Решена Curelt обнаружил NET:MALWARE.URL, но при обезвреживании выдаёт ошибку

[Cova_335]

вот логи

 

[akok]

Удаленная машина? Если да, то нужны логи с нее.
185.106.94.116-4444

Тема 'Правила оформления запроса о помощи'

13 Окт 2008

FAQ

Как оформить запрос о помощи в разделе лечения?

Внимание!

Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя.
Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как это может навредить Вашей операционной системе.
Не принимайте и игнорируйте во время лечения любые рекомендации, полученные вне раздела лечения, а также в личных сообщениях. Если же вы получили такое предложение, отправьте жалобу на это...

• akok
• Ответы: 0
• Форум: Помощь в удалении вредоносного ПО

• 

 

[Cova_335]

не удаленная

 

[akok]

Тогда с нужны логи с этого пк.

 

[Cova_335]

с помощью какой проги их получить можно?

 

[Sandor]

Сообщение №2 этой темы смотрите. Правила оформления запроса о помощи

 

[Cova_335]

что из этого скидывать?

 

[Vvvyg]

• По окончанию работы в папке AutoLogger, расположенной там же, куда распаковали архив, вы найдёте новый архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm. Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2017.10.30-22.15
• Прикрепите его к Вашему сообщению

Всё ясно написано в правилах.

 

[Cova_335]

вот

 

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\SteamUpdate\SteamUpdate.exe', '');
 DeleteSchedulerTask('Dr.WebBaseUpdater');
 DeleteSchedulerTask('ICTorrent2UpdaterV1_t1725377064175');
 DeleteSchedulerTask('ICTorrent2UpdaterV2_t1725377066290');
 DeleteFile('C:\Program Files\SteamUpdate\SteamUpdate.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Cova_335]

quarantine.7z кинул на почту

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3431210255-1286231748-3970927158-1001\...\Run: [qBittorrentPro] => "C:\Program Files\qBittorrentPro\qBittorrentPro.exe" (Нет файла)
  Task: {335B0312-23E6-4399-9654-8C092966D74A} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-16] (Microsoft Windows -> Microsoft Corporation) -> "function Local:NMSaLEMOqDPo{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$AksSmBQiaQdPeX,[Parameter(Position=1)][Type]$aXsFtkTxkV)$UdNGYnWVmwT=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+'e'+[Char](102)+''+[Char](108)+''+[Char](101) (запись имеет ещё 5059 символов). <==== ВНИМАНИЕ
  Task: {38974F8C-8264-4624-BD21-EBED97EA8201} - System32\Tasks\qBittorrentProUpdaterV5_t1725377059975 => "C:\Program Files\qBittorrentPro\qBittorrentPro.exe"  /LHS (Нет файла)
  Task: {2B2F4D50-2740-4057-8226-D5D03159869F} - System32\Tasks\qBittorrentProUpdaterV6_t1725377062086 => "C:\Program Files\qBittorrentPro\qBittorrentPro.exe"  /LHS (Нет файла)
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
  AlternateDataStreams: C:\Users\Teacher\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Teacher\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Teacher\AppData\Local\Temp:$DATA [16]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Дополнительно, пожалуйста:
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

[Cova_335]

вот

 

[Sandor]

Ещё раз, пожалуйста, соберите новые логи FRST.txt и Addition.txt

 

[Cova_335]

вот

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  S3 bits; C:\WINDOWS\System32\svchost.exe [57528 2024-04-24] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 bits; C:\WINDOWS\SysWOW64\svchost.exe [47040 2024-04-24] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-04-24] (Microsoft Windows -> Microsoft Corporation)
  S3 dosvc; C:\WINDOWS\System32\svchost.exe [57528 2024-04-24] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 dosvc; C:\WINDOWS\SysWOW64\svchost.exe [47040 2024-04-24] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1533952 2024-07-28] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc; C:\WINDOWS\system32\svchost.exe [57528 2024-04-24] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 UsoSvc; C:\WINDOWS\SysWOW64\svchost.exe [47040 2024-04-24] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [573952 2024-09-01] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv; C:\WINDOWS\system32\svchost.exe [57528 2024-04-24] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [47040 2024-04-24] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3431936 2024-07-28] (Microsoft Windows -> Microsoft Corporation)
  StartPowerShell:
  Remove-MpPreference -ExclusionExtension ".exe"
  Remove-MpPreference -ExclusionPath "C:\Users\Teacher"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Далее:
Скачайте вложенный архив, извлеките из него четыре reg-файла и последовательно запустите каждый. Соглашайтесь с внесением изменений в реестр.
Перезагрузите компьютер ещё раз и соберите новый файл FSS.txt

 

[Cova_335]

вот

 

[Sandor]

извлеките из него четыре reg-файла и последовательно запустите каждый

Все четыре запуска прошли успешно или были ошибки?

 

[Cova_335]

всё успешно

 

[Sandor]

Ещё один скрипт выполните, пожалуйста:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Скрипт может выполняться длительное время (до получаса), дождитесь окончания.