Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

[РЕШЕНО] NET.MALWARE.URL прошу помощи с удалением

shirochka

Автор shirochka
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

shirochka

shirochka

Опубликовано
Опубликовано (изменено)

Всем добрый день! 3 раз заблокировали аккаунт вк, уже забанили навсегда. Подозрение что у меня keyspy, недавно подхватил майнер John, запустился с точки восстановления до этого инцедента, все было ок. Сейчас через curelt посмотрел, у меня хост (удалил) и малваре. Помогите пожалуйста, виндоус не хочу переустанавливать, есть важные файлы. буду ждать ответа! (лог curelt прилагаю)

cureit.rar

Изменено пользователем shirochka
не мог добавить файл
Ссылка на комментарий
Поделиться на другие сайты
shirochka

shirochka

Опубликовано
  • Автор
Опубликовано
31 минуту назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

сейчас

 

 

31 минуту назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

 

CollectionLog-2024.04.17-18.17.zip

 

31 минуту назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

что то еще надо?

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Набраться терпения :)

Отвечаем в свободное от других занятий время.

 

Деинсталлируйте нежелательное ПО: 

Bonjour

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
shirochka

shirochka

Опубликовано
  • Автор
Опубликовано
12 часов назад, Sandor сказал:

Набраться терпения :)

Отвечаем в свободное от других занятий время.

 

Деинсталлируйте нежелательное ПО: 


Bonjour

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

прикрепил. Bonjour удалил, жду следующих указаний 

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Видны следы майнера.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы удалите старые и соберите новые логи FRST.txt и Addition.txt
 

Ссылка на комментарий
Поделиться на другие сайты
shirochka

shirochka

Опубликовано
  • Автор
Опубликовано
12 часов назад, Sandor сказал:

Видны следы майнера.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы удалите старые и соберите новые логи FRST.txt и Addition.txt
 

как и просили:

FRST.txt Addition.txt AV_block_remove_2024.04.19-21.13.log

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
IFEO\LogonUI.exe: [VerifierDlls] SecureUxTheme.dll
IFEO\winlogon.exe: [VerifierDlls] SecureUxTheme.dll
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Winsock: Catalog5 08 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [122128 2015-08-12] (Apple Inc. -> Apple Inc.)
Winsock: Catalog5-x64 08 C:\Program Files\Bonjour\mdnsNSP.dll [133392 2015-08-12] (Apple Inc. -> Apple Inc.)
S1 gaxuwhlz; отсутствует ImagePath
S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
AlternateDataStreams: C:\Users\gakma\AppData\Local\Temp:$DATA [16]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [130]
HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
FirewallRules: [{EFB06269-003E-4C6F-A300-F7B1509CFB6E}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{49C03E35-5912-4992-8513-6B96135965F6}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{5379134E-7E79-4607-B92E-5059823AA454}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{484C2D26-5641-4408-AC11-1A131A5298EB}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{E3856072-1503-4EF5-B900-D2A399CB7DB3}] => (Allow) LPort=27015
cmd: netsh winsock reset catalog
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
shirochka

shirochka

Опубликовано
  • Автор
Опубликовано
3 часа назад, Sandor сказал:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
IFEO\LogonUI.exe: [VerifierDlls] SecureUxTheme.dll
IFEO\winlogon.exe: [VerifierDlls] SecureUxTheme.dll
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Winsock: Catalog5 08 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [122128 2015-08-12] (Apple Inc. -> Apple Inc.)
Winsock: Catalog5-x64 08 C:\Program Files\Bonjour\mdnsNSP.dll [133392 2015-08-12] (Apple Inc. -> Apple Inc.)
S1 gaxuwhlz; отсутствует ImagePath
S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
AlternateDataStreams: C:\Users\gakma\AppData\Local\Temp:$DATA [16]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [130]
HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
FirewallRules: [{EFB06269-003E-4C6F-A300-F7B1509CFB6E}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{49C03E35-5912-4992-8513-6B96135965F6}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{5379134E-7E79-4607-B92E-5059823AA454}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{484C2D26-5641-4408-AC11-1A131A5298EB}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{E3856072-1503-4EF5-B900-D2A399CB7DB3}] => (Allow) LPort=27015
cmd: netsh winsock reset catalog
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

все сделал, вкладки уже машинально восстановил (нажал на всплывающую кнопку "гугл был некорректно завершен... восстановить вкладки?") Все правильно сделал? 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. В завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

AMD Software v.23.3.1 Внимание! Скачать обновления
Oracle VM VirtualBox 7.0.12 v.7.0.12 Внимание! Скачать обновления
Python 3.11.3 (64-bit) v.3.11.3150.0 Внимание! Скачать обновления
WinRAR 6.23 (64-разрядная) v.6.23.0 Внимание! Скачать обновления
Discord v.1.0.9011 Внимание! Скачать обновления
qBittorrent v.4.5.4 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^
AIMP v.5.30.2533 Внимание! Скачать обновления
Opera GX Stable 107.0.5045.60 v.107.0.5045.60 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 107.0.5045.89 v.107.0.5045.89 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex v.24.1.5.803 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.124.0.6367.60 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer, версия 9.31 v.9.31 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alexey82
      [РЕШЕНО] Прошу помощи с удалением Trojan:Win32/Kepavll!rfn
      Автор Alexey82
      Добрый день.
      Прошу помощи в удалении Trojan:Win32/Kepavll!rfn.
       
      Сработал стандартный Защитник Windows (Windows 10) Microsoft Defender.
      В папке ProgramData появилось много папок с названиями всех известных антивирусов, при попытке открыть страницы в браузере с упоминанием о удалении троянов - браузер закрывается.
      Прогнал CureIt, нашел угрозы, удалил не всё, лог приложил.
      Объясню сразу момент - приложение GPP Remote Service установлено мной лично для доступа к домашнему ноуту.
      Собственно все началось после того, как захотел ознакомиться с игрой Wizardum, как ни странно скачивал торрент отсюда (h__s://bуrutgаmе.оrg/41154-wizоrdum.htmI), в момент запуска установщика, на него выругался Microsoft Defender.
       
      Прошу помощи с удалением.
       
      Заранее спасибо откликнувшимся специалистам.
      CollectionLog-2025.06.27-06.20.zip cureit.rar
    • Durb
      [РЕШЕНО] Нужна помощь в удалении вируса Tool.BtcMine.2812
      Автор Durb
      Никак не могу удалить. Майнер возвращается после перезапуска системы
      CollectionLog-2025.07.18-15.25.zip
    • Helsing13
      Прошу помощи с расшифровкой Trojan.Encoder.31074
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Chel_Yaa
      [РЕШЕНО] Нужна помощь в удалении вируса Tool.btcmine.2794
      Автор Chel_Yaa
      Заметил что ноутбук начал шуметь во время простоя также видеокарта забита на 100%
       
       
      CollectionLog-2025.06.16-20.26.zip
    • Роман Суслов
      Прошу помощи в восстановлении данных после шифровальщика KREMLIN
      Автор Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
×
×
  • Создать...