Nokvark Опубликовано 5 мая Опубликовано 5 мая Добрый день, обнаружил вирус MALWARE.URL через doctor web. Не могу удалить, пробовал делать также, как описано в схожих с моей темами. CollectionLog-2025.05.05-09.21.zip Прошу помочь.
Sandor Опубликовано 5 мая Опубликовано 5 мая Здравствуйте! Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером.
Nokvark Опубликовано 5 мая Автор Опубликовано 5 мая CollectionLog-2025.05.05-15.50.zip Шаги выполнил. Файлы прикреплены. AV_block_remove_2025.05.05-15.43.log
Sandor Опубликовано 5 мая Опубликовано 5 мая "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): O4 - MountPoints2: HKCU\..\{c8845c32-da31-11ef-9e1c-a8a1595490de}\shell\AutoRun\command: (default) = E:\autorun.exe (file missing) O27 - Account: (Hidden) User 'John' is invisible on logon screen Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Nokvark Опубликовано 5 мая Автор Опубликовано 5 мая (изменено) Шаги выполнены. Файлы прикрепил. Addition.txtFRST.txt Изменено 5 мая пользователем Nokvark
Sandor Опубликовано 6 мая Опубликовано 6 мая Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: Task: {6C92B3E7-FD5E-4CC0-843B-4B2DC958BBBC} - System32\Tasks\ASC_PerformanceMonitor => A:\Programs\Advanced SystemCare\Monitor.exe [5511176 2023-10-18] (IObit CO., LTD -> IObit) -> A:\Programs\Advanced SystemCare\\/Task Task: {D9B50BCB-FBFC-4142-A20D-DE6210D99D41} - System32\Tasks\ASC_SkipUac_Пермский Обком => A:\Programs\Advanced SystemCare\ASC.exe [10991112 2023-10-17] (IObit CO., LTD -> IObit) -> A:\Programs\Advanced SystemCare\\/SkipUac Task: {E03C5EFD-2105-49BA-934E-8930664B3F22} - System32\Tasks\IObit B5Sale (One-time) => "A:\Programs\Advanced SystemCare\Pub\b5saleml.exe" -> A:\Programs\Advanced SystemCare\Pub\\/rpop C:\Users\Пермский Обком\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hfcdbkadiaikoniblgbhchoiphhoenhl R2 AdvancedSystemCareService17; A:\Programs\Advanced SystemCare\ASCService.exe [1266696 2023-09-20] (IObit CO., LTD -> IObit) S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] R3 AscFileFilter; A:\Programs\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [47904 2023-07-13] (IObit CO., LTD -> IObit) R3 AscRegistryFilter; A:\Programs\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [46552 2023-07-13] (IObit CO., LTD -> IObit) R3 cpuz154; C:\Windows\temp\cpuz154\cpuz154_x64.sys [40976 2025-05-05] (Microsoft Windows Hardware Compatibility Publisher -> CPUID) <==== ВНИМАНИЕ S3 cpuz145; \??\C:\Windows\temp\cpuz145\cpuz145_x64.sys [X] <==== ВНИМАНИЕ AlternateDataStreams: C:\Users\Пермский Обком\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Пермский Обком\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] FirewallRules: [TCP Query User{9A9DA715-B699-4A3D-89B3-209E24CE1907}C:\users\пермский обком\mediaget2\mediaget.exe] => (Allow) C:\users\пермский обком\mediaget2\mediaget.exe => Нет файла FirewallRules: [UDP Query User{5C521F01-7140-43ED-AFE6-D91A402192C1}C:\users\пермский обком\mediaget2\mediaget.exe] => (Allow) C:\users\пермский обком\mediaget2\mediaget.exe => Нет файла FirewallRules: [{819924D0-E52F-4754-9C6D-5FD3FE8F1895}] => (Block) C:\users\пермский обком\mediaget2\mediaget.exe => Нет файла FirewallRules: [{2BC59BE6-0E20-45FA-8C77-185448B087FD}] => (Block) C:\users\пермский обком\mediaget2\mediaget.exe => Нет файла FirewallRules: [TCP Query User{26F0F6C5-3E96-4985-80C3-24AC158D175F}C:\users\пермский обком\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\пермский обком\mediaget2\qtwebengineprocess.exe => Нет файла FirewallRules: [UDP Query User{4ED3FFE9-35AF-4020-9CD4-8EC8E8706DAC}C:\users\пермский обком\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\пермский обком\mediaget2\qtwebengineprocess.exe => Нет файла FirewallRules: [{A2D4ADD9-438E-493D-8416-B25BF6C58C4C}] => (Block) C:\users\пермский обком\mediaget2\qtwebengineprocess.exe => Нет файла FirewallRules: [{6A4C27F6-E8C8-4DEA-8957-C6E18A836982}] => (Block) C:\users\пермский обком\mediaget2\qtwebengineprocess.exe => Нет файла ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
Sandor Опубликовано 6 мая Опубликовано 6 мая Сделайте ещё раз проверку CureIt, найдите его отчёт вида cureit.log и прикрепите к следующему сообщению. Если будет большого размера, упакуйте в архив.
Nokvark Опубликовано 6 мая Автор Опубликовано 6 мая Шаг выполнен, по прежнему находит NET:MALWARE.URL. Отчёт прикрепил. cureit.rar cureit.rar
Sandor Опубликовано 6 мая Опубликовано 6 мая Сбросьте настройки браузера Edge (можно и остальные браузеры) на значения по умолчанию. Удалите старый лог cureit и соберите новый.
Sandor Опубликовано 6 мая Опубликовано 6 мая Похоже старый лог вы не удалили, там вчерашние обнаружения. Удалите прежние логи FRST.txt и Addition.txt и соберите новые.
Sandor Опубликовано 6 мая Опубликовано 6 мая Деинсталлируйте нежелательное ПО: Цитата Client Helper 6.1.6 Кнопки сервисов Яндекса на панели задач Если эти программы вам не известны или ими не пользуетесь, тоже удалите: Цитата Baldurs Gate 3 Freearc Repack [1.0] Ещё такой скрипт выполните. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: startbatch: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" netsh winsock reset catalog netsh int ipv4 reset reset.log netsh int ipv6 reset reset.log ipconfig /release ipconfig /renew ipconfig /flushdns ipconfig /registerdns endbatch: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
Автор Smorodina
Рекомендуемые сообщения