Перейти к содержанию

[РЕШЕНО] NET.MALWARE.URL прошу помощи с удалением


Рекомендуемые сообщения

Опубликовано (изменено)

Всем добрый день! 3 раз заблокировали аккаунт вк, уже забанили навсегда. Подозрение что у меня keyspy, недавно подхватил майнер John, запустился с точки восстановления до этого инцедента, все было ок. Сейчас через curelt посмотрел, у меня хост (удалил) и малваре. Помогите пожалуйста, виндоус не хочу переустанавливать, есть важные файлы. буду ждать ответа! (лог curelt прилагаю)

cureit.rar

Изменено пользователем shirochka
не мог добавить файл
Опубликовано
31 минуту назад, Mark D. Pearlstone сказал:

сейчас

 

 

31 минуту назад, Mark D. Pearlstone сказал:

 

CollectionLog-2024.04.17-18.17.zip

 

31 минуту назад, Mark D. Pearlstone сказал:

что то еще надо?

 

Опубликовано

Набраться терпения :)

Отвечаем в свободное от других занятий время.

 

Деинсталлируйте нежелательное ПО:

Bonjour

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Опубликовано
12 часов назад, Sandor сказал:

Набраться терпения :)

Отвечаем в свободное от других занятий время.

 

Деинсталлируйте нежелательное ПО:


Bonjour

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

прикрепил. Bonjour удалил, жду следующих указаний 

Addition.txt FRST.txt

Опубликовано

Видны следы майнера.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы удалите старые и соберите новые логи FRST.txt и Addition.txt
 

Опубликовано
12 часов назад, Sandor сказал:

Видны следы майнера.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы удалите старые и соберите новые логи FRST.txt и Addition.txt
 

как и просили:

FRST.txt Addition.txt AV_block_remove_2024.04.19-21.13.log

Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    IFEO\LogonUI.exe: [VerifierDlls] SecureUxTheme.dll
    IFEO\winlogon.exe: [VerifierDlls] SecureUxTheme.dll
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Winsock: Catalog5 08 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [122128 2015-08-12] (Apple Inc. -> Apple Inc.)
    Winsock: Catalog5-x64 08 C:\Program Files\Bonjour\mdnsNSP.dll [133392 2015-08-12] (Apple Inc. -> Apple Inc.)
    S1 gaxuwhlz; отсутствует ImagePath
    S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ
    S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
    AlternateDataStreams: C:\Users\gakma\AppData\Local\Temp:$DATA [16]
    AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [130]
    HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
    HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
    HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
    HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
    FirewallRules: [{EFB06269-003E-4C6F-A300-F7B1509CFB6E}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{49C03E35-5912-4992-8513-6B96135965F6}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{5379134E-7E79-4607-B92E-5059823AA454}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{484C2D26-5641-4408-AC11-1A131A5298EB}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{E3856072-1503-4EF5-B900-D2A399CB7DB3}] => (Allow) LPort=27015
    cmd: netsh winsock reset catalog
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Опубликовано
3 часа назад, Sandor сказал:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    IFEO\LogonUI.exe: [VerifierDlls] SecureUxTheme.dll
    IFEO\winlogon.exe: [VerifierDlls] SecureUxTheme.dll
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Winsock: Catalog5 08 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [122128 2015-08-12] (Apple Inc. -> Apple Inc.)
    Winsock: Catalog5-x64 08 C:\Program Files\Bonjour\mdnsNSP.dll [133392 2015-08-12] (Apple Inc. -> Apple Inc.)
    S1 gaxuwhlz; отсутствует ImagePath
    S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ
    S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
    AlternateDataStreams: C:\Users\gakma\AppData\Local\Temp:$DATA [16]
    AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [130]
    HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
    HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
    HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
    HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
    FirewallRules: [{EFB06269-003E-4C6F-A300-F7B1509CFB6E}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{49C03E35-5912-4992-8513-6B96135965F6}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{5379134E-7E79-4607-B92E-5059823AA454}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{484C2D26-5641-4408-AC11-1A131A5298EB}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{E3856072-1503-4EF5-B900-D2A399CB7DB3}] => (Allow) LPort=27015
    cmd: netsh winsock reset catalog
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

все сделал, вкладки уже машинально восстановил (нажал на всплывающую кнопку "гугл был некорректно завершен... восстановить вкладки?") Все правильно сделал? 

Fixlog.txt

Опубликовано

все хорошо, пока что вк не трогали. cerult не видит ничего, спасибо что помогли!

Опубликовано

Хорошо. В завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Опубликовано

Исправьте по возможности:

 

AMD Software v.23.3.1 Внимание! Скачать обновления
Oracle VM VirtualBox 7.0.12 v.7.0.12 Внимание! Скачать обновления
Python 3.11.3 (64-bit) v.3.11.3150.0 Внимание! Скачать обновления
WinRAR 6.23 (64-разрядная) v.6.23.0 Внимание! Скачать обновления
Discord v.1.0.9011 Внимание! Скачать обновления
qBittorrent v.4.5.4 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^
AIMP v.5.30.2533 Внимание! Скачать обновления
Opera GX Stable 107.0.5045.60 v.107.0.5045.60 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 107.0.5045.89 v.107.0.5045.89 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex v.24.1.5.803 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.124.0.6367.60 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer, версия 9.31 v.9.31 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

Читайте Рекомендации после удаления вредоносного ПО

Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Antoney
      Автор Antoney
      Здравствуйте! Попал в руки ноутбук, в ходе профилактической проверки KVRT обнаружил много интересного, а именно - Trojan.Multi.KillAV.c и кучу Trojan.Win32.Miner.gen. Также присутствует учетная запись John.
       
      Часть попытался подчистить, затем скачал Farbar Recovery Scan Tool как советовали в соседней теме и запустил скан. Отчеты прикладываю. 
       
      Подскажите, пожалуйста, как дальше действовать, чтобы вычистить зловреда из системы?
      Addition.txt FRST.txt
    • Eugene_Konovalov
      Автор Eugene_Konovalov
      Добрый день, уважаемые эксперты.
      К сожалению для себя, поймал вчера очень крепкий майнер taskhostw.exe, который, судя по всему, совсем недавно обновили, потому что у меня никак не получается его искоренить, далее по порядку:
      1. С самого же начала установил на загрузочную флешку с офф сайта свежий kaspersky rescue disk с помощью безопасного режима с сетью (т.к. вирус, как вы и сами знаете, не дает что-либо скачать и загуглить), прогнал систему через него (6 часов шла проверка), нашел около 40 файлов (10 из которых не вирус, но не важно), потом еще раз там же прогнал уже через расширенный поиск, также удалил некоторое количество файлов этого майнера, после чего зашел в систему (все также в безопасном режиме), почистил реестр в двух папках run, перезашел в систему уже без безопасного режима, но снова открылась консоль, снова он себя докачал и снова начал издеваться над моими системой и железом
      2. После данной неудачной попытки, я установил curelt (опять же, из безопасного режима), прогнал его и снова обнаружил 6 угроз, вылечил их, после чего также прогнал систему через av block remover, она автоматом перезапустилась и даже через безопасный режим вновь создала мне автозакрытие браузеров в регистре в папке run (то есть, и этот способ не помог)... уже максимально отчаявшись я сделал все необходимые логи (Curelt, DrWeb-Sysinfo, av block remover logs, а также логи из FRST64, все это я загрузил на гугл диск для удобства: https://drive.google.com/drive/folders/1vlDNd2tWZxOUIlr24QwFEnKORR9XTBzl?usp=sharing, autologger же приложил к самой теме), после чего создал эту тему
      Очень надеюсь на вашу помощь!
      PS систему мне сносить никак нельзя, у меня в ней очень много важных рабочих файлов и документов весом в более около двух терабайт, так что я их даже на внешний диск перенести не могу)
      CollectionLog-2025.05.07-12.15.zip report1.log report2.log
    • Romanchybyniak
      Автор Romanchybyniak
      доктор веб не смог удалить или вылечить. Программа сама открывается и пробует влезть в сеть. в описании оставил логи Farbar Recovery Scan Tool и лог др веба  .Прошу помогите
      https://drive.google.com/file/d/120u9uVBH1AeugYNRLmR6lU2gZjABjyiS/view?usp=drive_link - лог др веба
      Addition.txtFRST.txt
    • TloBeJluTeJlb
      Автор TloBeJluTeJlb
      Здравствуйте, перед обращением прошерстил темы похожих проблем, но не нашёл своей. John каким-то совершенно непостижимым образом почти не влиял на работоспособность системы, а заметил я его исключительно из-за пропажи доступа к файлам Касперского, который полностью перестал запускаться. 

      Побился об ближайшую стену, подумал, прошёлся KVRT, которым ничего не нашло, подумал ещё немного, включил AV_block_remover. Он нашёл, сделал своё дело, но доступ к папке антивируса я всё ещё не получил :D! FRST, от нечего делать, тоже был задействован, но немного опосля. Короче говоря, я, даже после удаления злополучного майнера из системы, не могу получить доступ к своим же файлам.



       

      FRST.txt Fixlog.txt Addition.txt AV_block_remove_2025.01.20-07.45.log
    • Arhmaster
      Автор Arhmaster
      Здравствуйте! Начались тормоза в браузере, скачал утилиту доктор.веб, выполнил проверку, была найдена единственная проблема: NET.MALWARE.URL, утилита не смогла выполнить лечение, тогда я пошел в инет, искать решение. Какого-то конкретного способа не нашел, а утилиту закрыл. Когда нашел здесь инструкцию по похожему вопросу, новые проверки утилитами не находят NET.MALWARE.URL, хотя я крайне навряд ли мог от него избавиться, вместе с этим подтормозы в браузере остались.
      Подскажите план действий, все-равно делать, как описано здесь: 
      даже если утилита не находит вирус?
×
×
  • Создать...