20 ответов в этой теме

[miukalu]

Всё началось с подозрений на майнер. Детектнула его и вот это чудо, но удалить дали только майнер. После этого NET:MALWARE.URL скрылся (даже скрыл мою папку ползователя). Сложными махинациями выяснила, что он сидит в браузерах (переустановил хром). Переустановила Curelt и снова детектнула его, подтвердив догадки про браузеры. Плюс Malwarebytes поймал за хвост это чудо в браузере. Сносить винду очень не хочется. Видела, что помогали с этой же проблемой. Все скрины и фотки, которые могут помочь, креплю.

Прикрепленные файлы:

•  IurVvlge5ag.jpg   84,3К   0 Скачано раз
•  h9QYyfVDyMA.jpg   111,11К   0 Скачано раз
•  r5KD2f9HvhI.jpg   178,56К   0 Скачано раз
•  K0OU3r7CTVM.jpg   56,69К   0 Скачано раз
•  Unvew_siFG8.jpg   111,18К   0 Скачано раз
•  Eo7NkAcXhys.jpg   74,52К   0 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Ivan Korolev]

Отчет sysinfo сделайте.

[miukalu]

https://disk.yandex.ru/d/_FjtMMrz6E_7qg

При попытке загрузить утилиту через Edge выдало вот такое))) (скрин ниже)

 

 

Отчет sysinfo сделайте.

[Alexander007]

Удали Malwarebytes. У них негативное отношение к доверию .

Поставь Dr.Web Securityspace .

Сообщение было изменено Alexander007: 23 Январь 2025 - 13:59

[miukalu]

Удалила, но просто странно, что порт был как у NET:MALWARE.URL...

Удали Malwarebytes. У них негативное отношение к доверию .

Поставь Dr.Web Securityspace .

[pig]

Это стандартный порт HTTPS.

[miukalu]

Буду знать, спасибо)

Это стандартный порт HTTPS.

[miukalu]

Удали Malwarebytes. У них негативное отношение к доверию .

Поставь Dr.Web Securityspace .

[miukalu]

Мне кажется, этого чуть-чуть не должно было быть тут...

[Ivan Korolev]

Нормально у вас все. Майнера снесли.

 

NET.Malware.url в данном случае относится к малварному сайту, который был у вас открыт в edge на момент скана cureit-ом.

[Alexander007]

Давай проверим остаток , после Fixit , приложите пожалуйста FRST и Addiction. Там могут присутствовать следы

[miukalu]

https://disk.yandex.ru/d/_FjtMMrz6E_7qg
Оба файлика там

Давай проверим остаток , после Fixit , приложите пожалуйста FRST и Addiction. Там могут присутствовать следы

[Alexander007]

C:\Windows\system32\HoYoKProtect.sys

 

Посмотри , в файле каталога - мне не известно , вышлите на VT . https://www.virustotal.com/gui/home/upload

 

Просто проверить.

Сообщение было изменено Alexander007: 23 Январь 2025 - 21:34

[miukalu]

Ну вообще это от игры))

 

C:\Windows\system32\HoYoKProtect.sys

 

Посмотри , в файле каталога - мне не известно , вышлите на VT . https://www.virustotal.com/gui/home/upload

 

Просто проверить.

[Alexander007]

По ним есть маленькие следы , требуется чистка:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Spoiler

Start::

CreateRestorePoint:

CloseProcesses:

HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ

HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ

HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ

HKU\S-1-5-21-3830033663-2018795423-2059827963-1001\...\Run: [utweb] => "C:\Users\dsoko\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Нет файла)

S3 cpuz158; \??\C:\Windows\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ

HKLM\...\StartupApproved\Run: => "RZSurroundHelper"

HKU\S-1-5-21-3830033663-2018795423-2059827963-1001\...\StartupApproved\Run: => "utweb"

HKU\S-1-5-21-3830033663-2018795423-2059827963-1001\...\StartupApproved\Run: => "Gaijin.Net Updater"

Hosts:

ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions

Reboot:

End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Сообщение было изменено Alexander007: 23 Январь 2025 - 21:42

[miukalu]

https://disk.yandex.ru/d/sQeLHfmkclWDvA

 

По ним есть маленькие следы , требуется чистка:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Spoiler

Start::

CreateRestorePoint:

CloseProcesses:

HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ

HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ

HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ

HKU\S-1-5-21-3830033663-2018795423-2059827963-1001\...\Run: [utweb] => "C:\Users\dsoko\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Нет файла)

S3 cpuz158; \??\C:\Windows\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ

HKLM\...\StartupApproved\Run: => "RZSurroundHelper"

HKU\S-1-5-21-3830033663-2018795423-2059827963-1001\...\StartupApproved\Run: => "utweb"

HKU\S-1-5-21-3830033663-2018795423-2059827963-1001\...\StartupApproved\Run: => "Gaijin.Net Updater"

Hosts:

ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions

Reboot:

End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[Alexander007]

Должно полегче, что с системой? 

[miukalu]

Вроде всё хорошо. Но меня всё ещё смущает непонятная учётная запись, которая имеет доступ к папке "Пользователи" и скрытая папка моего юзера. Папка пропала после того, как я удалила троян и детектнула снова NET:MALWARE.URL.

 Должно полегче, что с системой? 

Сообщение было изменено miukalu: 23 Январь 2025 - 21:59

[Alexander007]

После чистки, там нет таких юзеров . Нужно нажать изменить юзеры и дополнительно.  Вы можете их удалить самостоятельно?