS
hide %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_X64.EXE
hide %SystemDrive%\ACTIVATORS
hide %SystemDrive%\INSTALL
hide %SystemRoot%\KMS
hide %SystemRoot%\KMSAUTOS
hide %SystemRoot%\KMSAUTOS\KMSAUTOX64.EXE
hide %SystemRoot%\KMSAUTOS\KMSAUTO_FILES
hide %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\KMSAUTO_FILES
hide %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\KMSAUTO_X64.EXE
hide %SystemDrive%\PROGRAMDATA\KMSAUTOS\BIN\KMSSS.EXE
;------------------------autoscript---------------------------

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_FILES
delref %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_FILES\KMSSS.EXE
delref %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\AACT_FILES\KMSSS.EXE
delref %SystemRoot%\AACT_TOOLS\AACT.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_X64.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_FILES\KMSSS.EXE
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\KMSSS.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\TUNMIRROR.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTOS\BIN\TUNMIRROR.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\DRIVER\X64WDV\FAKECLIENT.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart

 

Напишите, по результату, наблюдается ли указанный детект при сканировании или нет.

Ссылка на сообщение
Поделиться на другие сайты

Скрипт исполнил, спасибо большое! Курейт опять что-то находит, с роутером позанимаюсь чуть позднее. Если свежий лог курейта указывает на внешнюю проблему, которая решится после манипуляций с роутером, то думаю, что тему можно закрыть. 

cureit.log2.rar

Ссылка на сообщение
Поделиться на другие сайты

\Net\16296\TCP\134.209.192.77-443\Device\HarddiskVolume3\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe - infected with NET:MALWARE.URL
\Net\16296\TCP\134.209.192.77-443\Device\HarddiskVolume3\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe - infected - 0ms, 0 bytes

 

\Net\0\TCP\134.209.192.77-443\System Idle Process - infected with NET:MALWARE.URL
\Net\0\TCP\134.209.192.77-443\System Idle Process - infected - 0ms, 0 bytes

------------

+

это еще сделайте, возможно через уязвимости пробивает систему.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Обновите данное ПО:

Microsoft OneDrive v.19.043.0304.0013 Внимание! Скачать обновления

Yandex (All Users) v.24.1.3.809 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Microsoft Edge v.120.0.2210.77 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

 

Ссылка на сообщение
Поделиться на другие сайты

Браузеры обновил, ванДрайв не стал, он просит учетку майкрософт, а ОС не лицензия. ВанДрайв из автозапуска убрал. Понаблюдаю. Спасибо большое!

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Cawt
      От Cawt
      Здравствуйте, поймал вирус CROMIUM:PAGE:MALWARE, вреда он пока нанести не успел, аккаунты взломаны ещё не были, вот только он не удаляется и не лечится ни в какую 😰😭! Нашёл его через Dr.Web Curleit. МНЕ СТРАШНО ПОМОГИТЕ, ОН МОжет совсем скоро начать меня троянами закидывать и данные воровать, мне страшно😭😭😭😭😭
    • Marc Aleman
      От Marc Aleman
      Пять дней назад в сфере кибербезопасности стало популярным сообщение, которое затрагивает тему вредоносного ПО.
       
      Вредоносное ПО Microsoft Blocked удаляет оригинальную учетную запись Windows и заменяет ее на учетную запись под названием "Microsoft Blocked", не позволяя получить доступ к системе без пароля киберпреступников. Как правило, компьютеры заражаются через вредоносные ссылки в электронных письмах или загруженные файлы, особенно пиратские программы. Злоумышленники требуют выкуп, обычно в криптовалюте, в обмен на пароль. Восстановление системы — сложный процесс, требующий специальных инструментов. Лучшая защита — это избегать подозрительных ссылок, использовать двухфакторную аутентификацию и регулярно обновляемый антивирус.
       
      Видели ли вы какую-либо информацию, связанную с этим инцидентом, и могут ли продукты Kaspersky обнаруживать это вредоносное ПО?

    • wumbo12
      От wumbo12
      Тестирование Kaspersky Standard (19.09.2024):
      Это последняя версия Касперского Standard.
      Протестировано на 500 образцах вредоносного ПО из разных источников:
      Образцы не старше 30 и не новее 10 дней.
      Все образцы имеют не менее 15 обнаружений на VirusTotal по состоянию на 18 сентября 2024 г.
      Все примеры представлены в формате .exe, предназначенном для работы в 64-разрядной и 11-разрядной версиях Windows.
      Все настройки установлены по умолчанию, имитируя установку по принципу «установил и забыл».
      Статистика обнаружения:
      Обнаружение файлов при статическом сканировании: 360/500 (коэффициент обнаружения 72,0%)
      Обнаружено выполненных файлов: 438/500 (коэффициент обнаружения 87,6%)
      Сканеры второго мнения после очистки временных файлов:
      Sophos/HitmanPro — 17 обнаружений + 20 PUA
      Emsisoft — 13 обнаружений
      Norton PE — 35 обнаружений
      Полная проверка Касперского — 0 обнаружений после заражения
       
      Видео отчет :
       
      https://dosya.co/kux5af99wt76/Kaspersky_Test_Final_9-19-2024.mp4.html
       
    • Hew0191
      От Hew0191
      Вроде вирус ничего не делает, но все равно не очень радует, что он есть, через Dr.Web не удаляcureit.zipется 
    • aronone
      От aronone
      Здравствуйте, заметил нагрузку на процессор, проверил куррейтом нашел NET:MALWARE.URL и Trojan.PWS.Banker. , вылечить не получилось, но после перезагрузки куррейт перестал находить вирусы, хотел бы почистить комп полностью
      CollectionLog-2024.04.23-09.35.zip cureit.rar
×
×
  • Создать...