поймал NET.MALWARE.URL

**Stalker69** · 20.06.2024, 15:22

Приветствую.
При проверке Dr.WEB Cureit обнаружен NET.MALWARE.URL. Попытки вылечить не увенчались успехом.
Прошу помощи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.06.2024, 15:23

Уважаемый(ая) Stalker69, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 20.06.2024, 16:26

Покажите лог Dr.WEB Cureit, упакуйте его в архив .RAR с максимальным сжатием, если не влезет во вложения, выложите в доступное облачное хранилище или на файлообменник и дайте ссылку в теме.

**Stalker69** · 20.06.2024, 17:43

Лог на этапе сканирования около 20%
Сканирование продолжаю.
Полный лог нужен будет?

**Vvvyg** · 20.06.2024, 17:48

Да, нужно было дождаться окончания проверки.

**Stalker69** · 20.06.2024, 18:00

Результаты полного сканирования с настройками по умолчанию: https://disk.yandex.ru/d/vS46PbNsX94aqQ

**Vvvyg** · 20.06.2024, 19:43

Сделайте ещё такие логи.

Лог Malwarebytes AdwCleaner.

Сделайте проверку с помощью KVRT. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.

**Stalker69** · 20.06.2024, 20:31

Сделано.

**Vvvyg** · 20.06.2024, 21:12

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Stalker69** · 20.06.2024, 21:32

Готово.

**Vvvyg** · 21.06.2024, 07:46

Примите к сведению: после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
HKU\S-1-5-21-1210777432-1536452442-3893984472-1003\...\Run: [YandexBrowserAutoLaunch_B95A922DE4321A6CC86E4D6ACEFE5297] => "C:\Users\Stalker\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Edge HKU\S-1-5-21-1210777432-1536452442-3893984472-1003\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [kagpabjoboikccfdghpdlaaopmgpgfdc]
FF Plugin-x32: @EDVR/WebClient -> C:\windows\system32\WebClient\npwebclient.dll [Нет файла]
FF Plugin-x32: Web Components -> C:\Program Files (x86)\Web Components\npWebVideoPlugin.dll [Нет файла]
CHR HKU\S-1-5-21-1210777432-1536452442-3893984472-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKU\S-1-5-21-1210777432-1536452442-3893984472-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ljglajjnnkapghbckkcmodicjhacbfhk]
HKU\S-1-5-21-1210777432-1536452442-3893984472-1003\...\MountPoints2: {9a05c818-5b72-11ee-9fff-001e8c2d8529} - "G:\SETUP.EXE" 
CustomCLSID: HKU\S-1-5-21-1210777432-1536452442-3893984472-1003_Classes\CLSID\{c4fb616e-7731-4afc-b274-99ad1e547c9a}\InprocServer32 -> C:\Program Files\Mozilla Thunderbird\notificationserver.dll => Нет файла
FirewallRules: [{EF4DFC8B-767A-49D7-8051-9C7E225D8FDE}] => (Allow) C:\Program Files (x86)\WireVpnPc\WireVpnPc\Wirevpn.exe => Нет файла
FirewallRules: [{A484A29D-4D37-438B-816D-C4A7E313200F}] => (Allow) C:\Program Files (x86)\WireVpnPc\WireVpnPc\Wirevpn.exe => Нет файла
FirewallRules: [{38F3CA8E-77DE-41BD-ACD9-04290D5525B0}] => (Allow) C:\Program Files (x86)\WireVpnPc\WireVpnPc\wrvPlay.exe => Нет файла
FirewallRules: [{59DE35DC-1102-49A2-A5AC-88F2A92FC0F4}] => (Allow) C:\Program Files (x86)\WireVpnPc\WireVpnPc\wrvPlay.exe => Нет файла
FirewallRules: [{284270D2-5C1B-4BA4-B596-4A02A71EA272}] => (Allow) C:\Program Files (x86)\WireVpnPc\WireVpnPc\wrvSavi.exe => Нет файла
FirewallRules: [{106F282B-1AFF-4D51-B074-F5DFDA8DEFAE}] => (Allow) C:\Program Files (x86)\WireVpnPc\WireVpnPc\wrvSavi.exe => Нет файла
FirewallRules: [{4BC20E77-B1D7-4F68-9DCB-5F7F4ABBA57D}] => (Allow) C:\Program Files (x86)\WireVpnPc\WireVpnPc\crashreport.exe => Нет файла
FirewallRules: [{2D5E3A08-16B2-45CB-AA20-F90A4169E189}] => (Allow) C:\Program Files (x86)\WireVpnPc\WireVpnPc\crashreport.exe => Нет файла
StartBatch:
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR с максимальным сжатием и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

Для понимания: никаких вирусов в системе нет. Dr.WEB Cureit реагирует на соединения с адресами, которые в его базе нехороших.

**Stalker69** · 21.06.2024, 08:54

Всё сделал.
Огромное спасибо за консультацию!
WBR,
Stalker.

**Vvvyg** · 21.06.2024, 09:57

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Stalker69** · 21.06.2024, 10:47

Выполнено.

**Vvvyg** · 21.06.2024, 12:50

Yandex v.24.6.0.1874 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Microsoft Edge v.126.0.2592.61 [+]
Mozilla Firefox 49.0.1 (x86 ru) v.49.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Обновите Браузеры, в остальном порядок. Хотя, Firefx не обновляете, наверное, не просто так )

На этом закончим.

**Stalker69** · 21.06.2024, 12:56

Благодарю!

поймал NET.MALWARE.URL (заявка № 228615)

Опции темы