вирус NET:MALWARE.URL

**preussen** · 07.10.2024, 16:21

Программой dr.web curelt обнаружен вирус NET:MALWARE.URL, который нет возможности вылечить
лог https://disk.yandex.by/d/HvPRkxOHCQCHbw
Прилагаю результаты сканирования FRST64

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 07.10.2024, 16:22

Уважаемый(ая) preussen, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 07.10.2024, 17:32

На этом форуме принято начинать с логов Autologger, ссылка на правила в сообщении Info_bot и в закреплённой теме раздела.

**preussen** · 08.10.2024, 21:01

Лог AutoLogger

**Vvvyg** · 09.10.2024, 22:26

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\EKBJiUpxU\JEklMX.dll', '64');
 DeleteFile('C:\Program Files (x86)\PFBRiYtCmXTU2\bJvEokrlfMvXP.dll', '64');
 DeleteFile('C:\Program Files (x86)\uGkirLBEYnjsC\XXqqbkr.dll', '64');
 DeleteFile('C:\Program Files (x86)\unvxtTuMCuRGakfeDbR\yOcRNNi.dll', '64');
 DeleteFile('C:\Users\37529\AppData\Local\Programs\c0a053\5cb44314e6.msi', '64');
 DeleteFileMask('c:\program files (x86)\ekbjiupxu', '*', false);
 DeleteFileMask('c:\program files (x86)\pfbriytcmxtu2', '*', false);
 DeleteFileMask('c:\program files (x86)\ugkirlbeynjsc', '*', false);
 DeleteFileMask('c:\program files (x86)\unvxttumcurgakfedbr', '*', false);
 DeleteFileMask('c:\users\37529\appdata\local\programs\c0a053', '*', true);
  DeleteDirectory('c:\program files (x86)\ekbjiupxu');
 DeleteDirectory('c:\program files (x86)\pfbriytcmxtu2');
 DeleteDirectory('c:\program files (x86)\ugkirlbeynjsc');
 DeleteDirectory('c:\program files (x86)\unvxttumcurgakfedbr');
 DeleteDirectory('c:\users\37529\appdata\local\programs\c0a053');
 DeleteSchedulerTask('aefbhTcGNMbEKxpdm2');
 DeleteSchedulerTask('DnhhHFqSHaxXfFuAMCT2');
 DeleteSchedulerTask('koJmAgZqHuorKXe2');
 DeleteSchedulerTask('qHRqiTxLAKMWMX');
 DeleteSchedulerTask('zuperly-web-S-1-5-21-3248463818-114438837-3854692898-1001');
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D0B56AFA-704B-4E2A-9A54-63DB2C11828A} - \oQBAIYCFmeBwu2 (no xml)
O22 - Task (.job): (Not scheduled) Обновление Браузера Яндекс.job - C:\Users\37529\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

И только теперь, для контроля и окончательной зачистки, нужен будет новый лог FRST.

**preussen** · 09.10.2024, 22:57

Готово, все по инструкциям

**Vvvyg** · 10.10.2024, 06:37

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms}
Edge DefaultSearchKeyword: Default -> x-finder.pro
Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
C:\Users\37529\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
Edge HKU\S-1-5-21-3248463818-114438837-3854692898-1001\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [jcpgbnbdnakoblgfkbgggankeidkfcdl]
Edge HKLM-x32\...\Edge\Extension: [jcpgbnbdnakoblgfkbgggankeidkfcdl]
CHR HKU\S-1-5-21-3248463818-114438837-3854692898-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKU\S-1-5-21-3248463818-114438837-3854692898-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lkkdemaneadfkpohljjfcleljejhbogb]
2024-10-06 12:23 - 2024-10-06 12:23 - 000000000 __SHD C:\ProgramData\AudioVortex-f3975577-8e62-410b-97aa-ac38652d29db
2024-10-06 01:07 - 2024-10-06 01:07 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-10-06 01:07 - 2024-10-06 01:07 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-10-06 01:07 - 2024-10-06 01:07 - 000000000 _RSHD C:\ProgramData\Setup
2024-10-06 01:07 - 2024-10-06 01:07 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-10-06 01:07 - 2024-10-06 01:07 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-10-06 01:07 - 2024-10-06 01:07 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-07-07 13:42 C:\Program Files\ReasonLabs
2024-07-07 13:42 C:\Program Files (x86)\Wise
2024-08-21 00:21 - 2024-08-21 00:21 - 000000000 _____ C:\ProgramData\1.txt
2024-08-21 00:20 - 2024-08-21 00:29 - 000000000 ____D C:\ProgramData\project-pressure
2024-08-21 00:20 - 2024-08-21 00:20 - 000000000 ____D C:\ProgramData\tlpfLpHDPlxhpbx
2024-08-21 00:20 - 2024-08-21 00:20 - 000000000 ____D C:\ProgramData\playerFolder
2024-08-21 00:20 - 2024-08-21 00:20 - 000000000 ____D C:\ProgramData\LLdfLrLLNTHVhLf
EcoJayfix 3.9.0.533 (HKLM-x32\...\{c972580d-4873-414a-a367-6446cee70eb7}) (Version: 3.9.0.533 - Barbieri, D'angelo e Negri Group s.r.l.) Hidden
HKLM\...\StartupApproved\StartupFolder: => "McAfee Security Scan Plus.lnk"
FirewallRules: [TCP Query User{435D0BD5-48D0-448B-868F-7B1E8727B54D}G:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) G:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [UDP Query User{FBD00A24-A83F-45E3-A0B9-08879527AA72}G:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) G:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [TCP Query User{5663DE5A-6CB4-483A-AA92-C15680551D03}C:\users\37529\appdata\roaming\akko cloud driver\iot_driver_v138.exe] => (Allow) C:\users\37529\appdata\roaming\akko cloud driver\iot_driver_v138.exe => Нет файла
FirewallRules: [UDP Query User{C8036EC3-064A-4BF8-85B9-38E78E9C5FAF}C:\users\37529\appdata\roaming\akko cloud driver\iot_driver_v138.exe] => (Allow) C:\users\37529\appdata\roaming\akko cloud driver\iot_driver_v138.exe => Нет файла
FirewallRules: [TCP Query User{A4A0D336-8DB0-48CC-8A9F-E3BAEB5BAA33}C:\users\37529\.cache\selenium\chrome\win64\120.0.6099.109\chrome.exe] => (Allow) C:\users\37529\.cache\selenium\chrome\win64\120.0.6099.109\chrome.exe => Нет файла
FirewallRules: [UDP Query User{CCB9EE17-47F2-4147-BD19-7469DB23332B}C:\users\37529\.cache\selenium\chrome\win64\120.0.6099.109\chrome.exe] => (Allow) C:\users\37529\.cache\selenium\chrome\win64\120.0.6099.109\chrome.exe => Нет файла
FirewallRules: [{E5551517-E04F-4196-9A53-395164721A29}] => (Allow) C:\Users\37529\AppData\Local\Yandex\YandexBrowser\Application\browser.exe => Нет файла
FirewallRules: [{6934DB54-F179-4BCE-B81D-4EB19110E331}] => (Allow) 㩃啜敳獲㍜㔷㤲䅜灰慄慴剜慯業杮瑜捯剜䉸坎攮數 => Нет файла
FirewallRules: [{439C16F7-6D5D-4A51-98E1-979D4035F1D7}] => (Allow) 㩃啜敳獲㍜㔷㤲䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{0EE1F7A8-C146-4495-A7FC-2D78A734BFD3}] => (Allow) 㩃啜敳獲㍜㔷㤲䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{2E6FB55B-ACC8-4E94-82B0-86A42A66BDA3}] => (Allow) 㩃啜敳獲㍜㔷㤲䅜灰慄慴剜慯業杮瑜捯浜慔⹺硥e => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q C:\Windows\Minidump\*.dmp
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR с максимальным сжатием
Winrar.jpg
и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

**preussen** · 10.10.2024, 10:43

Готово

**Vvvyg** · 10.10.2024, 21:37

Проблема с NET:MALWARE.URL должна уйти.
Деинсталлируйте программу EcoJayfix 3.9.0.533. Если нет возможности удалить стандартным способом - сделайте принудительно, с помощью Geek Uninstaller Free.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

**preussen** · 10.10.2024, 23:50

Проблема с NET:MALWARE.URL ушла, благодарю за помощь

вирус NET:MALWARE.URL (заявка № 228764)

Опции темы