Перейти к содержанию

NET:MALWARE.URL греет видеокарту


Рекомендуемые сообщения

Всех приветствую! Система свежая, не захламлена. Вчера установил сыну неоригинальный майнкрафт, сегодня после запуска компьютера почти сразу начали крутиться вентиляторы на видеокарте, что ранее происходило только после 7-10 минут в игре. С рабочего стола пропал значок аиды64, нашел его в корзине, аида показывает температуру 60-65 на карте, вентиляторы срабатывают каждые 5 минут. В процессах ничего криминального не увидел. Cureit нашел NET:MALWARE:URL в ехешнике Яндекс браузера. Почитал интернет, не лечил ничем пока. KVRT не нашел ничего. Образ uVS, лог курейта и скрин прилагаю. Заранее благодарю за помощь!  

cureit.png

cureitlog.rar DESKTOP-ILFI902_2024-03-09_09-58-50_v4.15.1.7z

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Mark D. Pearlstone сказал:

Порядок изучил, загрузил лог из uVS потому, как в других темах просили именно его. Файл с автологгером не дает открыть браузер, блокирует его наглухо.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

Ссылка на сообщение
Поделиться на другие сайты

AV_block_remove_2024.03.09-15.53.log

После запуска AVbr автоматической перезагрузки не последовало. После ручной перезагрузки автологер по-прежнему не дает скачать, в том числе через эдж браузер

Изменено пользователем AlexStormm
Ссылка на сообщение
Поделиться на другие сайты

Autologger у вас блокируется в WinDefender, надо добавить пути сохранения и запуска в исключения.

 

Quote

Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=Program:Win32/Wacapew.C!ml&threatid=265744&enterprise=0
Имя: Program:Win32/Wacapew.C!ml
ИД: 265744
Серьезность: Высокий
Категория: Изменение параметров
Путь: containerfile:_C:\Users\Egor\Downloads\AutoLogger.zip

 

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему без перезагрузки и завершит работу


 

Start::
Edge StartupUrls: Default -> "hxxps://yandex.com/","hxxps://ovgorskiy.ru"
Unlock: C:\Users\Все пользователи
Unlock: C:\Users\Public\Documents\Моя музыка
Unlock: C:\Users\Public\Documents\мои рисунки
Unlock: C:\Users\Public\Documents\Мои видеозаписи
Unlock: C:\Users\Default\Шаблоны
Unlock: C:\Users\Default\Мои документы
Unlock: C:\Users\Default\главное меню
Unlock: C:\Users\Default\Documents\Моя музыка
Unlock: C:\Users\Default\Documents\мои рисунки
Unlock: C:\Users\Default\Documents\Мои видеозаписи
Unlock: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Программы
Unlock: C:\ProgramData\Шаблоны
Unlock: C:\ProgramData\Рабочий стол
Unlock: C:\ProgramData\Документы
Unlock: C:\ProgramData\главное меню
Unlock: C:\ProgramData\Microsoft\Windows\Start Menu\Программы
Unlock C:\Documents and Settings
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Ссылка на сообщение
Поделиться на другие сайты

Вроде все получилось, спасибо большое! Автологгер запустил после исправления в FRST, лог на всякий случай прилагаю.

Fixlog.txt CollectionLog-2024.03.10-10.47.zip

Ссылка на сообщение
Поделиться на другие сайты

Чего то вредоносного нет в логах, разве что сканер фиксирует внешнюю сетевую активность и детектирует ее как NET:MALWARE.URL,

возможно есть переадресация на вредоносные сайты. пробуйте сбросить настройки роутера до заводских и заново перенастроить роутер для доступа в сеть, или проверить, настройки DNS в роутере.

 

Для очистки системы:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemRoot%\AACT.EXE
hide %SystemRoot%\AACT_TOOLS\AACT_FILES
hide %SystemRoot%\AACT_TOOLS
hide %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_X64.EXE
hide %SystemDrive%\ACTIVATORS
hide %SystemDrive%\INSTALL
hide %SystemRoot%\KMS
hide %SystemRoot%\KMSAUTOS
hide %SystemRoot%\KMSAUTOS\KMSAUTOX64.EXE
hide %SystemRoot%\KMSAUTOS\KMSAUTO_FILES
hide %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\KMSAUTO_FILES
hide %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\KMSAUTO_X64.EXE
hide %SystemDrive%\PROGRAMDATA\KMSAUTOS\BIN\KMSSS.EXE
;------------------------autoscript---------------------------

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_FILES
delref %SystemDrive%\ACTIVATORS\AACT_PORTABLE\AACT_FILES\KMSSS.EXE
delref %SystemDrive%\ACTIVATORS\KMSAUTOLITE_PORTABLE\AACT_FILES\KMSSS.EXE
delref %SystemRoot%\AACT_TOOLS\AACT.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_X64.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_FILES\KMSSS.EXE
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\KMSSS.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\TUNMIRROR.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTOS\BIN\TUNMIRROR.EXE
delref %SystemDrive%\PROGRAMDATA\KMSAUTO\BIN\DRIVER\X64WDV\FAKECLIENT.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart

 

Напишите, по результату, наблюдается ли указанный детект при сканировании или нет.

Ссылка на сообщение
Поделиться на другие сайты

Скрипт исполнил, спасибо большое! Курейт опять что-то находит, с роутером позанимаюсь чуть позднее. Если свежий лог курейта указывает на внешнюю проблему, которая решится после манипуляций с роутером, то думаю, что тему можно закрыть. 

cureit.log2.rar

Ссылка на сообщение
Поделиться на другие сайты

\Net\16296\TCP\134.209.192.77-443\Device\HarddiskVolume3\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe - infected with NET:MALWARE.URL
\Net\16296\TCP\134.209.192.77-443\Device\HarddiskVolume3\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe - infected - 0ms, 0 bytes

 

\Net\0\TCP\134.209.192.77-443\System Idle Process - infected with NET:MALWARE.URL
\Net\0\TCP\134.209.192.77-443\System Idle Process - infected - 0ms, 0 bytes

------------

+

это еще сделайте, возможно через уязвимости пробивает систему.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Обновите данное ПО:

Microsoft OneDrive v.19.043.0304.0013 Внимание! Скачать обновления

Yandex (All Users) v.24.1.3.809 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Microsoft Edge v.120.0.2210.77 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

 

Ссылка на сообщение
Поделиться на другие сайты

Браузеры обновил, ванДрайв не стал, он просит учетку майкрософт, а ОС не лицензия. ВанДрайв из автозапуска убрал. Понаблюдаю. Спасибо большое!

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • roter563
      От roter563
      Здравствуйте! У меня необычный запрос для форума, но надеюсь, что тему не удалят.
       
      У моих знакомых заинфицировались все девайсы: wi-fi роутеры, телефоны\планшеты на андроиде, айфон, компьютеры на винде. Результатом работы малвари является убийство батареи, устройства не включаются, не реагируют на зарядку.
       
      Ситуация: Пользователь установил себе на андроид телефон приложение, которое якобы занимается исследованием использования интернет-трафика и выплачивает за это деньги. Установлено было из недоверенного источника (но ссылки на инсталлер увы нет). Через какое-то время все устройства в квартире, подключенные к вафле, начали греться и жрать батарею, а потом и вовсе перестали включаться. У некоторых вздулась батарея. Умерло несколько роутеров, перестали включаться. Когда тот самый пользователь подключился к вафле в другой квартире, там умерло два андроид телефона, роутур и ПК на винде (также по батарее).
       
      Что делали: скан имеющимся антвирусом (пользователь не помнит, каким) - не помогло. Перепрошивали андроиды - не помогло, устройства умирали с чистой прошивкой после выхода в интернет. Один из роутеров был в аренде у провайдера - приехали пострудники, подтвердили, что восстановлению не подлежит, заменили (новым роутером пока не пользуются). Айфон был на расширенной гарантии - устройство признали неподдающимся починке и заменили.
       
      Сюр-бонус: Пользователю на почту приходят сообщения от авторов (?) малвари. Например, пользователь решил заклеить камеру у еще не умершего телефона - пришло сообщение с просьбой отклеить. Адрес\домен отправителя пользователь не помнит, как и пароль от почты, а сессия есть только на одном из умерших девайсов.
       
      Запрос: К сожалению, онлайн нет ничего, чем можно было бы поделиться: ссылка на инсталлер утеряна, прогнать сканер на еще живых девайсах пользователи не могут, потому что боятся подключать к сети. Есть много умерших девайсов и один инфицированный планшет, который еще можно включить. Пользователь готов подвезти живые\мертвые девайсы заинтересованному энтузиасту для исследования (Москва и область). Я нахожусь далеко от места проишествия + нет уверенности, что хватит скилов разобраться.
       
      Дисклеймер: я представляю, что вы подумали, у меня было то же. Но уже есть несколько подтверждений от доверенных третьих сторон, что девайсы умирают, и это реально.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
    • vort8x
      От vort8x
      Честно говоря, у меня есть всего одна догадка после чего такое могло возникнуть: работал в программе fl studio и искал пак со звуками. Нашел сайт с нужной информацией, кликнул по ссылке для скачивания, после чего открылось новое окно браузера с рекламой авиабилетов. Как-то так. Можете подсказать, этот вирус вообще опасен чем-то? 

      CollectionLog-2024.01.03-03.48.zip
    • Andrey Savelyev
      От Andrey Savelyev
      Здравствуйте,
       
      Не получается удалить расширение t-cashback из Яндекс.Браузера. Dr. Web обнаруживал ранее CHROMIUM:PAGE.MALWARE.URL., также установилось расширение, удалить антивирусными утилитами не получается.
       
      Нашел аналогичную тему на форуме: 
       
       
      Поэтому добавил также логи FRST.
      CollectionLog-2023.10.15-14.44.zip FRST.rar
    • Amsstrong_gost
      От Amsstrong_gost
      привет ребята. аналогично этой теме [РЕШЕНО] Неудаляемый Chromium.page.malware forum.kasperskyclub.ru
      виндоус чистый, диск с форматировал перед установкой, утилиты находят CHROMIUM:PAGE.MALWARE.URL
      как правильно оформить и что прикрепить, для получения вашей помощи?

    • Istman
      От Istman
      Здравствуйте, попробую описать проблему подробнее.
      Периодически сканирую систему через различные утилиты, начал замечать что появилась такая штука, которая никак не лечится, и не удаляется.
      На свою голову скачал программу SpyHunter, которая мне ничем не помогла, более того после этого появилось куча троянов и в тот же день было взломано несколько аккаунтов.
      Переустановил систему (формат С, другой диск трогать не стал, т.к слишком много нужной инфы + проверял его через разные антивирус сканеры и вирусов там не было)
      В общем переустановил систему и сразу же после установки chrome опять нашелся этот вирус - может это и не вирус вовсе? Как себя обезопасить и убрать эту штуку?
×
×
  • Создать...