[РЕШЕНО] NET.MALWARE.URL не удаляется, просьба помочь удалить

[aronone]

Здравствуйте, заметил нагрузку на процессор, проверил куррейтом нашел NET:MALWARE.URL и Trojan.PWS.Banker. , вылечить не получилось, но после перезагрузки куррейт перестал находить вирусы, хотел бы почистить комп полностью

CollectionLog-2024.04.23-09.35.zip cureit.rar

[Sandor]

Здравствуйте!

 

Компьютер домашний или находится в локальной сети?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[aronone]

8 часов назад, Sandor сказал:

Здравствуйте!

 

Компьютер домашний или находится в локальной сети?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

пользуюсь общим гостиничным wifi и иногда раздаю wifi с телефона 

FRST.txt Addition.txt

[Sandor]

Пожалуйста, не цитируйте полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

Я спросил про сеть, потому что, судя по отчёту CureIt, похоже, что заражение идёт с удаленного компьютера:

\Net\10772\TCP\185.106.94.116-2222\Device\HarddiskVolume3\Windows\System32\dialer.exe - infected with NET:MALWARE.URL

 

В системе тоже есть некоторые ошибки, попробуем их исправить.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  S3 dosvc; C:\WINDOWS\System32\svchost.exe [55320 2023-05-05] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 dosvc; C:\WINDOWS\SysWOW64\svchost.exe [46504 2023-05-05] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1526784 2023-05-05] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc; C:\WINDOWS\system32\svchost.exe [55320 2023-05-05] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 UsoSvc; C:\WINDOWS\SysWOW64\svchost.exe [46504 2023-05-05] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [570368 2023-05-05] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2023-05-05] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv; C:\WINDOWS\system32\svchost.exe [55320 2023-05-05] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [46504 2023-05-05] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3406848 2023-05-05] (Microsoft Windows -> Microsoft Corporation)
  2024-04-23 10:23 - 2023-11-02 18:33 - 000000008 _____ C:\ProgramData\lkbttplu.udx
  2024-04-23 10:23 - 2023-11-02 18:33 - 000000008 _____ C:\ProgramData\drnlgnqu.lqp
  2024-04-23 10:23 - 2023-11-02 18:29 - 000000012 _____ C:\ProgramData\cxvgmqlm.aje
  2024-04-23 10:23 - 2023-11-02 18:29 - 000000012 _____ C:\ProgramData\byunuxak.tvy
  Folder: C:\ProgramData\bkikukdiobjg
  2024-04-23 08:16 - 2023-11-29 08:29 - 000000000 ____D C:\ProgramData\bkikukdiobjg
  FirewallRules: [{04331856-9330-45E9-80CC-3181373FEB15}] => (Allow) LPort=32683
  FirewallRules: [{3344B4DD-C06F-4CE0-AF2B-03091F5BC415}] => (Allow) LPort=26822
  cmd: ECHO Y|CHKDSK C: /F
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скачайте этот архив. Извлеките из него четыре reg-файла и запустите последовательно каждый. Согласитесь с внесением изменений в реестр.

Перезагрузите компьютер и соберите такой отчёт:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

[aronone]

нет , компьютер не в локальной сети. Месяца два назад нашел вирус майнера почистил только доктор вебом и забыл про него, может от него осталось что то

Fixlog.txt FSS.txt

[Sandor]

Порядок. Попутно:

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

Удалите лишние исключения Защитника и сообщите присутствует ли ещё проблема.

[aronone]

все спасибо, пока вроде все ок

[Sandor]

Хорошо. В завершение, пожалуйста:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[aronone]

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

WinRAR 6.24 (64-разрядная) v.6.24.0 Внимание! Скачать обновления
Discord v.1.0.9021 Внимание! Скачать обновления
Adobe Acrobat (64-bit) v.23.006.20380 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Opera Stable 107.0.5045.21 v.107.0.5045.21 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
 

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.23 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

 

Читайте Рекомендации после удаления вредоносного ПО

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".