Перейти к содержанию

[РЕШЕНО] обнаружил NET.MALWARE.URL


Рекомендуемые сообщения

Добрый день. Скачивал торрент файл и поймал какую - то ерунду которая значительно снизила работоспособность ноутбука. Использую DAW на протяжении года и при небольшой нагрузки в ПО начинаются резкие спады после которых невозможно пользоваться программой. Причем появилась эта проблема буквально дня 3 назад. Буду признателен, если вы сможете помочь избавиться от этого трояна.

Лог прикрепляю в раре. 

image_2024-10-31_22-56-51.png

log.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.


Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O1 - Hosts: 109.94.209.70 fitgirlrepacks.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirltorrent.org # Fake FitGirl site
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте Adobe Flash Player 11 Plugin как устаревший и прекративший поддержку.

Если AdsPower Global 5.11.27 не ставили самостоятельно, тоже удалите.

 

Далее:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    AlternateDataStreams: C:\ProgramData\2b60438c.bin:5DD2DE9A78 [3442]
    AlternateDataStreams: C:\ProgramData\2b60438c.bin:AA39FB458A [3442]
    AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
    AlternateDataStreams: C:\ProgramData\AppData\2b60438c.bin:2AA39CB379 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\HidHide Configuration Client.lnk:B7B9C8BD2D [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro 2024.lnk:E6BA3D2773 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AdsPower Browser.lnk:E9BD082F00 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lenovo Smart Migration.lnk:16C3EEFC7F [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad3.lnk:211C2512DB [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ObinsKit.lnk:01A6470909 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Streamlabs Desktop.lnk:578370639A [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall SoundToys 5.lnk:2D7222B38F [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall SoundToys 5.lnk:ECAFE1B466 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Waves Central.lnk:0645AF50E9 [3442]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7488]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

ПК не перезагрузился автоматически. 

Я сделал все как по инструкции:
создал блокнот в папке с "FRST" > записал туда скрипт > запустил ПО > нажал на "исправить"
Вот, что я получил:

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Блокнот не нужно было создавать. Действуйте по инструкции из моего сообщения:

- выделить скрипт

- скопировать (в буфер обмена)

- запустить программу

- нажать "Исправить"

 

Скрипт будет выполнен из буфера обмена.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Ещё один скрипт выполните, пожалуйста:

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    StartPowerShell:
    Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
    Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
    EndPowerShell:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Видны следы предыдущего заражения майнером. Поэтом сделайте ещё следующее:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Отлично!

 

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

SecurityCheck.txt

Вопрос еще такой касаемо трояна, он ведь мог жрать сетевую передачу ? Просто я это к тому, что интернет был крайне не стабилен.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Pissj
      От Pissj
      Здравствуйте, недавно решил сделать проверку через Dr.web Curelt на вирусы, нашлась одна проблема. Угроза называлась NET.MALWARE.NET. Dr.web Curelt не смог его удалить, подскажите, как его удалить, и опасна ли эта проблема для ПК?
       

    • MrSalamander255
      От MrSalamander255
      dr.web cureit нашел вирус (я думаю майнер) из-за которого проводник нагружает процессор и cpu 
      SALAMANDER-PC_2024-04-22_05-30-33_v4.15.2.TXT
      cureit.rar
      SALAMANDER-PC_2024-04-22_05-56-07_v4.15.2.7z
    • shirochka
      От shirochka
      Всем добрый день! 3 раз заблокировали аккаунт вк, уже забанили навсегда. Подозрение что у меня keyspy, недавно подхватил майнер John, запустился с точки восстановления до этого инцедента, все было ок. Сейчас через curelt посмотрел, у меня хост (удалил) и малваре. Помогите пожалуйста, виндоус не хочу переустанавливать, есть важные файлы. буду ждать ответа! (лог curelt прилагаю)
      cureit.rar
    • VladimirPA
      От VladimirPA
      Здравствуйте! Обнаружил у себя вирус, нагружающий процессор до 30% - 40% и сеть, при том делающий это через процесс проводника. Просканировал через утилиту, 3 вируса удалились, а "NET.MALWARE.URL" нет. Прошу помочь с этим. Частично проблему решить получилось, обрубив вирусу интернет через программу NetLimiter. Нагрузка ушла, но жить с такой падлой под боком все равно не хочется. Вот логи:
       
      All Logs.zip
×
×
  • Создать...