Перейти к содержанию

[РЕШЕНО] Как удалить net:malware.url


Рекомендуемые сообщения

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\programdata\winsat.exe');
 QuarantineFile('c:\programdata\winsat.exe', '');
 QuarantineFile('C:\Windows\System32\WinSYS.exe', '');
 DeleteSchedulerTask('MicrosoftEdgeUpdate');
 DeleteSchedulerTask('MicrosoftEdgeUpdateCoreUI');
 DeleteSchedulerTask('Windows Services and Controller app');
 DeleteSchedulerTask('WindowsDefenderSecurity');
 DeleteFile('c:\programdata\winsat.exe', '');
 DeleteFile('C:\ProgramData\WinSAT.exe', '64');
 DeleteFile('C:\Windows\System32\WinSYS.exe', '64');
 DeleteService('Windows Security Health Host');
 DeleteService('Windows Security');
 DeleteService('Windows Update Service');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [PlanetVPN] = C:\Program Files (x86)\PlanetVPN\PlanetVPN.exe (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\WINDOWS\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\WINDOWS\system32\svchost.exe

Перезагрузите компьютер вручную.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

16 минут назад, Sandor сказал:

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):




begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\programdata\winsat.exe');
 QuarantineFile('c:\programdata\winsat.exe', '');
 QuarantineFile('C:\Windows\System32\WinSYS.exe', '');
 DeleteSchedulerTask('MicrosoftEdgeUpdate');
 DeleteSchedulerTask('MicrosoftEdgeUpdateCoreUI');
 DeleteSchedulerTask('Windows Services and Controller app');
 DeleteSchedulerTask('WindowsDefenderSecurity');
 DeleteFile('c:\programdata\winsat.exe', '');
 DeleteFile('C:\ProgramData\WinSAT.exe', '64');
 DeleteFile('C:\Windows\System32\WinSYS.exe', '64');
 DeleteService('Windows Security Health Host');
 DeleteService('Windows Security');
 DeleteService('Windows Update Service');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):




O4 - HKCU\..\Run: [PlanetVPN] = C:\Program Files (x86)\PlanetVPN\PlanetVPN.exe (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\WINDOWS\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\WINDOWS\system32\svchost.exe

Перезагрузите компьютер вручную.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

CollectionLog-2024.11.01-14.30.zip

Лог прикрепил

Ссылка на комментарий
Поделиться на другие сайты

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

p.s.

Пожалуйста, не цитируйте полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

Ссылка на комментарий
Поделиться на другие сайты

Известны ли вам эти программы:

Цитата

 

AdsPower Global 6.5.28

DeepLiveCam

 

Если не известны или не самостоятельно ставили, деинсталлируйте их.

Не сможете стандартно, удалите принудительно с помощью Geek Uninstaller

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    (svchost.exe ->) () [Файл не подписан] C:\ProgramData\WinSAT.exe
    (svchost.exe ->) (Microsoft Corporation) [Файл не подписан] C:\Windows\System32\WinSYS.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AdsPower.lnk [2024-06-06]
    ShortcutTarget: AdsPower.lnk -> C:\Program Files\AdsPower Global\AdsPower.exe (Нет файла)
    Task: {4F2BA435-6C7A-4859-9E37-57F6E41C586D} - System32\Tasks\GoogleUpdateTask => C:\ProgramData\Microsoft\svchost32.exe  (Нет файла) <==== ВНИМАНИЕ
    Task: {96FE6326-4F63-44FB-8791-0AC4B0FC2918} - System32\Tasks\MicrosoftEdgeUpdate => C:\ProgramData\Microsoft\Microsoft.MicrosoftEdgeUpdate\msedge.exe  (Нет файла) <==== ВНИМАНИЕ
    Task: {C9702898-40E9-41E3-B1A3-F75D397BA7DA} - System32\Tasks\MicrosoftEdgeUpdateCoreUI => C:\ProgramData\Microsoft\Microsoft.MicrosoftEdgeUpdate\msedgeUpdate.exe  (Нет файла) <==== ВНИМАНИЕ
    Task: {FB6B45D0-9044-4206-8F89-41608F0946C5} - System32\Tasks\SecurityHealthSystray => C:\ProgramData\Microsoft\MicrosoftSecurityHealthSystray\SecurityHealthSystray.exe  (Нет файла) <==== ВНИМАНИЕ
    Task: {447D72BD-2D0C-4CB4-9E6A-3FF3144A066B} - System32\Tasks\Windows Services and Controller app => C:\ProgramData\WinSAT.exe [256000 2024-09-05] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {B8274F50-F1BE-412D-87B5-CB4CC039FE65} - System32\Tasks\WindowsDefenderSecurity => C:\Windows\System32\WinSYS.exe [256512 2024-09-04] (Microsoft Corporation) [Файл не подписан]
    S2 Windows Security; C:\Windows\SysWOW64\SecurityService.exe [X]
    S2 Windows Security Health Host; C:\Windows\SystemApps\Microsoft.MicrosoftEdgeUpdate\SecurityHealthService.exe [X]
    S2 Windows Update Service; C:\Windows\SysWOW64\WindowsUpdateService.exe [X]
    2024-10-13 11:28 - 2024-10-13 11:28 - 000003408 _____ C:\WINDOWS\system32\Tasks\SecurityHealthSystray
    2024-10-13 11:28 - 2024-10-13 11:28 - 000003396 _____ C:\WINDOWS\system32\Tasks\MicrosoftEdgeUpdateCoreUI
    2024-10-13 11:28 - 2024-10-13 11:28 - 000003372 _____ C:\WINDOWS\system32\Tasks\MicrosoftEdgeUpdate
    2024-10-13 11:28 - 2024-10-13 11:28 - 000003324 _____ C:\WINDOWS\system32\Tasks\Windows Services and Controller app
    2024-10-13 11:28 - 2024-10-13 11:28 - 000003312 _____ C:\WINDOWS\system32\Tasks\GoogleUpdateTask
    2024-10-13 11:28 - 2024-10-13 11:28 - 000003310 _____ C:\WINDOWS\system32\Tasks\WindowsDefenderSecurity
    2024-10-13 11:28 - 2024-09-05 05:10 - 000256000 ___SH () C:\ProgramData\WinSAT.exe
    2024-10-13 11:28 - 2024-09-04 22:59 - 000256512 ___SH (Microsoft Corporation) C:\WINDOWS\system32\WinSYS.exe
    AlternateDataStreams: C:\Intel:err [1164]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5112]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Ещё один скрипт выполните:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    StartPowerShell:
    Remove-MpPreference -ExclusionPath "C:\Users\111\AppData\Local\Temp"
    Remove-MpPreference -ExclusionPath "C:\Windows"
    Remove-MpPreference -ExclusionPath "C:\ProgramData"
    Remove-MpPreference -ExclusionPath "C:\Users"
    EndPowerShell:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Соберите новые логи FRST.txt и Addition.txt для контроля.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Nedofizik
      От Nedofizik
      Добрый день!
      Заметил проблемы с ноутбуком где-то год назад, списывал на то что "тяжелые" игры запускал и не обращал внимания. На прошлой неделе товарищ рассказал, что есть вид вирусов, что нагружают процессор и их трудно найти. Проверил у себя и обнаружил такой. В итоге это все привело меня к установке утилит антивирусов, которые выдали мне угрозу со NET.MALWARE.URL, конечно же попытался её удалить, но по по классике это сделать нельзя. Прошу совета и помощи в решении проблемы у знатоков.
      CollectionLog-2024.09.28-09.58.zip
    • Andrian28
      От Andrian28
      Добрый вечер. Недавно просканировал ПК и нашёл вирус NET:MALWARE.URL.Помогите пожалуйста его удалить. Логи прикрепил
      log.zip
    • AndyShugar
      От AndyShugar
      Не удалить этот вирус и папка с его расположением не открывается. Прошу помощи

      CollectionLog-2024.11.01-22.04.zip
    • lomosow
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
×
×
  • Создать...