NET.MALWARE.URL / DPH:Process.ExecMimic прошу помощи с удалением

[Romanchybyniak]

доктор веб не смог удалить или вылечить. Программа сама открывается и пробует влезть в сеть. в описании оставил логи Farbar Recovery Scan Tool и лог др веба  .Прошу помогите

https://drive.google.com/file/d/120u9uVBH1AeugYNRLmR6lU2gZjABjyiS/view?usp=drive_link - лог др веба

Addition.txtFRST.txt

Изменено 27 февраля пользователем Romanchybyniak

[safety]

Основные логи добавьте по правилам.

«Порядок оформления запроса о помощи».

[Romanchybyniak]

CollectionLog-2025.02.28-12.38.zip

[safety]

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Romanchybyniak]

AV_block_remove_2025.02.28-14.51.logCollectionLog-2025.02.28-15.00.zip

[safety]

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
Task: {1290F5A7-035D-413B-9495-3402C3FD3F3A} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {751478DD-330F-4993-8A4F-E4E7268F6C2B} - \Microsoft\Windows\WindowsBackup\RecoveryData -> Нет файла <==== ВНИМАНИЕ
Task: {91E11AB7-CDBC-43FA-BF28-0AE92890671A} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {9A4A6BFB-3E8E-47E3-9D1C-67C457046D9E} - \Microsoft\Windows\WindowsBackup\ManagerSystem -> Нет файла <==== ВНИМАНИЕ
Task: {F1783285-8398-425B-8F73-F38798AE01C1} - \Microsoft\Windows\WindowsBackup\ManagerService -> Нет файла <==== ВНИМАНИЕ
Task: {2F9B5BF5-3E1A-4B93-983E-F7DB472EAF40} - System32\Tasks\ICTorrent2UpdaterV1_t1724967905605 => C:\Program Files\SteamUpdate\SteamUpdate.exe [146320896 2024-08-21] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
Task: {6367E67F-66BB-4A99-BB66-7C6C567B1D20} - System32\Tasks\ICTorrent2UpdaterV2_t1724967907799 => C:\Program Files\SteamUpdate\SteamUpdate.exe [146320896 2024-08-21] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
Task: {BB895C08-A0A6-43FC-A65B-EA47DF7C94D7} - System32\Tasks\Microsoft\Windows\CheckGlobalN\RecoveryHosts => C:\ProgramData\Microsoft\MapData\mSq82xYUrMz\CheckGlobalN.bat  (Нет файла) <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Добавьте новые логи FRST для контроля.

[Romanchybyniak]

Fixlog.txt FRST.txt Addition.txt

[safety]

Какие-то новые детекты со стороны антивирусных сканеров есть?

 

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Romanchybyniak]

Вроде со стороны вирусов ничего не видно

DESKTOP-A7MPQME_2025-02-28_23-46-37_v4.99.10v x64.7z

Изменено 28 февраля пользователем Romanchybyniak

[safety]

Выполните очистку системы в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ROMAN\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
delall %SystemDrive%\USERS\ROMAN\MEDIAGET2\MEDIAGET.EXE
delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2\MEDIAGET.LNK
delall %SystemDrive%\PROGRAM FILES\MEDIAGETPRO\MEDIAGETPRO.EXE
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\.MINECRAFT\TLAUNCHER.EXE
delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2\UNINSTALL MEDIAGET.LNK
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AMD.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPHOST.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
delref %SystemDrive%\PROGRAM FILES\RDP WRAPPER
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delref START-PROCESS -WINDOWSTYLE HIDDEN TASK.BAT
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref %SystemDrive%\PROGRAM FILES\NEFARIUS SOFTWARE SOLUTIONS\HIDHIDE\HIDHIDE_UPDATER.EXE
delref %SystemDrive%\PROGRAM FILES\KRYPTEX\KRYPTEX.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\MBAEPARSERTASK.EXE
delref %SystemDrive%\PROGRAM FILES\RUXIM\PLUGSCHEDULER.EXE
delref %SystemDrive%\USERS\ROMAN\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}\[CLSID]
delref {C885AA15-1764-4293-B82A-0586ADD46B35}\[CLSID]
delref %Sys32%\MSPAINT.EXE
delref %Sys32%\DRIVERS\SYNTH3DVSC.SYS
delref %Sys32%\IDLISTEN.DLL
delref %Sys32%\WINJSON.DLL
delref %Sys32%\SETTINGSYNC.DLL
delref %Sys32%\PACKAGESTATEROAMING.DLL
delref %Sys32%\CELLULARAPI.DLL
delref %Sys32%\NETWORKSTATUS.DLL
delref %Sys32%\DRIVERS\RFXVMT.SYS
delref %Sys32%\SETTINGSYNCCORE.DLL
delref %Sys32%\PERFCTRS.DLL
delref %Sys32%\NETCELLCORECELLMANAGERPROVIDERRESOURCES.DLL
delref %Sys32%\AZURESETTINGSYNCPROVIDER.DLL
delref %Sys32%\LISTSVC.DLL
delref %Sys32%\DRIVERS\WCNFS.SYS
delref %Sys32%\PERFTRACK.DLL
delref %Sys32%\PROVSVC.DLL
delref %Sys32%\ONEDRIVESETTINGSYNCPROVIDER.DLL
delref %Sys32%\DRIVERS\CDD.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.127\RESOURCES\WEB_STORE\WEB STORE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.127\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\128.0.6613.85\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.71\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.87\RESOURCES\WEB_STORE\ВЕБ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.87\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.42\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\[CLSID]
delref {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\[CLSID]
delref %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\ALIENS COLONIAL MARINES\UNINSTALL\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SILENT HILL 2 REMAKE\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SILENT HILL 2 REMAKE\SHPROTO.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS