Удалить вирус NET:MALWARE.URL

[Ded_]

Подцепиил вирус NET:MALWARE.URL

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Ded_]

Не знаю почему...но dr web больше не находит вирус этот...хотя было сказано что вылечить и тп не удалось 

 

1 час назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

 

CollectionLog-2025.03.10-20.15.zip

 

но проц всё так же нагружен

 

Изменено 10 марта пользователем Ded_

[thyrex]

Здравствуйте.

 

Цитата

Client Helper 6.2.1

удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\danila\AppData\Roaming\utorrent\pro\nodeupdate.vbs','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','danila','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','danila','x64');
 DeleteFile('C:\Users\danila\AppData\Roaming\utorrent\pro\nodeupdate.vbs','64');
 DeleteSchedulerTask('NodeUpdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Ded_]

2 часа назад, thyrex сказал:

Здравствуйте.

 

удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\danila\AppData\Roaming\utorrent\pro\nodeupdate.vbs','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','danila','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','danila','x64');
 DeleteFile('C:\Users\danila\AppData\Roaming\utorrent\pro\nodeupdate.vbs','64');
 DeleteSchedulerTask('NodeUpdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

 

 

Новые логи после выполнения всего вышесказанного 

CollectionLog-2025.03.11-02.01.zip

Изменено 10 марта пользователем Ded_

[thyrex]

Не нужно полностью цитировать выдаваемыеВам рекомендации. Достаточно написать ответ в предназначенном для этого поле внизу страницы.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Ded_]

Addition.zip

[thyrex]

Archivator RAR, версия 2.2.19

удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-2121191803-1418937273-4244066062-1000\...\Run: [EpicGamesLauncher] => "C:\Program Files (x86)\Epic Games\Launcher\Portal\Binaries\Win64\EpicGamesLauncher.exe" -silent -launchcontext=boot (Нет файла)
HKU\S-1-5-21-2121191803-1418937273-4244066062-1000\...\Run: [GameCenter] => "C:\Users\danila\AppData\Local\GameCenter\GameCenter.exe" -autostart (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {DCA53D51-0D45-40A7-ACA3-B3C2F040A5E6} - System32\Tasks\EdgeUpdate => C:\WINDOWS\system32\cmd.exe [339968 2024-12-30] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable <==== ВНИМАНИЕ
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
Task: {C7F6751F-FF2B-4C5B-A099-69E2CEB5945F} - System32\Tasks\OneDrive Startup Task-S-1-5-21-2121191803-1418937273-4244066062-1000 => C:\Users\danila\AppData\Local\Microsoft\OneDrive\25.015.0126.0002\OneDriveLauncher.exe  /startInstances (Нет файла)
S3 NEProtect; \??\C:\Program Files (x86)\Steam\steamapps\common\Once Human\NEProtect.sys [X]
2025-02-13 16:53 - 2025-02-26 02:42 - 000000344 _____ () C:\Users\danila\node.dat
C:\Users\danila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HoYoPlay\Удалить HoYoPlay.lnk
C:\Users\danila\AppData\Local\Programs\Archivator RAR\Мир Кораблей.lnk
C:\Users\danila\AppData\Local\Programs\Archivator RAR\Мир Танков.lnk
AlternateDataStreams: C:\WINDOWS\Temp:A96ECA9E [48]
AlternateDataStreams: C:\WINDOWS\Temp:DeviceUUID [64]
FirewallRules: [{0B817E8B-643E-4AE5-9946-817141FF2333}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\WitchIt\WitchIt\Binaries\Win64\PropWitchHuntModule-Win64-Shipping.exe => Нет файла
FirewallRules: [{D2F10BE9-CBC3-41B1-AFA8-348872D3F036}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\WitchIt\WitchIt\Binaries\Win64\PropWitchHuntModule-Win64-Shipping.exe => Нет файла
FirewallRules: [{BBAE7529-B9A3-40B1-98EF-83D52E164EA8}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [{F38FA6E6-28C0-4A2C-9C45-D2BC7EE1AFA3}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [TCP Query User{9181FD1F-B564-49B2-9EBF-8D4AF4938836}C:\program files (x86)\steam\steamapps\common\poppy playtime - multiplayer\playtime_multiplayer\binaries\win64\playtime_multiplayer-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\poppy playtime - multiplayer\playtime_multiplayer\binaries\win64\playtime_multiplayer-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{FC474DBB-BC11-40FD-9365-0F7873E31732}C:\program files (x86)\steam\steamapps\common\poppy playtime - multiplayer\playtime_multiplayer\binaries\win64\playtime_multiplayer-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\poppy playtime - multiplayer\playtime_multiplayer\binaries\win64\playtime_multiplayer-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{E1B0210E-8514-4490-A943-8369343CBC1F}C:\games\dying light\dyinglightgame.exe] => (Allow) C:\games\dying light\dyinglightgame.exe => Нет файла
FirewallRules: [UDP Query User{5C56857C-252E-4BE0-BD1A-863207AF1C43}C:\games\dying light\dyinglightgame.exe] => (Allow) C:\games\dying light\dyinglightgame.exe => Нет файла
FirewallRules: [TCP Query User{51A06CA0-4A8F-4F67-9AF3-04AC84F3002A}C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe => Нет файла
FirewallRules: [UDP Query User{86AF2C9B-CF4B-4E6F-9229-C4907447B9AE}C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe => Нет файла
FirewallRules: [TCP Query User{56C3A4EE-85C2-4ECE-B917-1650EC4E6001}C:\programdata\ableton\live 11 suite\program\ableton live 11 suite.exe] => (Allow) C:\programdata\ableton\live 11 suite\program\ableton live 11 suite.exe => Нет файла
FirewallRules: [UDP Query User{6DD6D055-FC11-4F82-832B-718CF23A8B8B}C:\programdata\ableton\live 11 suite\program\ableton live 11 suite.exe] => (Allow) C:\programdata\ableton\live 11 suite\program\ableton live 11 suite.exe => Нет файла
FirewallRules: [TCP Query User{6E2E817E-34A4-4AD1-B4CD-3006DF314C56}C:\users\danila\appdata\local\gamecenter\gamecenter.exe] => (Allow) C:\users\danila\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [UDP Query User{CE7ED1C6-D323-4D50-BE5F-53797DC0A3D6}C:\users\danila\appdata\local\gamecenter\gamecenter.exe] => (Allow) C:\users\danila\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [TCP Query User{52798C9C-FE4F-48B8-9E23-16561611E4F5}C:\vk play\battle teams 2\client\hallclient.exe] => (Allow) C:\vk play\battle teams 2\client\hallclient.exe => Нет файла
FirewallRules: [UDP Query User{A96DF06F-A5ED-4AA7-A76A-996655A850A1}C:\vk play\battle teams 2\client\hallclient.exe] => (Allow) C:\vk play\battle teams 2\client\hallclient.exe => Нет файла
FirewallRules: [TCP Query User{833FA0C4-1F24-46B6-B8A3-0CA7A5DA6734}C:\program files (x86)\steam\steamapps\common\the first descendant\m1\binaries\win64\m1-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\the first descendant\m1\binaries\win64\m1-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{E7B62ABE-0329-40F1-A875-013EE43371C5}C:\program files (x86)\steam\steamapps\common\the first descendant\m1\binaries\win64\m1-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\the first descendant\m1\binaries\win64\m1-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{164B7F67-E9CC-44DE-B6B3-1F721163D43C}C:\games\sniper ghost warrior contracts 2\win_x64\sgwcontracts2.exe] => (Allow) C:\games\sniper ghost warrior contracts 2\win_x64\sgwcontracts2.exe => Нет файла
FirewallRules: [UDP Query User{DDD1F510-C60E-48E5-86A4-514D08E8D2E9}C:\games\sniper ghost warrior contracts 2\win_x64\sgwcontracts2.exe] => (Allow) C:\games\sniper ghost warrior contracts 2\win_x64\sgwcontracts2.exe => Нет файла
FirewallRules: [{B1FCC1DF-EA26-4068-A6D0-ACBB8F841D28}] => (Allow) C:\Users\danila\Desktop\DayZavr_Launcher\DayZavr DayZ.exe => Нет файла
FirewallRules: [{E3F1C490-A5AC-4EFF-8113-BDADD718095A}] => (Allow) C:\Users\danila\Desktop\DayZavr_Launcher\DayZavr DayZ.exe => Нет файла
FirewallRules: [TCP Query User{1C0179B3-2C7B-4CF8-88D0-C827EB3D30D5}C:\games\dayzavr\dayz_x64.exe] => (Allow) C:\games\dayzavr\dayz_x64.exe => Нет файла
FirewallRules: [UDP Query User{5B1381D1-D209-4E6A-B68C-21FA3638799F}C:\games\dayzavr\dayz_x64.exe] => (Allow) C:\games\dayzavr\dayz_x64.exe => Нет файла
FirewallRules: [{F2715CFB-3061-4EF8-B7B5-B470916AF271}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{61C54AE1-A3D5-412B-B2CD-CE0CC372C8A9}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{44577FD9-C8F1-435D-B88A-799742FF8A27}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{AB5F7366-4B21-4E5D-82EB-813763A95C16}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [{77B7C408-4E99-49DD-8E9C-9CE5343AC212}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{D7B226E8-5B3E-4670-A574-48FD07CBCEAC}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{3F87A8EF-ACA9-4F0A-8AE2-DF9A83A8FD91}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{3C8F7EDE-F170-4364-92E8-BC40F1E001FE}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [TCP Query User{B015017B-4343-48B7-9A83-9047560A2DA3}C:\program files (x86)\crysis 2.limited edition.v 1.9.0.0\bin32\crysis2.exe] => (Allow) C:\program files (x86)\crysis 2.limited edition.v 1.9.0.0\bin32\crysis2.exe => Нет файла
FirewallRules: [UDP Query User{7D9E164E-510A-4CDE-8163-893274FE414C}C:\program files (x86)\crysis 2.limited edition.v 1.9.0.0\bin32\crysis2.exe] => (Allow) C:\program files (x86)\crysis 2.limited edition.v 1.9.0.0\bin32\crysis2.exe => Нет файла
FirewallRules: [TCP Query User{CFA2298A-324C-4ED7-9D8C-141A80489A96}C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Нет файла
FirewallRules: [UDP Query User{EA56A4AE-A101-4CC0-B6DB-59FD9E8C386D}C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Ded_]

Fixlog.txt

[thyrex]

Проблема решена?

[Ded_]

Да.Cпасибо

 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.