Решена Вирус net.malware.url.

[Nestorfield]

Здравствуйте, проверил через dr.web cureit пк и он нашел вот такую проблему net.malware.url , исправить ее почему-то он не смог. Помогите пожалуйста, что можно сделать?

 

[Sandor]

Здравствуйте!

Прочтите и выполните Правила оформления запроса о помощи
Результат проверки cureit.log тоже прикрепите (можно в архиве, если большой).

 

[Nestorfield]

Dr.web cureit не может удалить, пожалуйста помогите.

 

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Nestorfield]

Отчет.

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

Затем:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Winsock: Catalog5 08 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [122128 2015-08-12] (Apple Inc. -> Apple Inc.)
  Winsock: Catalog5-x64 08 C:\Program Files\Bonjour\mdnsNSP.dll [133392 2015-08-12] (Apple Inc. -> Apple Inc.)
  CHR StartupUrls: Default -> "hxxp://youtube.com/","hxxps://www.google.com/","hxxps://www.google.com/"
  S3 HWiNFO_180; \??\C:\Users\snier\AppData\Local\Temp\HWiNFO64A_180.SYS [X] <==== ATTENTION
  S3 HWiNFO_187; \??\C:\Users\snier\AppData\Local\Temp\HWiNFO64A_187.SYS [X] <==== ATTENTION
  S3 HWiNFO_190; \??\C:\Users\snier\AppData\Local\Temp\HWiNFO64A_190.SYS [X] <==== ATTENTION
  AlternateDataStreams: C:\ProgramData:err [1382]
  AlternateDataStreams: C:\Users\All Users:err [1382]
  AlternateDataStreams: C:\ProgramData\Application Data:err [1382]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7036]
  AlternateDataStreams: C:\Users\snier\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\snier\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\snier\AppData\Local\Temp:$DATA [16]
  startbatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
  del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\5xypkl04.default\cache2\*.*"
  del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\5xypkl04.default-release-1704197179289\cache2\*.*"
  endbatch:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Nestorfield]

Не понял, что мне делать со скопированным кодом? И у меня нет в списке программ Bonjour.

 

[Sandor]

что мне делать со скопированным кодом?

По инструкции:

Выделите следующий код:

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите.

Скрипт будет выполнен из буфера обмена.

 

[Nestorfield]

Пожалуйста.

 

[Sandor]

Хорошо. Сделайте ещё раз проверку CureIt и, если будет обнаружение, новый его лог прикрепите.

 

[Nestorfield]

Приветствую, вирус удалил, спасибо, но на рабочем столе периодически появляется папка autologger. Я ее удаляю, но иногда она вновь появляется, как ее удалить?

 

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger : string;
begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-3));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now) +#13#10+ PathAutoLogger);
  if RegKeyExists('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps', 'x64') then
     begin 
       AddToLog('LocalDumps - exists.');
       if not RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps', 'x64')
          then AddToLog('Failed to delete LocalDumps')
     end
  else AddToLog('LocalDumps key missing.');
  if RegKeyParamExists('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting', 'DontShowUI', 'x64') then
     begin 
       AddToLog('DontShowUI - exists.');
       if not RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting', 'DontShowUI', 'x64')
          then AddToLog('Failed to delete DontShowUI');
     end
  else AddToLog('DontShowUI parameter missing.');
  SaveLog(PathAutoLogger+'report.log');
end.

Полученный в результате файл Autologgerreport.log прикрепите.

 

[Nestorfield]

А где должен появиться файл?

 

[Nestorfield]

Этот файл?

 

[Nestorfield]

После использования avz, стала появляться пака Autologger на рабочем столе. Как от нее избавиться? Удалял, но она снова появляется.

 

[akok]

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  var PathAutoLogger : string;
begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-3));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now) +#13#10+ PathAutoLogger);
  if RegKeyExists('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps', 'x64') then
     begin
       AddToLog('LocalDumps - exists.');
       if not RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps', 'x64')
          then AddToLog('Failed to delete LocalDumps')
     end
  else AddToLog('LocalDumps key missing.');
  if RegKeyParamExists('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting', 'DontShowUI', 'x64') then
     begin
       AddToLog('DontShowUI - exists.');
       if not RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting', 'DontShowUI', 'x64')
          then AddToLog('Failed to delete DontShowUI');
     end
  else AddToLog('DontShowUI parameter missing.');
  SaveLog(PathAutoLogger+'report.log');
end.

После удаляйте папку с автологером и перезапускайте систему.

 

[Nestorfield]

Файл не нужен вам?

 

[akok]

Уже посмотрел в основной теме. Судя по логу, папка с дампами не должна создаваться.

 

[Nestorfield]

Уже посмотрел в основной теме. Судя по логу, папка с дампами не должна создаваться.

Однако она создается рандомно, сделал что вы рекомендовали по скрипту и пк ребутнул, все должно быть теперь ок? Например запустил лончер ведьмака 3 и создалась папка эта с crashdump внутри.

 

[akok]

Поиск в реестре при помощи Farbar Recovery Scan Tool

Скачайте (если вы не сделали этого раньше) Farbar Recovery Scan Tool и сохраните на Рабочем столе. Запустите FRST и в поле Поиск введите запрос, который предоставил консультант и нажмите на кнопку Поиск в Реестре Начнется процесс поиска в результате которого будет создан в файл SearchReg.txt...

www.safezone.cc

По ключу
autologger