Перейти к содержанию

медленная работа браузера, DFH:HOSTS.corrupted


Рекомендуемые сообщения

периодически крайне медленно / вообще не обновляются сайты. иногда помогает перезагрузка. ОС - Windows XP

 

при сканировании CureIt! появилось уведомление DFH:HOSTS.corrupted, файл HOSTS в полном порядке (единственная запись - 127.0.0.1 localhost).

 

в логе ComboFix обнаружились странные файлы в директории \system32\drivers\ - ecegitly.sys и eyadnwws.sys, невидимые в проводнике.

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

Ссылка на комментарий
Поделиться на другие сайты


Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.
KillAll::
 
Firefox::
FF - user.js: extentions.webcake.installId - f75d6768-df0a-4784-a67a-0b902a8c6250
FF - user.js: extentions.webcake.defaultEnableAppsList - layers/banner,layers/inline,layers/search,layers/shopping,newOffers/wc

FileLook::
 
DirLook::
 
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
5315621m.gif
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
 
 
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
DeQuarantine::
c:\windows\system32\AegisI5Installer.exe
c:\windows\IsUn0419.exe
 
Quit::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
cfscript.gif
На рабочем столе появится отчет DeQuarantine.txt, прикрепите его к сообщению.

  •  
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

+ в папке профиля Firefox найдите файл user.js и выпилите из него эти две строки

 

extentions.webcake.installId - f75d6768-df0a-4784-a67a-0b902a8c6250
extentions.webcake.defaultEnableAppsList - layers/banner,layers/inline,layers/search,layers/shopping,newOffers/wc
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

DeQuarantine.txt не появился. 

Да это нормально я немного ошибся в скрипте. В папке C:\Qoobox\quarantine найдите файл ComboFix-quarantined-files.txt и прикрепите его

 

 

 

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".
  • По окончанию сканирования снимите галочки со следующих строк:
Папка Найдено : C:\Documents and Settings\All Users\Application Data\Yandex
Папка Найдено : C:\Documents and Settings\Администратор\Application Data\Yandex
Папка Найдено : C:\Documents and Settings\Администратор\Local Settings\Application Data\Mail.Ru
Папка Найдено : C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex
Папка Найдено : C:\Documents and Settings\Администратор\Главное меню\Программы\Yandex
Папка Найдено : C:\Program Files\Yandex
  • Нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.
 
Подробнее читайте в этом руководстве.
 
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

сделано.


кстати, по ощущениям - страницы стали открываться гораздо бодрее. и даже традиционно тормозящая в XP адресная строка Chrome заработала нормально.

 

спасибо большое!

AdwCleanerS0.txt

ComboFix-quarantined-files.txt

Ссылка на комментарий
Поделиться на другие сайты

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.



DeQuarantine::
C:\Qoobox\Quarantine\C\WINDOWS\IsUn0419.exe.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\AegisI5Installer.exe.vir
 
Quit::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

5315621m.gif

 

На рабочем столе появится отчет DeQuarantine.txt, прикрепите его к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Все часть файлов восстановили. 

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
 
combofix-uninstall.jpg
 
Скачайте OTCleanIt, запустите, нажмите Clean up
 
Что с проблемой?
Ссылка на комментарий
Поделиться на другие сайты

  1. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  2. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  3. Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  4. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  5. Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • korenis
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • Elly
      Автор Elly
      Вопросы по работе форума следует писать сюда. Вопросы по модерированию, согласно правилам, сюда писать не следует.
      Ответ можно получить только на вопрос, который грамотно сформулирован и не нарушает правил\устава форума.
    • KL FC Bot
      Автор KL FC Bot
      При знакомстве с рейтингом CVSS (Common Vulnerability Scoring System) многим кажется, что он прекрасно подходит для сортировки уязвимостей и их приоритизации: если больше цифра рейтинга, значит уязвимость важнее. На практике этот подход не срабатывает. Уязвимостей с высоким рейтингом каждый год становится все больше, закрывать их все команды ИБ не успевают, при этом львиная доля этих дефектов никогда не эксплуатируется в реальных атаках. В то же время злоумышленники то и дело используют менее броские уязвимости с невысоким рейтингом. Есть и другие подводные камни — от чисто технических (конфликтующие оценки CVSS) до концептуальных (отсутствие бизнес-контекста).
      Считать это недостатками самого рейтинга CVSS нельзя, нужно просто применять этот инструмент правильно: в рамках более сложного и комплексного процесса управления уязвимостями.
      Разночтения CVSS
      Иногда одна и та же уязвимость получает разную оценку критичности в доступных источниках: у исследователя ИБ, который ее нашел; у производителя уязвимого ПО; в национальном реестре уязвимостей. Кроме банальных ошибок у этих разночтений может быть и более серьезная причина — разные эксперты могут расходиться в оценках контекста эксплуатации: например, о том, с какими привилегиями выполняется уязвимое приложение, доступно ли оно из Интернета, и так далее. Производитель может ориентироваться здесь на свои рекомендации лучших практик, а исследователь ИБ — на то, как приложения настроены в реальных организациях. Один исследователь может оценить сложность эксплуатации как высокую, а другой — как низкую. Все это далеко не редкость. В исследовании VulnCheck, проведенном в 2023 году, подсчитали, что 20% уязвимостей из NVD содержат два рейтинга CVSS3 из разных источников и 56% этих парных оценок конфликтуют между собой.
       
      View the full article
    • Вячеслав Л.
      Автор Вячеслав Л.
      Разве может антивирус так быстро проводить полную проверку всего устройства за 11 секунд! Ну как-то не правдоподобно.
      Устройство Redmi Note 9 Pro.

    • Jacket45
      Автор Jacket45
      Проблему заметил вчера, в истории ютуба появились видео, которые я никогда не смотрел с 22 июня. Проверил пк drweb-ом, выявил один троян-удалил, поменял пароли, удалил устройство Android с Бангладеша. На протяжении около недели после запуска браузера он закрывался, сегодня заметил что он после закрытия устанавливал adblock, который я удалял. Проверил компьютер drweb-ом, на этот раз ничего не было выявлено. Не уверен что это будет полезно, но уже около полугода у меня запускалось окно cmd.exe и писало что программа успешно запущена. Антивирусники на постоянке никакие не включены, только скачиваю периодически бесплатный разовый drweb. 
      CollectionLog-2025.07.09-11.57.zip
×
×
  • Создать...