Перейти к содержанию
Правила раздела

[РЕШЕНО] NET:MALWARE.URL

Nokvark

Автор Nokvark
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Nokvark

Nokvark

Опубликовано
Опубликовано

Добрый день, обнаружил вирус MALWARE.URL через doctor web.

Не могу удалить, пробовал делать также, как описано в схожих с моей темами. CollectionLog-2025.05.05-09.21.zip

Прошу помочь. 

image.thumb.png.1f3e700cb1c12dd8ef59feedf15222a3.png

image.thumb.png.a9099d8f25ec76bfa2aa20fc8466534b.png

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Sandor

Sandor

Опубликовано
Опубликовано

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O4 - MountPoints2: HKCU\..\{c8845c32-da31-11ef-9e1c-a8a1595490de}\shell\AutoRun\command: (default) = E:\autorun.exe (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Nokvark

Nokvark

Опубликовано
  • Автор
Опубликовано (изменено)

Шаги выполнены. Файлы прикрепил. Addition.txtFRST.txt

Изменено пользователем Nokvark
Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Task: {6C92B3E7-FD5E-4CC0-843B-4B2DC958BBBC} - System32\Tasks\ASC_PerformanceMonitor => A:\Programs\Advanced SystemCare\Monitor.exe [5511176 2023-10-18] (IObit CO., LTD -> IObit) -> A:\Programs\Advanced SystemCare\\/Task
Task: {D9B50BCB-FBFC-4142-A20D-DE6210D99D41} - System32\Tasks\ASC_SkipUac_Пермский Обком => A:\Programs\Advanced SystemCare\ASC.exe [10991112 2023-10-17] (IObit CO., LTD -> IObit) -> A:\Programs\Advanced SystemCare\\/SkipUac
Task: {E03C5EFD-2105-49BA-934E-8930664B3F22} - System32\Tasks\IObit B5Sale (One-time) => "A:\Programs\Advanced SystemCare\Pub\b5saleml.exe"  -> A:\Programs\Advanced SystemCare\Pub\\/rpop
C:\Users\Пермский Обком\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hfcdbkadiaikoniblgbhchoiphhoenhl
R2 AdvancedSystemCareService17; A:\Programs\Advanced SystemCare\ASCService.exe [1266696 2023-09-20] (IObit CO., LTD -> IObit)
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
R3 AscFileFilter; A:\Programs\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [47904 2023-07-13] (IObit CO., LTD -> IObit)
R3 AscRegistryFilter; A:\Programs\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [46552 2023-07-13] (IObit CO., LTD -> IObit)
R3 cpuz154; C:\Windows\temp\cpuz154\cpuz154_x64.sys [40976 2025-05-05] (Microsoft Windows Hardware Compatibility Publisher -> CPUID) <==== ВНИМАНИЕ
S3 cpuz145; \??\C:\Windows\temp\cpuz145\cpuz145_x64.sys [X] <==== ВНИМАНИЕ
AlternateDataStreams: C:\Users\Пермский Обком\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Пермский Обком\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [TCP Query User{9A9DA715-B699-4A3D-89B3-209E24CE1907}C:\users\пермский обком\mediaget2\mediaget.exe] => (Allow) C:\users\пермский обком\mediaget2\mediaget.exe => Нет файла
FirewallRules: [UDP Query User{5C521F01-7140-43ED-AFE6-D91A402192C1}C:\users\пермский обком\mediaget2\mediaget.exe] => (Allow) C:\users\пермский обком\mediaget2\mediaget.exe => Нет файла
FirewallRules: [{819924D0-E52F-4754-9C6D-5FD3FE8F1895}] => (Block) C:\users\пермский обком\mediaget2\mediaget.exe => Нет файла
FirewallRules: [{2BC59BE6-0E20-45FA-8C77-185448B087FD}] => (Block) C:\users\пермский обком\mediaget2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{26F0F6C5-3E96-4985-80C3-24AC158D175F}C:\users\пермский обком\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\пермский обком\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [UDP Query User{4ED3FFE9-35AF-4020-9CD4-8EC8E8706DAC}C:\users\пермский обком\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\пермский обком\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [{A2D4ADD9-438E-493D-8416-B25BF6C58C4C}] => (Block) C:\users\пермский обком\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [{6A4C27F6-E8C8-4DEA-8957-C6E18A836982}] => (Block) C:\users\пермский обком\mediaget2\qtwebengineprocess.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Сделайте ещё раз проверку CureIt, найдите его отчёт вида cureit.log и прикрепите к следующему сообщению. Если будет большого размера, упакуйте в архив.

Sandor

Sandor

Опубликовано
Опубликовано

Похоже старый лог вы не удалили, там вчерашние обнаружения.

 

Удалите прежние логи FRST.txt и Addition.txt и соберите новые.

Sandor

Sandor

Опубликовано
Опубликовано

Деинсталлируйте нежелательное ПО:

Цитата

Client Helper 6.1.6

Кнопки сервисов Яндекса на панели задач

 

Если эти программы вам не известны или ими не пользуетесь, тоже удалите:

Цитата

Baldurs Gate 3

Freearc Repack [1.0]

 

 

Ещё такой скрипт выполните.

Отключите до перезагрузки антивирус.

  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
startbatch:
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  netsh winsock reset catalog
  netsh int ipv4 reset reset.log
  netsh int ipv6 reset reset.log
  ipconfig /release
  ipconfig /renew
  ipconfig /flushdns
  ipconfig /registerdns
endbatch:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Nabludatel
      [РЕШЕНО] NET:MALWARE.URL Вирус
      Автор Nabludatel
      Здравствуйте, нашел через Dr.Web Cureit вирус который невозможно вылечить. 
      Все логи прилагаю.
      Addition.txt FRST.txt cureit.zip
    • neewdead
      хочу удалить NET:MALWARE.URL
      Автор neewdead
    • Quester1337
      [РЕШЕНО] Dr.Web CureIT нашел вирус NET:MALWARE.URL
      Автор Quester1337
      Во время скачивания файлов из сторонних ресурсов, я провел сканирование др.вебом и он обнаружил вот такую проблему, повторное сканирование в таких же условиях ничего не обнаружили. Логи прикрепляю.

      CollectionLog-2025.05.01-13.34.zip
    • Yann
      [РЕШЕНО] Проблема не решилась.
      Автор Yann
      И снова здраствуйте.
      Недавно обращался по поводу вируса который пережил снос винды и форматирование, казалось что проблема была решена, но как оказалось не полностью.
      Сегодня при скачке экзешника мод менеджера с официального сайта снова был детект антивирусом, тоже самое что было при скачивании экзешника браузера из прошлой темы.
      Пробовал скачивать с других устройств, по той же ссылке и проблем не возникало, другие люди по моей просьбе повторяли это действие и тоже без проблем, так что это очевидно не проблема ресурса с которого скачивалось.
      Такое ощущение что он пытается подделывать здоровые исполнительные файлы на лету, как только они попадают на пк.
      Ради интереса сделал несколько попыток скачать надеясь увидеть в журнале карантина что нибудь полезное.
      Судя по всему маскируется под временные файлы системы, доктор веб определяет его как trojan.siggen31.50695, при этом ни CureIt ни KVRT ничего не находят при скане.
      С системой пока что никаких проблем нету, не излишних нагрузок, не просадок стабильности, но очевидно что там что то осталось.
      Прошу помощи добить эту заразу!
      Прикладываю новые логи и скрин из журнала карантина:
       
      CollectionLog-2025.08.26-18.15.zip
    • Suga
      [РЕШЕНО] NET:MALWARE.URL найден процесс, но не удален
      Автор Suga
      Решил проверить компьютер на вирусы тк какой-то процесс после запуска игр нагружал видеокарту в 100-90%. В диспетчере задач нагружал "хост окна консоли", теперь пропадает после запуска диспетчера. Как удалить "NET:MALWARE.URL"?

×
×
  • Создать...