[РЕШЕНО] Не удаляется вирус "NET:MALWARE.URL"

5 февраля

Добрый день, проверив комп Dr. Wev Cureit, выявил вирусы, один из них NET:MALWARE.URL, который он не смог удалить. Прошу помочь в его удалении.

HOME-ПК_2025-02-05_11-40-15_v4.99.8v x86.7z

5 февраля

Так же добавьте основные логи.

«Порядок оформления запроса о помощи».

5 февраля

Извиняюсь, не заметил данный пункт.

CollectionLog-2025.02.05-13.30.zip

5 февраля

Логи проверки в Cureit еще добавьте, пожалуйста:

Цитата

проверив комп Dr. Wev Cureit, выявил вирусы, один из них NET:MALWARE.URL, который он не смог удалить

5 февраля

13 минут назад, safety сказал:

Логи проверки в Cureit еще добавьте, пожалуйста:

Прикрепляю.

cureit.log

5 февраля

Цитата

C:\Windows\system32\drivers\etc\hosts - cured - 100415 ms
\Net\0\TCP\23.109.94.28-443\System Idle Process - incurable - 67011 ms
C:\Users\Home\AppData\Local\Temp\PotPlayerFus\F.dll - quarantined - 15482 ms

Статические маршруты все ваши здесь прописаны? большой список

5 февраля

Не знаю, честно, что это такое...

5 февраля

Выполните очистку системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 13
hide E:\GAMES\CSSV34\CSSV34.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES\AWESOME DUPLICATE PHOTO FINDER\AWESOMEPHOTOFINDER.URL
delall %SystemDrive%\PROGRAM FILES\AWESOME DUPLICATE PHOTO FINDER\RECOVERDELETEDFILES.URL
zoo E:\ПРОГРАММЫ\AWESOME_PHOTO_FINDER.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 57 Win32/OpenCandy.A 7

chklst
delvir

apply

deltmp
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\22.5.4.908\SERVICE_UPDATE.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\AIMP\SYSTEM\AIMP_MENU32.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\AUTOCHK\PROXY
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\USER PROFILE SERVICE\HIVEUPLOADTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\KERNELCEIPTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\USBCEIP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\CONSOLIDATOR
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\AITAGENT
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS ERROR REPORTING\QUEUEREPORTING
delref %Sys32%\TASKS\PBROWSERUPD
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref XCSHINFO\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 19.0.0\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 20.0\SHELLEX.DLL
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref G:\SETUP.EXE
delref D:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
;-------------------------------------------------------------

restart
czoo

После завершения работы скрипта:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено 6 февраля пользователем safety

5 февраля

38 минут назад, safety сказал:

Выполните очистку системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 13
hide E:\GAMES\CSSV34\CSSV34.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES\AWESOME DUPLICATE PHOTO FINDER\AWESOMEPHOTOFINDER.URL
delall %SystemDrive%\PROGRAM FILES\AWESOME DUPLICATE PHOTO FINDER\RECOVERDELETEDFILES.URL
zoo E:\ПРОГРАММЫ\AWESOME_PHOTO_FINDER.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 57 Win32/OpenCandy.A 7

chklst
delvir

apply

deltmp
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\22.5.4.908\SERVICE_UPDATE.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\AIMP\SYSTEM\AIMP_MENU32.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\AUTOCHK\PROXY
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\USER PROFILE SERVICE\HIVEUPLOADTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\KERNELCEIPTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\USBCEIP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\CONSOLIDATOR
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\AITAGENT
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS ERROR REPORTING\QUEUEREPORTING
delref %Sys32%\TASKS\PBROWSERUPD
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref XCSHINFO\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 19.0.0\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 20.0\SHELLEX.DLL
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref G:\SETUP.EXE
delref D:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
;-------------------------------------------------------------

restart
czoo

После завершения работы скрипта:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Выполнил.

2025-02-05_16-12-12_log.txt

5 февраля

Сделайте новую проверку в Курейт, напишите результат проверки.

+

добавьте логи FRST для контроля.

6 февраля

17 часов назад, safety сказал:

Сделайте новую проверку в Курейт, напишите результат проверки.

+

добавьте логи FRST для контроля.

cureit.log FRST.txt Addition.txt

6 февраля

Судя по логу сканирования КУрейт проблема с "неизлечением" объекта "\Net\0\TCP*" ушла.

-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------

C:\Windows\system32\drivers\etc\hosts - cured - 94221 ms

Total 7464389392 bytes in 20253 files scanned (21183 objects)
Total 20289 files (21133 objects) are clean
Total 1 file are suspicious
Total 1 file are neutralized
Total 49 files are raised error condition
Scan time is 00:36:58.042

-------

Понаблюдайте что происходит с C:\Windows\system32\drivers\etc\hosts

Что именно там лечится.

Сейчас в Hosts ничего особенного не наблюдется.

2009-07-14 05:04 - 2025-02-06 10:00 - 000003018 _____ C:\Windows\system32\drivers\etc\hosts

2018-11-06 19:54 - 2020-09-09 21:45 - 000000466 _____ C:\Windows\system32\drivers\etc\hosts.ics
192.168.173.1 Home-192.168.173.123 RedmiNote4-Redmi4.mshome.net # 2020 9 3 16 18 45 55 411

По очистке в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\RunOnce: [wextract_cleanup0] => 0 (Нет файла)
HKLM\...\RunOnce: [{f0080ca2-80ae-4958-b6eb-e8fa916d744a}] => 0 (Нет файла)
HKLM\...\RunOnce: [{d2c8df0e-f15d-4426-9e51-f13f329f9cb4}] => 0 (Нет файла)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

проверьте на Virustotal.com этот файл и дайте ссылку на результат проверки

S3 uti3mzmx; C:\Windows\system32\Drivers\uti3mzmx.sys [7168 2025-02-05] () [Файл не подписан]

6 февраля

3 часа назад, safety сказал:
Судя по логу сканирования КУрейт проблема с "неизлечением" объекта "\Net\0\TCP*" ушла.

-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------

C:\Windows\system32\drivers\etc\hosts - cured - 94221 ms

Total 7464389392 bytes in 20253 files scanned (21183 objects)
Total 20289 files (21133 objects) are clean
Total 1 file are suspicious
Total 1 file are neutralized
Total 49 files are raised error condition
Scan time is 00:36:58.042

-------

Понаблюдайте что происходит с C:\Windows\system32\drivers\etc\hosts

Что именно там лечится.

Сейчас в Hosts ничего особенного не наблюдется.

2009-07-14 05:04 - 2025-02-06 10:00 - 000003018 _____ C:\Windows\system32\drivers\etc\hosts

2018-11-06 19:54 - 2020-09-09 21:45 - 000000466 _____ C:\Windows\system32\drivers\etc\hosts.ics
192.168.173.1 Home-192.168.173.123 RedmiNote4-Redmi4.mshome.net # 2020 9 3 16 18 45 55 411

По очистке в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы
Start::
HKLM\...\RunOnce: [wextract_cleanup0] => 0 (Нет файла)
HKLM\...\RunOnce: [{f0080ca2-80ae-4958-b6eb-e8fa916d744a}] => 0 (Нет файла)
HKLM\...\RunOnce: [{d2c8df0e-f15d-4426-9e51-f13f329f9cb4}] => 0 (Нет файла)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Reboot::
End::
После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

проверьте на Virustotal.com этот файл и дайте ссылку на результат проверки

S3 uti3mzmx; C:\Windows\system32\Drivers\uti3mzmx.sys [7168 2025-02-05] () [Файл не подписан]

Проверил 521312f353e13668abe326416b23b4a22491f0d70ea8887eaca871da5d76c47d

Странно но слетела активация windows.

Fixlog.txt

6 февраля

Я просил этот файл проверить на VT:

C:\Windows\system32\Drivers\uti3mzmx.sys

7 февраля

16 часов назад, safety сказал:

Я просил этот файл проверить на VT:

C:\Windows\system32\Drivers\uti3mzmx.sys

Добрый день. Извините не понял сразу

7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237

[РЕШЕНО] Не удаляется вирус "NET:MALWARE.URL"

Рекомендуемые сообщения

Mc_Chubchik

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Mc_Chubchik

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Mc_Chubchik

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Mc_Chubchik

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Mc_Chubchik

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Mc_Chubchik

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Mc_Chubchik

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Mc_Chubchik

Ссылка на комментарий

Поделиться на другие сайты

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum