[РЕШЕНО] NET.MALWARE.URL прошу помощи с удалением

[shirochka]

Всем добрый день! 3 раз заблокировали аккаунт вк, уже забанили навсегда. Подозрение что у меня keyspy, недавно подхватил майнер John, запустился с точки восстановления до этого инцедента, все было ок. Сейчас через curelt посмотрел, у меня хост (удалил) и малваре. Помогите пожалуйста, виндоус не хочу переустанавливать, есть важные файлы. буду ждать ответа! (лог curelt прилагаю)

cureit.rar

Изменено 17 апреля, 2024 пользователем shirochka
не мог добавить файл

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[shirochka]

31 минуту назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

сейчас

 

 

31 минуту назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

 

CollectionLog-2024.04.17-18.17.zip

 

31 минуту назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

что то еще надо?

 

[Sandor]

Набраться терпения

Отвечаем в свободное от других занятий время.

 

Деинсталлируйте нежелательное ПО:

Bonjour

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[shirochka]

12 часов назад, Sandor сказал:

Набраться терпения

Отвечаем в свободное от других занятий время.

 

Деинсталлируйте нежелательное ПО:

Bonjour

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

прикрепил. Bonjour удалил, жду следующих указаний 

Addition.txt FRST.txt

[Sandor]

Видны следы майнера.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы удалите старые и соберите новые логи FRST.txt и Addition.txt
 

[shirochka]

12 часов назад, Sandor сказал:

Видны следы майнера.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы удалите старые и соберите новые логи FRST.txt и Addition.txt
 

как и просили:

FRST.txt Addition.txt AV_block_remove_2024.04.19-21.13.log

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  IFEO\LogonUI.exe: [VerifierDlls] SecureUxTheme.dll
  IFEO\winlogon.exe: [VerifierDlls] SecureUxTheme.dll
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Winsock: Catalog5 08 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [122128 2015-08-12] (Apple Inc. -> Apple Inc.)
  Winsock: Catalog5-x64 08 C:\Program Files\Bonjour\mdnsNSP.dll [133392 2015-08-12] (Apple Inc. -> Apple Inc.)
  S1 gaxuwhlz; отсутствует ImagePath
  S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ
  S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
  AlternateDataStreams: C:\Users\gakma\AppData\Local\Temp:$DATA [16]
  AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [130]
  HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
  HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
  HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
  HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
  FirewallRules: [{EFB06269-003E-4C6F-A300-F7B1509CFB6E}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{49C03E35-5912-4992-8513-6B96135965F6}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{5379134E-7E79-4607-B92E-5059823AA454}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{484C2D26-5641-4408-AC11-1A131A5298EB}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{E3856072-1503-4EF5-B900-D2A399CB7DB3}] => (Allow) LPort=27015
  cmd: netsh winsock reset catalog
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[shirochka]

3 часа назад, Sandor сказал:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  IFEO\LogonUI.exe: [VerifierDlls] SecureUxTheme.dll
  IFEO\winlogon.exe: [VerifierDlls] SecureUxTheme.dll
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Winsock: Catalog5 08 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [122128 2015-08-12] (Apple Inc. -> Apple Inc.)
  Winsock: Catalog5-x64 08 C:\Program Files\Bonjour\mdnsNSP.dll [133392 2015-08-12] (Apple Inc. -> Apple Inc.)
  S1 gaxuwhlz; отсутствует ImagePath
  S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ
  S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
  AlternateDataStreams: C:\Users\gakma\AppData\Local\Temp:$DATA [16]
  AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [130]
  HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
  HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
  HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
  HKU\S-1-5-21-4194888971-2674043921-1808809609-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
  FirewallRules: [{EFB06269-003E-4C6F-A300-F7B1509CFB6E}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{49C03E35-5912-4992-8513-6B96135965F6}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{5379134E-7E79-4607-B92E-5059823AA454}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{484C2D26-5641-4408-AC11-1A131A5298EB}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{E3856072-1503-4EF5-B900-D2A399CB7DB3}] => (Allow) LPort=27015
  cmd: netsh winsock reset catalog
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

все сделал, вкладки уже машинально восстановил (нажал на всплывающую кнопку "гугл был некорректно завершен... восстановить вкладки?") Все правильно сделал? 

Fixlog.txt

[Sandor]

Хорошо, что сейчас с проблемой?

[shirochka]

все хорошо, пока что вк не трогали. cerult не видит ничего, спасибо что помогли!

[Sandor]

Хорошо. В завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[shirochka]

готово

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

AMD Software v.23.3.1 Внимание! Скачать обновления
Oracle VM VirtualBox 7.0.12 v.7.0.12 Внимание! Скачать обновления
Python 3.11.3 (64-bit) v.3.11.3150.0 Внимание! Скачать обновления
WinRAR 6.23 (64-разрядная) v.6.23.0 Внимание! Скачать обновления
Discord v.1.0.9011 Внимание! Скачать обновления
qBittorrent v.4.5.4 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^
AIMP v.5.30.2533 Внимание! Скачать обновления
Opera GX Stable 107.0.5045.60 v.107.0.5045.60 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 107.0.5045.89 v.107.0.5045.89 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex v.24.1.5.803 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.124.0.6367.60 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer, версия 9.31 v.9.31 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

Читайте Рекомендации после удаления вредоносного ПО

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".