Решена Вирус-net.malware.url.

  • Автор темы Автор темы sozin
  • Дата начала Дата начала

Переводчик Google

Статус
В этой теме нельзя размещать новые ответы.

sozin

Новый пользователь
Сообщения
7
Реакции
0
Здравствуйте, проверил через dr.web cureit пк и он нашел вот такую проблему net.malware.url , исправить ее почему-то он не смог. Помогите пожалуйста, что можно сделать?
 
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Код:
begin
 QuarantineFile('C:\Users\sozin\AppData\Local\Programs\5c31ba77a5cbc6\d804760f78.msi', '');
 QuarantineFile('C:\Users\sozin\AppData\Local\ProtectBrowser\ProtectBrowser.exe', '');
 QuarantineFile('C:\Users\sozin\AppData\Roaming\toc\SHIh.exe', '');
 DeleteFile('C:\ProgramData\rescue-slap\bin.exe', '64');
 DeleteFile('C:\Users\sozin\AppData\Roaming\toc\SHIh.exe', '32');
 DeleteFile('C:\Users\sozin\AppData\Roaming\toc\SHIh.exe', '64');
 DeleteFile('C:\Users\sozin\AppData\Local\ProtectBrowser\ProtectBrowser.exe', '64');
 DeleteFile('C:\Users\sozin\AppData\Local\Programs\5c31ba77a5cbc6\d804760f78.msi', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'toc', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'toc', 'x64');
 DeleteSchedulerTask('ProtectBrowser');
 DeleteSchedulerTask('twitter-spot-S-1-5-21-892142018-3792318870-981622936-1001');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Полученный архив quarantine.7z из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!

Пофиксите в HJT
(некоторые строки могут отсутствовать):


Код:
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe

Подготовьте новый CollectionLog Автологгером по правилам.

Вижу, уже скачали и запустили FRST - логи пока удаляйте. Всему свое время.
 
  • Like
Реакции: akok
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.

  • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
  • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
  • Нажмите кнопку Scan (Сканировать).
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
 
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код:
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\sozin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\leifkeoalnhcknnnejjddjppnolfieoi
CHR HKU\S-1-5-21-892142018-3792318870-981622936-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKU\S-1-5-21-892142018-3792318870-981622936-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mphjjnefganljfihdjpbenbflokgjlcm]
S3 HWiNFO_190; \??\C:\Users\sozin\AppData\Local\Temp\HWiNFO64A_190.SYS [X] <==== ВНИМАНИЕ
2024-12-19 23:05 - 2024-12-19 23:05 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-12-19 23:05 - 2024-12-19 23:05 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-12-19 23:05 - 2024-12-19 23:05 - 000000000 _RSHD C:\ProgramData\Setup
2024-12-19 23:05 - 2024-12-19 23:05 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-12-19 23:05 - 2024-12-19 23:05 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-12-19 23:05 - 2024-12-19 23:05 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-12-19 23:05 - 2024-12-19 23:05 - 000000000 _RSHD C:\Program Files (x86)\360
2024-11-20 12:44 - 2024-11-20 12:44 - 000000553 _____ C:\Users\sozin\OneDrive\Рабочий стол\scientific-notion.lnk
2024-11-20 12:44 - 2024-11-20 12:44 - 000000000 ____D C:\ProgramData\rvHFdbpfjrNllBd
2024-11-20 12:44 - 2024-11-20 12:44 - 000000000 ____D C:\ProgramData\playerFolder
2024-11-20 12:44 - 2024-11-20 12:44 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\realm-victim
2024-12-19 23:05 C:\Program Files\RDP Wrapper
2024-12-19 23:05 C:\Program Files (x86)\360
2024-12-19 23:05 C:\ProgramData\RDP Wrapper
2024-12-19 23:05 C:\ProgramData\ReaItekHD
2024-12-19 23:05 C:\ProgramData\Setup
2024-12-19 23:05 C:\ProgramData\Windows Tasks Service
2024-12-19 23:05 C:\ProgramData\WindowsTask
Badge Visual Filter 1.4.1.393 (HKLM-x32\...\{5068645e-21af-4e3d-b98a-4380f901b2c0}) (Version: 1.4.1.393 - Benedetti-Serra SPA s.r.l.) Hidden
PaleVioletRed plastic 2.0.8.446 (HKLM-x32\...\{0da31e36-bb6d-49bf-b73b-ad3a548285e8}) (Version: 2.0.8.446 - Bianchi, Mancini e Battaglia s.r.l. s.r.l.) Hidden
Twitter Spot 1.0.0.0 (HKU\S-1-5-21-892142018-3792318870-981622936-1001\...\{3abe8961-040a-4c26-b85e-363862b6868a}) (Version: 1.0.0.0 - Twitter Spot) Hidden
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [5170]
AlternateDataStreams: C:\ProgramData\vxnylktj.vfa:B3448A612E [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2023.lnk:4A503CCB3B [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dropbox Redeem Launcher.lnk:5F7248A1A5 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rainmeter.lnk:1219A9EFD8 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stardock Start11 2.0.3.0.lnk:9B614BA5BE [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TwitchLink.lnk:E52152A41C [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Видео редактор VideoPad.lnk:83C5BBA848 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Программы NCH.lnk:3405377EE3 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Программы NCH.lnk:61193AA8A9 [5170]
AlternateDataStreams: C:\Users\sozin\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sozin\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.


Деинсталлируйте следующие программы:

Badge Visual Filter
HighStone
PaleVioletRed plastic
scientific-notion
toc
Twitter Spot
WindowsWord

Если не удаляются стандартным способом, используйте Geek Uninstaller (в том числе "Принудительным удалением" по правой кнопке мыши в списке установленных программ).
 
  • Like
Реакции: akok
вот, программы удалил
 

Вложения

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код:
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\TemporaryPaths|\\?\D:\AutoLogger\AV\Quarantine\2025-01-15\avz00002.dta
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\Users\sozin\AppData\Local\Browserupdphenix"
Remove-MpPreference -ExclusionPath "C:\Users\sozin\AppData\Local\ProtectBrowser"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
C:\Users\sozin\AppData\Local\Browserupdphenix
C:\Users\sozin\AppData\Local\ProtectBrowser
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу