[РЕШЕНО] NET:MALWARE.URL

[Nedofizik 0]

Добрый день!
Заметил проблемы с ноутбуком где-то год назад, списывал на то что "тяжелые" игры запускал и не обращал внимания. На прошлой неделе товарищ рассказал, что есть вид вирусов, что нагружают процессор и их трудно найти. Проверил у себя и обнаружил такой. В итоге это все привело меня к установке утилит антивирусов, которые выдали мне угрозу со NET.MALWARE.URL, конечно же попытался её удалить, но по по классике это сделать нельзя. Прошу совета и помощи в решении проблемы у знатоков.

CollectionLog-2024.09.28-09.58.zip

[safety 124]

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите:

 

1. логи FRST

2. образ автозапуска системы в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 29 сентября пользователем safety

[Nedofizik 0]

Addition.txtDESKTOP-4UAOI3U_2024-09-29_12-39-32_v4.99.1v x64.7zFRST.txtAV_block_remove_2024.09.29-12.26.log
Добрый день! Прикрепляю все необходимые файлы по вашему запросу. 

Изменено 29 сентября пользователем Nedofizik

[safety 124]

Выполните очистку системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref E:\HISUITEDOWNLOADER.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\KIRYA-PC\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
apply

regt 27
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\RESOURCES\APP.ASAR\.WEBPACK\MAIN\SDK.JS
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\TASKS\ОБНОВЛЕНИЕ БРАУЗЕРА ЯНДЕКС
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref D:\OPENVPN\BIN\OPENVPN-GUI.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref D:\OPENVPN\BIN\OPENVPNSERV2.EXE
delref D:\OPENVPN\BIN\OPENVPNSERV.EXE
delref D:\SETUP.EXE
delref F:\AUTORUN.EXE
delref %SystemDrive%\USERS\KIRYA-PC\APPDATA\LOCAL\PROGRAMS\MOBALYTICS-DESKTOP\MOBALYTICS DESKTOP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SURFSHARK\SURFSHARK.EXE
delref %SystemDrive%\USERS\KIRYA-PC\APPDATA\ROAMING\.TLAUNCHER\LEGACY\MINECRAFT\TL.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено 29 сентября пользователем safety

[Nedofizik 0]

2024-09-29_13-13-39_log.txt
Вот логи после выполнения скрипта

[safety 124]

Что сейчас с проблемой NET.MALWARE.URL? Наблюдается при проверке в Cureit или нет?

[safety 124]

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

Start::
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {2903CE5A-006A-4842-8916-C6CEAF3FB2CD} - \Обновление Браузера Яндекс -> Нет файла <==== ВНИМАНИЕ
Task: {6F992158-CEA8-4E2A-BF6E-A9E67545E01D} - \Overwolf Updater Task -> Нет файла <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-120325556-2935153529-290428972-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
S3 OpenVPNService; "D:\OpenVPN\bin\openvpnserv2.exe" [X]
S2 OpenVPNServiceInteractive; "D:\OpenVPN\bin\openvpnserv.exe" [X]
S3 OpenVPNServiceLegacy; "D:\OpenVPN\bin\openvpnserv.exe" [X]
AlternateDataStreams: C:\Users\Kirya-PC\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Kirya-PC\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{5F89CFC7-C0FA-4EDD-8107-CDEFD640481F}] => (Allow) C:\Program Files (x86)\Overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файла
FirewallRules: [{AB201DB6-97BA-4323-BD8C-3277209C1873}] => (Allow) C:\Program Files (x86)\Overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файла
FirewallRules: [{29367E5C-2578-40BA-B93C-C01817BAB6C1}] => (Block) C:\Program Files (x86)\Overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файла
FirewallRules: [{906B1BF8-D52B-48F0-82EC-CC51695C69A3}] => (Block) C:\Program Files (x86)\Overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файла
FirewallRules: [{2B894477-FAE4-47D1-A30B-99B1C1C3937F}] => (Allow) C:\Program Files (x86)\Overwolf\0.251.2.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{969B3DB0-5C38-4B4A-B3F2-C57BF81AC561}] => (Allow) C:\Program Files (x86)\Overwolf\0.251.2.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{B021A870-A8B7-49AF-B7F9-3B2AAC7764B5}] => (Block) C:\Program Files (x86)\Overwolf\0.251.2.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{BBCAF078-0E75-4B67-BAA3-643471C198F9}] => (Block) C:\Program Files (x86)\Overwolf\0.251.2.1\OverwolfBrowser.exe => Нет файла
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[Nedofizik 0]

Fixlog.txt
Проблем не обнаружено, но с Edge  всплывают уведомления с одного и того же сайта (спам-реклама эротики или боли в спине), я заблокировал их в центре уведомлений для браузера.

 

Изменено 29 сентября пользователем Nedofizik

[safety 124]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

Start::
Edge Notifications: Default -> hxxps://meet.google.com; hxxps://x.minysok.ru
Edge Extension: (SaveFrom.net помощник) - C:\Users\Kirya-PC\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hndfjogdceachkbgioglehonpejcdhem [2024-09-18]
End::

Напишите, что с проблемой после выполнения скрипта.

[Nedofizik 0]

Fixlog.txt


Видимо, проблема решена, Спасибо большое! А с диспетчером задач, видимо, так и должно быть - при открытии есть загрузка ЦП, через пару секунд всё сбрасывается до 2-7%

[safety 124]

3 минуты назад, Nedofizik сказал:

А с диспетчером задач, видимо, так и должно быть - при открытии есть загрузка ЦП, через пару секунд всё сбрасывается до 2-7%

да, именно так. Каких то серьезных остаточных проблем по логам не замечено.

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[Nedofizik 0]

SecurityCheck.txt
Завершающий шаг выполнен, вот логи.

[safety 124]

по возможности обновите данное ПО:

 

AMD Software v.21.8.2 Внимание! Скачать обновления
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9005 Внимание! Скачать обновления
Zoom v.5.12.2 (9281) Внимание! Скачать обновления
OpenVPN 2.4.9-I601-Win10  v.2.4.9-I601-Win10 Внимание! Скачать обновления
Java 8 Update 341 (64-bit) v.8.0.3410.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
AIMP v.5.03.2398 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 8 - Russian v.8.1.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Yandex v.24.7.3.1250 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

Game Repack ot xatab 1.0 v.1.0 Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.

[Nedofizik 0]

Спасибо за помощь, @safety! 

[safety 124]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".