Перейти к содержанию
Правила раздела

[РЕШЕНО] Не удаляется вирус "NET:MALWARE.URL"

Mc_Chubchik

Автор Mc_Chubchik
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано

Логи проверки в Cureit еще добавьте, пожалуйста:

Цитата

проверив комп Dr. Wev Cureit, выявил вирусы, один из них  NET:MALWARE.URL, который он не смог удалить

 

Mc_Chubchik

Mc_Chubchik

Опубликовано
  • Автор
Опубликовано
13 минут назад, safety сказал:

Логи проверки в Cureit еще добавьте, пожалуйста:

 

Прикрепляю.

cureit.log

safety

safety

Опубликовано
Опубликовано
Цитата

C:\Windows\system32\drivers\etc\hosts - cured - 100415 ms
\Net\0\TCP\23.109.94.28-443\System Idle Process - incurable - 67011 ms
C:\Users\Home\AppData\Local\Temp\PotPlayerFus\F.dll - quarantined - 15482 ms

Статические маршруты все ваши здесь прописаны? большой список

 

image.png

safety

safety

Опубликовано
Опубликовано (изменено)

Выполните очистку системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы. 

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 13
hide E:\GAMES\CSSV34\CSSV34.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES\AWESOME DUPLICATE PHOTO FINDER\AWESOMEPHOTOFINDER.URL
delall %SystemDrive%\PROGRAM FILES\AWESOME DUPLICATE PHOTO FINDER\RECOVERDELETEDFILES.URL
zoo E:\ПРОГРАММЫ\AWESOME_PHOTO_FINDER.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 57 Win32/OpenCandy.A 7

chklst
delvir

apply

deltmp
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\22.5.4.908\SERVICE_UPDATE.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\AIMP\SYSTEM\AIMP_MENU32.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\AUTOCHK\PROXY
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\USER PROFILE SERVICE\HIVEUPLOADTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\KERNELCEIPTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\USBCEIP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\CONSOLIDATOR
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\AITAGENT
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS ERROR REPORTING\QUEUEREPORTING
delref %Sys32%\TASKS\PBROWSERUPD
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref XCSHINFO\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 19.0.0\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 20.0\SHELLEX.DLL
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref G:\SETUP.EXE
delref D:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
;-------------------------------------------------------------

restart
czoo

После завершения работы скрипта:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено пользователем safety
Mc_Chubchik

Mc_Chubchik

Опубликовано
  • Автор
Опубликовано
38 минут назад, safety сказал:

Выполните очистку системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы. 

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 13
hide E:\GAMES\CSSV34\CSSV34.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES\AWESOME DUPLICATE PHOTO FINDER\AWESOMEPHOTOFINDER.URL
delall %SystemDrive%\PROGRAM FILES\AWESOME DUPLICATE PHOTO FINDER\RECOVERDELETEDFILES.URL
zoo E:\ПРОГРАММЫ\AWESOME_PHOTO_FINDER.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 57 Win32/OpenCandy.A 7

chklst
delvir

apply

deltmp
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\22.5.4.908\SERVICE_UPDATE.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\AIMP\SYSTEM\AIMP_MENU32.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\AUTOCHK\PROXY
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\USER PROFILE SERVICE\HIVEUPLOADTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\KERNELCEIPTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\USBCEIP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\CONSOLIDATOR
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\AITAGENT
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS ERROR REPORTING\QUEUEREPORTING
delref %Sys32%\TASKS\PBROWSERUPD
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref XCSHINFO\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 19.0.0\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 20.0\SHELLEX.DLL
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.3.825\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref G:\SETUP.EXE
delref D:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
;-------------------------------------------------------------

restart
czoo

После завершения работы скрипта:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Выполнил.

2025-02-05_16-12-12_log.txt

safety

safety

Опубликовано
Опубликовано

Сделайте новую проверку в Курейт, напишите результат проверки.

+

добавьте логи FRST для контроля.

safety

safety

Опубликовано
Опубликовано

Судя по логу сканирования КУрейт проблема с "неизлечением" объекта "\Net\0\TCP*" ушла.

-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------

C:\Windows\system32\drivers\etc\hosts - cured - 94221 ms

Total 7464389392 bytes in 20253 files scanned (21183 objects)
Total 20289 files (21133 objects) are clean
Total 1 file are suspicious
Total 1 file are neutralized
Total 49 files are raised error condition
Scan time is 00:36:58.042

-------

Понаблюдайте что происходит с  C:\Windows\system32\drivers\etc\hosts

Что именно там лечится.

Сейчас в Hosts ничего особенного не наблюдется.

2009-07-14 05:04 - 2025-02-06 10:00 - 000003018 _____ C:\Windows\system32\drivers\etc\hosts

2018-11-06 19:54 - 2020-09-09 21:45 - 000000466 _____ C:\Windows\system32\drivers\etc\hosts.ics
192.168.173.1 Home-192.168.173.123 RedmiNote4-Redmi4.mshome.net # 2020 9 3 16 18 45 55 411

 

По очистке в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\RunOnce: [wextract_cleanup0] => 0 (Нет файла)
HKLM\...\RunOnce: [{f0080ca2-80ae-4958-b6eb-e8fa916d744a}] => 0 (Нет файла)
HKLM\...\RunOnce: [{d2c8df0e-f15d-4426-9e51-f13f329f9cb4}] => 0 (Нет файла)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

проверьте на Virustotal.com этот файл и дайте ссылку на результат проверки

S3 uti3mzmx; C:\Windows\system32\Drivers\uti3mzmx.sys [7168 2025-02-05] () [Файл не подписан]

 

Mc_Chubchik

Mc_Chubchik

Опубликовано
  • Автор
Опубликовано
3 часа назад, safety сказал:

Судя по логу сканирования КУрейт проблема с "неизлечением" объекта "\Net\0\TCP*" ушла.

-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------

C:\Windows\system32\drivers\etc\hosts - cured - 94221 ms

Total 7464389392 bytes in 20253 files scanned (21183 objects)
Total 20289 files (21133 objects) are clean
Total 1 file are suspicious
Total 1 file are neutralized
Total 49 files are raised error condition
Scan time is 00:36:58.042

-------

Понаблюдайте что происходит с  C:\Windows\system32\drivers\etc\hosts

Что именно там лечится.

Сейчас в Hosts ничего особенного не наблюдется.

2009-07-14 05:04 - 2025-02-06 10:00 - 000003018 _____ C:\Windows\system32\drivers\etc\hosts

2018-11-06 19:54 - 2020-09-09 21:45 - 000000466 _____ C:\Windows\system32\drivers\etc\hosts.ics
192.168.173.1 Home-192.168.173.123 RedmiNote4-Redmi4.mshome.net # 2020 9 3 16 18 45 55 411

 

По очистке в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\RunOnce: [wextract_cleanup0] => 0 (Нет файла)
HKLM\...\RunOnce: [{f0080ca2-80ae-4958-b6eb-e8fa916d744a}] => 0 (Нет файла)
HKLM\...\RunOnce: [{d2c8df0e-f15d-4426-9e51-f13f329f9cb4}] => 0 (Нет файла)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

проверьте на Virustotal.com этот файл и дайте ссылку на результат проверки

S3 uti3mzmx; C:\Windows\system32\Drivers\uti3mzmx.sys [7168 2025-02-05] () [Файл не подписан]

 

 

Проверил 521312f353e13668abe326416b23b4a22491f0d70ea8887eaca871da5d76c47d

 

Странно но слетела активация windows.

Fixlog.txt

safety

safety

Опубликовано
Опубликовано

Я просил этот файл проверить на VT:

C:\Windows\system32\Drivers\uti3mzmx.sys

Mc_Chubchik

Mc_Chubchik

Опубликовано
  • Автор
Опубликовано
16 часов назад, safety сказал:

Я просил этот файл проверить на VT:

C:\Windows\system32\Drivers\uti3mzmx.sys

 

Добрый день. Извините не понял сразу

 

7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sladkoeshKA
      CHROMIUM:PAGE.MALWARE.URL. не удаляется расширение t-cashback
      Автор sladkoeshKA
      FRST.txtFRST.txtДобрый день,
       
      Не получается удалить расширение T-cashback из Yandex браузера. Dr. Web обнаруживал ранее CHROMIUM:PAGE.MALWARE.URL. лечил, удалял, не помогло
      Нашел такую же проблему на форуме ранее
      Решил также оставить FRST.txt
       
      Addition.txt
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • trotnl
      Трояны и вирусные расширения браузера
      Автор trotnl
      Недавно мной были замечены странные видео в истории просмотра, которые я, естественно, не смотрел, решил проверить в чем проблема, выяснилось что у меня появилось неизвестного происхождения расширение которое маскируется под adblock, где при переходе на сайт разработчика выходит фейковый сайт (см. прикрепленные фото)

       
       
      Решил удалить напрямую из папки расширений браузера, но это тоже не помогло, они просто подгрузились обратно, далее провел проверку программой Dr.Web CureIt! который нашел следующие проблемы:
       
       

      Также прикрепляю логи: CollectionLog-2026.01.31-13.40.zip Addition.txtFRST.txtAdwCleaner[C00].txt
    • Давид Ананикян
      [РЕШЕНО] Неудаляемый Chromium.page.malware
      Автор Давид Ананикян
      Здравствуйте, поймал такую вот штучку, знаю что удалить её самому это та ещё проблема, так что решил сразу написать сюда, прошу помочь.



       CollectionLog-2025.12.13-13.07.zip
    • Suga
      [РЕШЕНО] NET:MALWARE.URL найден процесс, но не удален
      Автор Suga
      Решил проверить компьютер на вирусы тк какой-то процесс после запуска игр нагружал видеокарту в 100-90%. В диспетчере задач нагружал "хост окна консоли", теперь пропадает после запуска диспетчера. Как удалить "NET:MALWARE.URL"?

×
×
  • Создать...