Поймал майнер NET:MALWARE.URL, не могу удалить

[mabbloss]

Добрый день!

Недавно скачивал программу boosterX(подозрения на нее), после чего ухудшение производительности ноутбука.

Сначала все может быть нормально, но через время ФПС в играх падают все больше и больше.

Проверил на наличие вирусов с помощью Dr.Web Curelt и нашел 2 майнера NET:MALWARE.URL. Устранить автоматически их, конечно же, не получилось. Просьба помочь в удалении, впервые так сильно боюсь за свой ноутбук.

 

Лог прикладываю.

Заранее спасибо!

CollectionLog-2025.03.05-01.14.zip

[safety]

Добавьте, пожалуйста, логи сканирования Cureit в архиве, без пароля.

 

Создайте в uVS дополнительно образ автозапуска.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

[mabbloss]

Спасибо за оперативный ответ!
Прикрепляю архив с образом - DESKTOP-FJJ9LDM_2025-03-05_19-54-29_v4.99.10v x64.7z

Вчерашний лог Cureit не сохранил, а теперь по какой-то причине он ничего не находит, хотя проблема точно осталась

Что делать?

[safety]

Возможно, Курейт в основном все зачистил Активных угроз не обнаружено сейчас.

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\ВИТАЛИЙ\DOCUMENTS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\TEMP\961E9FD7-2FAF44A8-20B62F2D-E80387E6\1YHFOWVQTOQR.EXE
delall %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\TEMP\47BB293A-DF5B4A44-93A91478-BD87B580\95LYWWL84.EXE
delall %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\TEMP\961E9FD7-2FAF44A8-20B62F2D-E80387E6\AL3VUUVDFN.EXE
delall %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\.MINECRAFT\TLAUNCHER.EXE
delall %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\TEMP\47BB293A-DF5B4A44-93A91478-BD87B580\JHEJEXBF.EXE
delall %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\TEMP\47BB293A-DF5B4A44-93A91478-BD87B580\UWFS3YJ1WXWW.EXE
delall %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\TEMP\961E9FD7-2FAF44A8-20B62F2D-E80387E6\WEBUCTZIKNTB.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\CDD.DLL
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FORMAUTOFILL@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\PICTUREINPICTURE@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT-REPORTER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\121.0.6167.161\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\121.0.6167.161\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\133.0.6943.98\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.86\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\128.0.6613.114\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\128.0.6613.114\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\128.0.6613.114\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\128.0.6613.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.112\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\100.0.1185.36\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.112\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\100.0.1185.36\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\100.0.1185.36\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\100.0.1185.36\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\100.0.1185.36\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\100.0.1185.36\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\100.0.1185.36\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\100.0.1185.36\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemRoot%\SYSTEMTEMP\CHROME_UNPACKER_BEGINUNZIPPING1440_695122789\CR_45F69.TMP\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\133.0.6943.142\INSTALLER\SETUP.EXE
delref %SystemRoot%\SYSTEMTEMP\CHROME_UNPACKER_BEGINUNZIPPING1440_695122789\133.0.6943.143_133.0.6943.142_CHROME_UPDATER.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\133.0.6943.142\ELEVATION_SERVICE.EXE
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\INSTALL\AM_DELTA_PATCH_1.423.200.0.EXE
delref %SystemDrive%\USERS\ВИТАЛИЙ\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOD OF WAR RAGNAROK\GOWR.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Добавьте логи FRST для контроля очистки.

[mabbloss]

Прикладываю логи:

UVS - 2025-03-06_10-37-37_log.txt

FRST - Addition.txt,FRST.txt

+ добавлю, что в данный момент у меня не открывается microsoft defender, скрин прикладываю:

[safety]

Продолжаем очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-18\...\Run: [] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите,  исправлена проблема с дефендером или нет.

Изменено 6 марта, 2025 пользователем safety

[mabbloss]

Лог - Fixlog.txt

Проблема с дефендером не исправлена

[safety]

Добавьте новые логи FRST для контроля,

[mabbloss]

Addition.txtFRST.txt

[safety]

Судя по логу FRST, ограничения для запуска были сняты.

Какая ошибка сейчас выходит? Тоже окно, что на вашем верхнем скрине?

[mabbloss]

Ровно такая же ошибка. Черный экран и окно с сообщением

[safety]

Посмотрите решение по данной ссылке.

https://remontka.pro/administrator-limited-access-windows-security/

[mabbloss]

Попробовал все варианты, указанные в статье - не помогло((

Я правильно понимаю, что никакой вирусной активности вы не обнаружили в логах?

У меня случайно нет никакого "левого" пользователя, который мог отобрать у меня права?

 

При попытке ввести в cmd(от имени администратора) команды для удаления политик получаю ошибку "Ошибка: Отказано в доступе."

Это еще больше наталкивает на мысль, что кто-то отобрал у меня нужные права

Изменено 6 марта, 2025 пользователем mabbloss

[safety]

ноут у вас домашний, или корпоративный?

других профилей, судя по логам не увидел, кроме основного.

Запущено с помощью Виталий (Администратор) на DESKTOP-FJJ9LDM (GIGABYTE AORUS 15 BSF) (06-03-2025 10:43:43)

 

вирусной активности нет/не обнаружено на ноуте на момент создания логов,

озможно была раньше

---------

+

вопрос:

на момент создания образа автозапуска в uVS сами запускали утилиту от DrWeb?

 

 

Изменено 7 марта, 2025 пользователем safety