[РЕШЕНО] Doctor Web Cureit обнаружил вирус NET:MALWARE.URL, удалить или обезвредить его не смог

[danilzot]

Doctor Web Cureit обнаружил вирус NET:MALWARE.URL, удалить или обезвредить его не смог, помогите пожалуйста, лог прикрепить не могу, так как он весит больше 5 мегайбайт 

[safety]

Цитата

лог прикрепить не могу, так как он весит больше 5 мегайбайт 

А в архив его добавить? сложно будет?

 

Сделайте логи по правилам.

Порядок оформления запроса о помощи».

Изменено 11 часов назад пользователем safety

[danilzot]

Он в архиве весит 13 мб, там в папке 5 логов, вот эти три подходят по размеру

dwscanner(9756).log miniagent.log miniagent_adm.log

[safety]

хорошо, продолжаем

 

Сделайте логи по правилам.

Порядок оформления запроса о помощи».

[danilzot]

CollectionLog-2025.01.30-18.19.zip

[safety]

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[danilzot]

AV_block_remove_2025.01.30-19.01.log CollectionLog-2025.01.30-19.11.zip

[safety]

Хорошо,

добавьте, пожалуйста логи FRST для контроля.

Изменено 10 часов назад пользователем safety

[danilzot]

Я не понимаю, что нужно сделать?

[safety]

Смотрим по ссылке в предыдущем сообщении. Там пошаговая инструкция "что делать".

[danilzot]

Addition.txt FRST.txt

[safety]

Выполните очистку системы

 

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
HKU\S-1-5-19\...\RunOnce: [RemoveSearchLnk] => cmd /c del /f /q /a "%LocalAppData%\Microsoft\Windows\WinX\Group2\2 - Search.lnk" (Нет файла)
HKU\S-1-5-20\...\RunOnce: [RemoveSearchLnk] => cmd /c del /f /q /a "%LocalAppData%\Microsoft\Windows\WinX\Group2\2 - Search.lnk" (Нет файла)
HKU\S-1-5-21-3096062601-3273574968-3749227358-1001\...\Run: [EpicGamesLauncher] => "C:\Program Files (x86)\Epic Games\Launcher\Portal\Binaries\Win64\EpicGamesLauncher.exe" -silent -launchcontext=boot (Нет файла)
Task: {3F4EFA2C-24E1-4048-ADC4-71178FE17AE8} - System32\Tasks\UpdateUTorrentV4 => C:\Users\Пользователь\AppData\Local\Programs\com.brotorrent.torrent-client-utorrent\uTorrent-v2.exe [146379776 2024-03-07] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
Task: {CF77F5EB-80BF-40B3-AE46-1DEC4DA1812D} - System32\Tasks\uTorrent_v2UpdaterV5_t1737542273773 => C:\Users\Пользователь\AppData\Local\Programs\com.brotorrent.torrent-client-utorrent\uTorrent-v2.exe [146379776 2024-03-07] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
Task: {2F824237-A3C3-41F8-B495-5963CCE0897C} - System32\Tasks\uTorrent_v2UpdaterV6_t1737542276653 => C:\Users\Пользователь\AppData\Local\Programs\com.brotorrent.torrent-client-utorrent\uTorrent-v2.exe [146379776 2024-03-07] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
2025-01-22 17:37 - 2025-01-22 17:37 - 000003810 _____ C:\Windows\system32\Tasks\uTorrent_v2UpdaterV6_t1737542276653
2025-01-22 17:37 - 2025-01-22 17:37 - 000003614 _____ C:\Windows\system32\Tasks\uTorrent_v2UpdaterV5_t1737542273773
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Далее,

 

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[danilzot]

COMPUTER_2025-01-30_20-06-39_v4.99.8v x64.7z Fixlog.txt

[safety]

По очистке в системе:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\ESET\ESETONLINESCANNER\ESETONLINESCANNER.EXE
zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\PROGRAMS\COM.BROTORRENT.TORRENT-CLIENT-UTORRENT\UTORRENT-V2.EXE
addsgn BA6F9BB2BD614C720B9C2D754C2168FBDA75303AC173435CA5968D37BC9EF2A0035F48524E2C374D633BB63D993BD0D17DDFA04996AFC464AE12BC2F8F8B6F6B 38 AdWare.Win32.ExtInstaller.ep 7

chklst
delvir

apply

; Bonjour
exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)/TENSOR COMPANY LTD/SBIS3PLUGIN/24.6241.23/SERVICE/MODULES/PROCESS POOL\SBIS-RPC-PROCESS-POOL300.DLL
delref %SystemDrive%\PROGRAM FILES\AMD\CIM\..\PERFORMANCE PROFILE CLIENT\AUEPDU.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\LOGMEIN HAMACHI\HAMACHI-2-UI.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\MICROSOFT\WINDOWS\WINX\GROUP2\2 - SEARCH.LNK
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {21E17C2F-AD3A-4B89-841F-09CFE02D16B7}\[CLSID]
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\EPIC GAMES\EPIC ONLINE SERVICES\SERVICE\EPICONLINESERVICESHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\REMOTE MOUSE\REMOTEMOUSESERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\WONDERSHARE\DRFONE\ADDINS\RECOVERY\WIRELESSBACKUPSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\108.0.5359.125\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\108.0.5359.125\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\108.0.5359.125\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.70\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\113.0.5672.93\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\113.0.5672.93\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\113.0.5672.93\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\113.0.5672.93\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.1.0.2571\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.11.5.709\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.11.5.709\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.11.5.709\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.0.2947\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.11.5.709\RESOURCES\YANDEX\ALICE_VOICE_ACTIVATION\ГОЛОСОВАЯ АКТИВАЦИЯ ПОМОЩНИКА АЛИСА
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\DISCORD\UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAMAPPS\COMMON\WALLPAPER_ENGINE\WALLPAPER32.EXE
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\ROBLOX\VERSIONS\VERSION-080AD6451DF24461\ROBLOXPLAYERBETA.EXE
delref %SystemDrive%\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SOFTENDO.COM\SUPER MARIO\SOFTENDO.COM.URL
delref %SystemDrive%\PROGRAM FILES (X86)\GTA CRIMINAL RUSSIA\CRMP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GTA CRIMINAL RUSSIA\GGMM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GTA CRIMINAL RUSSIA\GRAPHCHANGER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GTA CRIMINAL RUSSIA\GTA_SA.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GTA CRIMINAL RUSSIA\CRMP_DEBUG.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GTA CRIMINAL RUSSIA\UNINSTALL.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER9\DNUNINST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SOFTENDO.COM\SUPER MARIO\MARIO FOREVER.URL
delref %SystemDrive%\PROGRAM FILES (X86)\SOFTENDO.COM\SUPER MARIO\MARIO FOREVER GALAXY.URL
delref %SystemDrive%\PROGRAM FILES (X86)\SOFTENDO.COM\SUPER MARIO\GET COINS.URL
delref %SystemDrive%\PROGRAM FILES (X86)\SOFTENDO.COM\SUPER MARIO\MORE FANTASTIC GAMES.URL
delref %SystemDrive%\PROGRAM FILES (X86)\SOFTENDO.COM\SUPER MARIO\SUPER MARIO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\WONDERSHARE\DRFONE\DRFONETOOLKIT.EXE
;-------------------------------------------------------------

restart
czoo

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Сделайте проверку сканером по обнаружению malware.url, напишите результат проверки

[danilzot]

2025-01-30_20-44-29_log.txt

Не обнаружено, спасибо большое