Не могу удалить NET:MALWARE.URL

[Malus_Vir]

Здравствуйте

Заметил, что ПК начал шуметь, запустил Cureit, нашел вирус, но не смог его удалить.

 

 

 

Логи прикрепил:

 

CollectionLog-2025.01.09-01.55.zip

[safety]

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Malus_Vir]

USER-PC_2025-01-09_12-51-08_v4.99.5v x64.7z

 

[safety]

по очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\LG4LVKHE.DEFAULT-RELEASE\EXTENSIONS\SOVETNIK@METABAR.RU.XPI
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
zoo %SystemDrive%\PROGRAMDATA\WINDOWSSERVICES\WINDOWSAUTHOST
addsgn B3BD3E23CE0FF79EBDAC12352A451E489D487A5215BB9F99A42B0D6DF029398B6733C317EA272DA1929EF59F92DADB44DBA9C9EAADEE2E632C00949A52CAF4A5 64 Win64/Packed.VMProtect.QF 7

chklst
delvir

apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\ASROCK UTILITY\AUTO DRIVER INSTALLER\ASRAPPSHOP.EXE
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemRoot%\SETUP\SCRIPTS\ACTIVATOR
delref %SystemRoot%\CONTROL_OSSERVICES
delref %SystemRoot%\SETUP\SCRIPTS\WIRELESSKEYVIEW
delref %SystemDrive%\PROGRAM FILES\AUTODESK\ADODIS\V1\ACCESS\ADSKACCESSCORE.EXE
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES\AUTODESK\ADODIS\V1\SETUP\ADSKACCESSSERVICEHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BATTLEYE\BESERVICE.EXE
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_5714F0DCA6485379\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_5714F0DCA6485379\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.826\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.826\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.826\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.826\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.826\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\116.0.1938.54\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\129.0.2792.52\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\STANDALONEUPDATER\ONEDRIVESETUP.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\FIREFOX\FIREFOXLAUNCHER.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по состоянию системы после выполнения скрипта очистки

Добавьте логи FRST для контроля.

[Malus_Vir]

В Cureit проблема не исчезла

Addition.txtFRST.txt2025-01-09_20-58-24_log.txt

 

Понял, что запускал uVS не от имени администратора. После второй попытки Cureit больше не видит угроз

Новые логи:

Addition.txtFRST.txt2025-01-09_21-52-16_log.txt

Спасибо за помощь