[РЕШЕНО] NET:MALWARE.URL

[Nokvark]

Добрый день, обнаружил вирус MALWARE.URL через doctor web.

Не могу удалить, пробовал делать также, как описано в схожих с моей темами. CollectionLog-2025.05.05-09.21.zip

Прошу помочь. 

[Sandor]

Здравствуйте!

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

[Nokvark]

CollectionLog-2025.05.05-15.50.zip

Шаги выполнил. Файлы прикреплены. 

AV_block_remove_2025.05.05-15.43.log

[Sandor]

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - MountPoints2: HKCU\..\{c8845c32-da31-11ef-9e1c-a8a1595490de}\shell\AutoRun\command: (default) = E:\autorun.exe (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[Nokvark]

Шаги выполнены. Файлы прикрепил. Addition.txtFRST.txt

Изменено 5 мая пользователем Nokvark

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {6C92B3E7-FD5E-4CC0-843B-4B2DC958BBBC} - System32\Tasks\ASC_PerformanceMonitor => A:\Programs\Advanced SystemCare\Monitor.exe [5511176 2023-10-18] (IObit CO., LTD -> IObit) -> A:\Programs\Advanced SystemCare\\/Task
  Task: {D9B50BCB-FBFC-4142-A20D-DE6210D99D41} - System32\Tasks\ASC_SkipUac_Пермский Обком => A:\Programs\Advanced SystemCare\ASC.exe [10991112 2023-10-17] (IObit CO., LTD -> IObit) -> A:\Programs\Advanced SystemCare\\/SkipUac
  Task: {E03C5EFD-2105-49BA-934E-8930664B3F22} - System32\Tasks\IObit B5Sale (One-time) => "A:\Programs\Advanced SystemCare\Pub\b5saleml.exe"  -> A:\Programs\Advanced SystemCare\Pub\\/rpop
  C:\Users\Пермский Обком\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hfcdbkadiaikoniblgbhchoiphhoenhl
  R2 AdvancedSystemCareService17; A:\Programs\Advanced SystemCare\ASCService.exe [1266696 2023-09-20] (IObit CO., LTD -> IObit)
  S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
  S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
  R3 AscFileFilter; A:\Programs\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [47904 2023-07-13] (IObit CO., LTD -> IObit)
  R3 AscRegistryFilter; A:\Programs\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [46552 2023-07-13] (IObit CO., LTD -> IObit)
  R3 cpuz154; C:\Windows\temp\cpuz154\cpuz154_x64.sys [40976 2025-05-05] (Microsoft Windows Hardware Compatibility Publisher -> CPUID) <==== ВНИМАНИЕ
  S3 cpuz145; \??\C:\Windows\temp\cpuz145\cpuz145_x64.sys [X] <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Users\Пермский Обком\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Пермский Обком\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [TCP Query User{9A9DA715-B699-4A3D-89B3-209E24CE1907}C:\users\пермский обком\mediaget2\mediaget.exe] => (Allow) C:\users\пермский обком\mediaget2\mediaget.exe => Нет файла
  FirewallRules: [UDP Query User{5C521F01-7140-43ED-AFE6-D91A402192C1}C:\users\пермский обком\mediaget2\mediaget.exe] => (Allow) C:\users\пермский обком\mediaget2\mediaget.exe => Нет файла
  FirewallRules: [{819924D0-E52F-4754-9C6D-5FD3FE8F1895}] => (Block) C:\users\пермский обком\mediaget2\mediaget.exe => Нет файла
  FirewallRules: [{2BC59BE6-0E20-45FA-8C77-185448B087FD}] => (Block) C:\users\пермский обком\mediaget2\mediaget.exe => Нет файла
  FirewallRules: [TCP Query User{26F0F6C5-3E96-4985-80C3-24AC158D175F}C:\users\пермский обком\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\пермский обком\mediaget2\qtwebengineprocess.exe => Нет файла
  FirewallRules: [UDP Query User{4ED3FFE9-35AF-4020-9CD4-8EC8E8706DAC}C:\users\пермский обком\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\пермский обком\mediaget2\qtwebengineprocess.exe => Нет файла
  FirewallRules: [{A2D4ADD9-438E-493D-8416-B25BF6C58C4C}] => (Block) C:\users\пермский обком\mediaget2\qtwebengineprocess.exe => Нет файла
  FirewallRules: [{6A4C27F6-E8C8-4DEA-8957-C6E18A836982}] => (Block) C:\users\пермский обком\mediaget2\qtwebengineprocess.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Nokvark]

Шаг выполнен. Файл прикладываю. Fixlog.txt

[Sandor]

Сделайте ещё раз проверку CureIt, найдите его отчёт вида cureit.log и прикрепите к следующему сообщению. Если будет большого размера, упакуйте в архив.

[Nokvark]

Шаг выполнен, по прежнему находит NET:MALWARE.URL. Отчёт прикрепил. cureit.rar

 

 

cureit.rar

[Sandor]

Сбросьте настройки браузера Edge (можно и остальные браузеры) на значения по умолчанию. Удалите старый лог cureit и соберите новый.

[Nokvark]

Шаг выполнен, проблема осталась.cureit.rar

[Sandor]

Похоже старый лог вы не удалили, там вчерашние обнаружения.

 

Удалите прежние логи FRST.txt и Addition.txt и соберите новые.

[Nokvark]

Собрал новыеAddition.txtFRST.txt

[Sandor]

Деинсталлируйте нежелательное ПО:

Цитата

Client Helper 6.1.6

Кнопки сервисов Яндекса на панели задач

 

Если эти программы вам не известны или ими не пользуетесь, тоже удалите:

Цитата

Baldurs Gate 3

Freearc Repack [1.0]

 

 

Ещё такой скрипт выполните.

Отключите до перезагрузки антивирус.

• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  startbatch:
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
    netsh winsock reset catalog
    netsh int ipv4 reset reset.log
    netsh int ipv6 reset reset.log
    ipconfig /release
    ipconfig /renew
    ipconfig /flushdns
    ipconfig /registerdns
  endbatch:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Nokvark]

Выполнено. Файл прикрепляю. Fixlog.txt