[РЕШЕНО] Не могу удалить NET:MALWARE.URL

[Malus_Vir]

Здравствуйте

Заметил, что ПК начал шуметь, запустил Cureit, нашел вирус, но не смог его удалить.

 

 

 

Логи прикрепил:

 

CollectionLog-2025.01.09-01.55.zip

[safety]

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Malus_Vir]

USER-PC_2025-01-09_12-51-08_v4.99.5v x64.7z

 

[safety]

по очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\LG4LVKHE.DEFAULT-RELEASE\EXTENSIONS\SOVETNIK@METABAR.RU.XPI
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
zoo %SystemDrive%\PROGRAMDATA\WINDOWSSERVICES\WINDOWSAUTHOST
addsgn B3BD3E23CE0FF79EBDAC12352A451E489D487A5215BB9F99A42B0D6DF029398B6733C317EA272DA1929EF59F92DADB44DBA9C9EAADEE2E632C00949A52CAF4A5 64 Win64/Packed.VMProtect.QF 7

chklst
delvir

apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\ASROCK UTILITY\AUTO DRIVER INSTALLER\ASRAPPSHOP.EXE
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemRoot%\SETUP\SCRIPTS\ACTIVATOR
delref %SystemRoot%\CONTROL_OSSERVICES
delref %SystemRoot%\SETUP\SCRIPTS\WIRELESSKEYVIEW
delref %SystemDrive%\PROGRAM FILES\AUTODESK\ADODIS\V1\ACCESS\ADSKACCESSCORE.EXE
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES\AUTODESK\ADODIS\V1\SETUP\ADSKACCESSSERVICEHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BATTLEYE\BESERVICE.EXE
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_5714F0DCA6485379\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_5714F0DCA6485379\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.826\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.826\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.826\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.826\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.826\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\116.0.1938.54\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\129.0.2792.52\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\STANDALONEUPDATER\ONEDRIVESETUP.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\FIREFOX\FIREFOXLAUNCHER.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по состоянию системы после выполнения скрипта очистки

Добавьте логи FRST для контроля.

[Malus_Vir]

В Cureit проблема не исчезла

Addition.txtFRST.txt2025-01-09_20-58-24_log.txt

 

Понял, что запускал uVS не от имени администратора. После второй попытки Cureit больше не видит угроз

Новые логи:

Addition.txtFRST.txt2025-01-09_21-52-16_log.txt

Спасибо за помощь

[safety]

Продолжаем очистку системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
IFEO\CE i386.exe: [Debugger] Enable
IFEO\ce-x64.exe: [Debugger] Enable
IFEO\Cheat Engine.exe: [Debugger] Enable
IFEO\cheatengine-i386.exe: [Debugger] Enable
IFEO\cheatengine-x86_64.exe: [Debugger] Enable
IFEO\EOSnotify.exe: [Debugger] /
IFEO\InstallAgent.exe: [Debugger] /
IFEO\MusNotification.exe: [Debugger] /
IFEO\MusNotificationUx.exe: [Debugger] /
IFEO\remsh.exe: [Debugger] /
IFEO\SihClient.exe: [Debugger] /
IFEO\UpdateAssistant.exe: [Debugger] /
IFEO\upfc.exe: [Debugger] /
IFEO\UsoClient.exe: [Debugger] /
IFEO\WaaSMedic.exe: [Debugger] /
IFEO\WaasMedicAgent.exe: [Debugger] /
IFEO\Windows10Upgrade.exe: [Debugger] /
IFEO\Windows10UpgraderApp.exe: [Debugger] /
S2 WindowsAutHost; C:\ProgramData\WindowsServices\WindowsAutHost [15887872 2025-01-09] () [Файл не подписан] <==== ВНИМАНИЕ
AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
HKU\S-1-5-21-1797582345-3037798066-1773230019-1000\...\StartupApproved\StartupFolder: => "Driver.url"
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

далее,

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/win-10/

следу.ющие твики для исправления поврежденных служб:

BITS

UsoSvc

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-08-16] (Microsoft Windows -> Microsoft Corporation)
S3 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-08-16] (Microsoft Windows -> Microsoft Corporation)
S2 WindowsAutHost; C:\ProgramData\WindowsServices\WindowsAutHost [15887872 2025-01-09] () [Файл не подписан] <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

создайте новый образ автозапуска в uVS для контроля.

Изменено 10 января пользователем safety

[Malus_Vir]

Здравствуйте

Сами файлы не удается запустить от имени администратора (не появляется соответствующий пункт). Хотел запустить через редактор реестра, но он не открывается. Потом пробовал добавить задачу в диспетчере, но скачанных файлов там не нашел.

Извиняюсь за долгий ответ, не было доступа к сети

 

[safety]

Fixlog.txt не сохранился после выполнения скрипта в FRST?
 

Цитата

 

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

 

[Malus_Vir]

Вот он

Fixlog.txt

 

Только сейчас обратил внимание, что после того, как монитор отключается из-за простоя, кулера видеокарты начинают разгоняться. Если в это время быстро включить MSI Afterburner то видно, как частоты карты падают примерно с 3000 до 200-300

[safety]

Времени много уже прошло,

сделайте, пожалуйста, новые логи FRST и образ автозапуска в uVS.

uVS можно обновить.

[Malus_Vir]

FRST.txtAddition.txtUSER-PC_2025-01-26_15-00-09_v4.99.7v x64.7z

[safety]

файлик восстановился. (Или по новой произошло заражение)

C:\PROGRAMDATA\WINDOWSSERVICES\WINDOWSAUTHOST

+

подмена процесса:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\DIALER.EXE [6892]

+

множественные потоки:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\WINLOGON.EXE [952], tid=9180

------------

В этот раз не уходите, пока полностью проблему не закроем

 

скрипты сейчас добавлю.

Изменено Воскресенье в 11:05 пользователем safety

[safety]

Выполните в uVS скрипт с перезагрузкой системы. После перезагрузки создайте новый образ автозапуска.

будет больше информации в нем.

 

;uVS v4.99.7v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

 

[Malus_Vir]

USER-PC_2025-01-26_17-12-34_v4.99.7v x64.7z

[safety]

Выполняем очистку системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.7v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE

icsuspend
sreg

regt 14
regt 35
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\WINDOWSSERVICES\WINDOWSAUTHOST

areg

apply

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте новый образ автозапуска для контроля.

Изменено Воскресенье в 12:24 пользователем safety