[РЕШЕНО] Как удалить net:malware.url

[moyyor 0]

Решил проверить ноут через DrWeb, обнаружился вирус net:malware.url. Как его удалить ? Логи прикрепил. 

CollectionLog-2024.11.01-13.28.zip

[Sandor 1 303]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\programdata\winsat.exe');
 QuarantineFile('c:\programdata\winsat.exe', '');
 QuarantineFile('C:\Windows\System32\WinSYS.exe', '');
 DeleteSchedulerTask('MicrosoftEdgeUpdate');
 DeleteSchedulerTask('MicrosoftEdgeUpdateCoreUI');
 DeleteSchedulerTask('Windows Services and Controller app');
 DeleteSchedulerTask('WindowsDefenderSecurity');
 DeleteFile('c:\programdata\winsat.exe', '');
 DeleteFile('C:\ProgramData\WinSAT.exe', '64');
 DeleteFile('C:\Windows\System32\WinSYS.exe', '64');
 DeleteService('Windows Security Health Host');
 DeleteService('Windows Security');
 DeleteService('Windows Update Service');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [PlanetVPN] = C:\Program Files (x86)\PlanetVPN\PlanetVPN.exe (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\WINDOWS\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\WINDOWS\system32\svchost.exe

Перезагрузите компьютер вручную.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[moyyor 0]

16 минут назад, Sandor сказал:

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\programdata\winsat.exe');
 QuarantineFile('c:\programdata\winsat.exe', '');
 QuarantineFile('C:\Windows\System32\WinSYS.exe', '');
 DeleteSchedulerTask('MicrosoftEdgeUpdate');
 DeleteSchedulerTask('MicrosoftEdgeUpdateCoreUI');
 DeleteSchedulerTask('Windows Services and Controller app');
 DeleteSchedulerTask('WindowsDefenderSecurity');
 DeleteFile('c:\programdata\winsat.exe', '');
 DeleteFile('C:\ProgramData\WinSAT.exe', '64');
 DeleteFile('C:\Windows\System32\WinSYS.exe', '64');
 DeleteService('Windows Security Health Host');
 DeleteService('Windows Security');
 DeleteService('Windows Update Service');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [PlanetVPN] = C:\Program Files (x86)\PlanetVPN\PlanetVPN.exe (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\WINDOWS\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\WINDOWS\system32\svchost.exe

Перезагрузите компьютер вручную.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

CollectionLog-2024.11.01-14.30.zip

Лог прикрепил

[Sandor 1 303]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

p.s.

Пожалуйста, не цитируйте полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

[moyyor 0]

FRST.txt Addition.txt

[Sandor 1 303]

Известны ли вам эти программы:

Цитата

 

AdsPower Global 6.5.28

DeepLiveCam

 

Если не известны или не самостоятельно ставили, деинсталлируйте их.

Не сможете стандартно, удалите принудительно с помощью Geek Uninstaller

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  (svchost.exe ->) () [Файл не подписан] C:\ProgramData\WinSAT.exe
  (svchost.exe ->) (Microsoft Corporation) [Файл не подписан] C:\Windows\System32\WinSYS.exe
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AdsPower.lnk [2024-06-06]
  ShortcutTarget: AdsPower.lnk -> C:\Program Files\AdsPower Global\AdsPower.exe (Нет файла)
  Task: {4F2BA435-6C7A-4859-9E37-57F6E41C586D} - System32\Tasks\GoogleUpdateTask => C:\ProgramData\Microsoft\svchost32.exe  (Нет файла) <==== ВНИМАНИЕ
  Task: {96FE6326-4F63-44FB-8791-0AC4B0FC2918} - System32\Tasks\MicrosoftEdgeUpdate => C:\ProgramData\Microsoft\Microsoft.MicrosoftEdgeUpdate\msedge.exe  (Нет файла) <==== ВНИМАНИЕ
  Task: {C9702898-40E9-41E3-B1A3-F75D397BA7DA} - System32\Tasks\MicrosoftEdgeUpdateCoreUI => C:\ProgramData\Microsoft\Microsoft.MicrosoftEdgeUpdate\msedgeUpdate.exe  (Нет файла) <==== ВНИМАНИЕ
  Task: {FB6B45D0-9044-4206-8F89-41608F0946C5} - System32\Tasks\SecurityHealthSystray => C:\ProgramData\Microsoft\MicrosoftSecurityHealthSystray\SecurityHealthSystray.exe  (Нет файла) <==== ВНИМАНИЕ
  Task: {447D72BD-2D0C-4CB4-9E6A-3FF3144A066B} - System32\Tasks\Windows Services and Controller app => C:\ProgramData\WinSAT.exe [256000 2024-09-05] () [Файл не подписан] <==== ВНИМАНИЕ
  Task: {B8274F50-F1BE-412D-87B5-CB4CC039FE65} - System32\Tasks\WindowsDefenderSecurity => C:\Windows\System32\WinSYS.exe [256512 2024-09-04] (Microsoft Corporation) [Файл не подписан]
  S2 Windows Security; C:\Windows\SysWOW64\SecurityService.exe [X]
  S2 Windows Security Health Host; C:\Windows\SystemApps\Microsoft.MicrosoftEdgeUpdate\SecurityHealthService.exe [X]
  S2 Windows Update Service; C:\Windows\SysWOW64\WindowsUpdateService.exe [X]
  2024-10-13 11:28 - 2024-10-13 11:28 - 000003408 _____ C:\WINDOWS\system32\Tasks\SecurityHealthSystray
  2024-10-13 11:28 - 2024-10-13 11:28 - 000003396 _____ C:\WINDOWS\system32\Tasks\MicrosoftEdgeUpdateCoreUI
  2024-10-13 11:28 - 2024-10-13 11:28 - 000003372 _____ C:\WINDOWS\system32\Tasks\MicrosoftEdgeUpdate
  2024-10-13 11:28 - 2024-10-13 11:28 - 000003324 _____ C:\WINDOWS\system32\Tasks\Windows Services and Controller app
  2024-10-13 11:28 - 2024-10-13 11:28 - 000003312 _____ C:\WINDOWS\system32\Tasks\GoogleUpdateTask
  2024-10-13 11:28 - 2024-10-13 11:28 - 000003310 _____ C:\WINDOWS\system32\Tasks\WindowsDefenderSecurity
  2024-10-13 11:28 - 2024-09-05 05:10 - 000256000 ___SH () C:\ProgramData\WinSAT.exe
  2024-10-13 11:28 - 2024-09-04 22:59 - 000256512 ___SH (Microsoft Corporation) C:\WINDOWS\system32\WinSYS.exe
  AlternateDataStreams: C:\Intel:err [1164]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5112]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[moyyor 0]

Fixlog.txt

[Sandor 1 303]

Ещё один скрипт выполните:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Users\111\AppData\Local\Temp"
  Remove-MpPreference -ExclusionPath "C:\Windows"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\Users"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Соберите новые логи FRST.txt и Addition.txt для контроля.

[moyyor 0]

Fixlog.txt

[Sandor 1 303]

Вы прикрепили тот же файл, должен был получиться другой. Повторите, пожалуйста.

[moyyor 0]

Fixlog.txt

[Sandor 1 303]

Вы запускаете тот же скрипт, а нужно другой, из этого сообщения.

[moyyor 0]

Может быть это

Fixlog.txt

[Sandor 1 303]

Да, в этот раз верно.

 

Сделайте ещё раз проверку CureIt и сообщите результат.

[moyyor 0]

Спасибо большое! Ничего не обнаружено!