Перейти к содержанию

[РЕШЕНО] NET:MALWARE.URL


Nedofizik

Рекомендуемые сообщения

Добрый день!
Заметил проблемы с ноутбуком где-то год назад, списывал на то что "тяжелые" игры запускал и не обращал внимания. На прошлой неделе товарищ рассказал, что есть вид вирусов, что нагружают процессор и их трудно найти. Проверил у себя и обнаружил такой. В итоге это все привело меня к установке утилит антивирусов, которые выдали мне угрозу со NET.MALWARE.URL, конечно же попытался её удалить, но по по классике это сделать нельзя. Прошу совета и помощи в решении проблемы у знатоков.

CollectionLog-2024.09.28-09.58.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите:

 

1. логи FRST

2. образ автозапуска системы в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Addition.txtDESKTOP-4UAOI3U_2024-09-29_12-39-32_v4.99.1v x64.7zFRST.txtAV_block_remove_2024.09.29-12.26.log
Добрый день! Прикрепляю все необходимые файлы по вашему запросу. 

Изменено пользователем Nedofizik
Ссылка на комментарий
Поделиться на другие сайты

Выполните очистку системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref E:\HISUITEDOWNLOADER.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\KIRYA-PC\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
apply

regt 27
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\RESOURCES\APP.ASAR\.WEBPACK\MAIN\SDK.JS
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\TASKS\ОБНОВЛЕНИЕ БРАУЗЕРА ЯНДЕКС
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref D:\OPENVPN\BIN\OPENVPN-GUI.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref D:\OPENVPN\BIN\OPENVPNSERV2.EXE
delref D:\OPENVPN\BIN\OPENVPNSERV.EXE
delref D:\SETUP.EXE
delref F:\AUTORUN.EXE
delref %SystemDrive%\USERS\KIRYA-PC\APPDATA\LOCAL\PROGRAMS\MOBALYTICS-DESKTOP\MOBALYTICS DESKTOP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SURFSHARK\SURFSHARK.EXE
delref %SystemDrive%\USERS\KIRYA-PC\APPDATA\ROAMING\.TLAUNCHER\LEGACY\MINECRAFT\TL.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

Start::
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {2903CE5A-006A-4842-8916-C6CEAF3FB2CD} - \Обновление Браузера Яндекс -> Нет файла <==== ВНИМАНИЕ
Task: {6F992158-CEA8-4E2A-BF6E-A9E67545E01D} - \Overwolf Updater Task -> Нет файла <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-120325556-2935153529-290428972-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
S3 OpenVPNService; "D:\OpenVPN\bin\openvpnserv2.exe" [X]
S2 OpenVPNServiceInteractive; "D:\OpenVPN\bin\openvpnserv.exe" [X]
S3 OpenVPNServiceLegacy; "D:\OpenVPN\bin\openvpnserv.exe" [X]
AlternateDataStreams: C:\Users\Kirya-PC\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Kirya-PC\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{5F89CFC7-C0FA-4EDD-8107-CDEFD640481F}] => (Allow) C:\Program Files (x86)\Overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файла
FirewallRules: [{AB201DB6-97BA-4323-BD8C-3277209C1873}] => (Allow) C:\Program Files (x86)\Overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файла
FirewallRules: [{29367E5C-2578-40BA-B93C-C01817BAB6C1}] => (Block) C:\Program Files (x86)\Overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файла
FirewallRules: [{906B1BF8-D52B-48F0-82EC-CC51695C69A3}] => (Block) C:\Program Files (x86)\Overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файла
FirewallRules: [{2B894477-FAE4-47D1-A30B-99B1C1C3937F}] => (Allow) C:\Program Files (x86)\Overwolf\0.251.2.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{969B3DB0-5C38-4B4A-B3F2-C57BF81AC561}] => (Allow) C:\Program Files (x86)\Overwolf\0.251.2.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{B021A870-A8B7-49AF-B7F9-3B2AAC7764B5}] => (Block) C:\Program Files (x86)\Overwolf\0.251.2.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{BBCAF078-0E75-4B67-BAA3-643471C198F9}] => (Block) C:\Program Files (x86)\Overwolf\0.251.2.1\OverwolfBrowser.exe => Нет файла
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты

Fixlog.txtimage.thumb.png.d9c95102e4580d57d7202384adc1c207.png
Проблем не обнаружено, но с Edge  всплывают уведомления с одного и того же сайта (спам-реклама эротики или боли в спине), я заблокировал их в центре уведомлений для браузера.

 

Изменено пользователем Nedofizik
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

Start::
Edge Notifications: Default -> hxxps://meet.google.com; hxxps://x.minysok.ru
Edge Extension: (SaveFrom.net помощник) - C:\Users\Kirya-PC\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hndfjogdceachkbgioglehonpejcdhem [2024-09-18]
End::

Напишите, что с проблемой после выполнения скрипта.

Ссылка на комментарий
Поделиться на другие сайты

Fixlog.txt
image.thumb.png.fabec472eb63a27be08a65f199ba543d.pngimage.thumb.png.7f677f85333881c341139bd5ab7f39b1.png

Видимо, проблема решена, Спасибо большое! А с диспетчером задач, видимо, так и должно быть - при открытии есть загрузка ЦП, через пару секунд всё сбрасывается до 2-7%

Ссылка на комментарий
Поделиться на другие сайты

3 минуты назад, Nedofizik сказал:

А с диспетчером задач, видимо, так и должно быть - при открытии есть загрузка ЦП, через пару секунд всё сбрасывается до 2-7%

да, именно так. Каких то серьезных остаточных проблем по логам не замечено.

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

по возможности обновите данное ПО:

 

AMD Software v.21.8.2 Внимание! Скачать обновления
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9005 Внимание! Скачать обновления
Zoom v.5.12.2 (9281) Внимание! Скачать обновления
OpenVPN 2.4.9-I601-Win10  v.2.4.9-I601-Win10 Внимание! Скачать обновления
Java 8 Update 341 (64-bit) v.8.0.3410.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
AIMP v.5.03.2398 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 8 - Russian v.8.1.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Yandex v.24.7.3.1250 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

Game Repack ot xatab 1.0 v.1.0 Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • moyyor
      От moyyor
      Решил проверить ноут через DrWeb, обнаружился вирус net:malware.url. Как его удалить ? Логи прикрепил. 

      CollectionLog-2024.11.01-13.28.zip
    • buizilka_sx
      От buizilka_sx
      Сделал проверку нашелся вирус NET:MALWARE.URL в doctorweb попытался удалить не получилось помогите пожалуйста удалить его 
    • Andrian28
      От Andrian28
      Добрый вечер. Недавно просканировал ПК и нашёл вирус NET:MALWARE.URL.Помогите пожалуйста его удалить. Логи прикрепил
      log.zip
    • lomosow
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
×
×
  • Создать...