Не удаляемый вирус HOST:SUSPICIOUS.URL

[Palenko]

после установки некоторых пиратских по - возникла проблема с обнаружением неких шпионских по - которые не могут быть удалены! они постоянно меняются в названии но чаще всего я обнаруживаю именно название HOST:SUSPICIOUS.URL 

CollectionLog-2024.01.30-00.44.zip

[safety]

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Palenko]

Всё готово!

DESKTOP-N6LML8K_2024-01-30_13-03-46_v4.15.1.7z Addition.txt FRST.txt

[safety]

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2020.lnk:1A5FAF1E4E [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk:4E42ED6D31 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk:104946E0EA [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype для бизнеса.lnk:DCFC4C61B7 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3442]
EmptyTemp:
Reboot:
End::

Напишите по результат очистки.

[Palenko]

Провела очистку скриптом, пк перезагрузился, вирус не удалился 

[safety]

В какой программе обнаруживается данный вирус? Куреит?

Изменено 30 января пользователем safety

[Palenko]

Dr.Web Curelt

[safety]

Добавьте файл логов Дрвеб КУрейт в ваше сообщение. Если файл большой, поместите его в архив.

[Palenko]

cureit.rar

[safety]

C:\WINDOWS\system32\drivers\etc\hosts - probably infected with HOSTS:SUSPICIOUS.URL
C:\WINDOWS\system32\drivers\etc\hosts - infected - 0ms, 0 bytes

 

Я думаю, это реакция на закомментированные строки:

пробуйте этот блок очистить в hosts с помощью блокнота, и еще раз после этого выполнить сканирование в курейт.

# 0.0.0.0       avast.com # cured by Dr.Web
# 0.0.0.0       www.avast.com # cured by Dr.Web
# 0.0.0.0       totalav.com # cured by Dr.Web
# 0.0.0.0       www.totalav.com # cured by Dr.Web
# 0.0.0.0       scanguard.com # cured by Dr.Web
# 0.0.0.0       www.scanguard.com # cured by Dr.Web
# 0.0.0.0       totaladblock.com # cured by Dr.Web
# 0.0.0.0       www.totaladblock.com # cured by Dr.Web
# 0.0.0.0       pcprotect.com # cured by Dr.Web
# 0.0.0.0       www.pcprotect.com # cured by Dr.Web
# 0.0.0.0       mcafee.com # cured by Dr.Web
# 0.0.0.0       www.mcafee.com # cured by Dr.Web
# 0.0.0.0       bitdefender.com # cured by Dr.Web
# 0.0.0.0       www.bitdefender.com # cured by Dr.Web
# 0.0.0.0       us.norton.com # cured by Dr.Web
# 0.0.0.0       www.us.norton.com # cured by Dr.Web
# 0.0.0.0       avg.com # cured by Dr.Web
# 0.0.0.0       www.avg.com # cured by Dr.Web
# 0.0.0.0       malwarebytes.com # cured by Dr.Web
# 0.0.0.0       www.malwarebytes.com # cured by Dr.Web
# 0.0.0.0       pandasecurity.com # cured by Dr.Web
# 0.0.0.0       www.pandasecurity.com # cured by Dr.Web
# 0.0.0.0       surfshark.com # cured by Dr.Web
# 0.0.0.0       www.surfshark.com # cured by Dr.Web
# 0.0.0.0       avira.com # cured by Dr.Web
# 0.0.0.0       www.avira.com # cured by Dr.Web
# 0.0.0.0       norton.com # cured by Dr.Web
# 0.0.0.0       www.norton.com # cured by Dr.Web
# 0.0.0.0       eset.com # cured by Dr.Web
# 0.0.0.0       www.eset.com # cured by Dr.Web


# 0.0.0.0       Zillya.com # cured by Dr.Web
# 0.0.0.0       www.Zillya.com # cured by Dr.Web
# 0.0.0.0       kaspersky.com # cured by Dr.Web
# 0.0.0.0       www.kaspersky.com # cured by Dr.Web
# 0.0.0.0       usa.kaspersky.com # cured by Dr.Web
# 0.0.0.0       www.usa.kaspersky.com # cured by Dr.Web
# 0.0.0.0       dpbolvw.net # cured by Dr.Web
# 0.0.0.0       www.dpbolvw.net # cured by Dr.Web
# 0.0.0.0       sophos.com # cured by Dr.Web
# 0.0.0.0       www.sophos.com # cured by Dr.Web
# 0.0.0.0       home.sophos.com # cured by Dr.Web
# 0.0.0.0       www.home.sophos.com # cured by Dr.Web
# 0.0.0.0       www.adaware.com # cured by Dr.Web
# 0.0.0.0       adaware.com # cured by Dr.Web
# 0.0.0.0       www.ahnlab.com # cured by Dr.Web
# 0.0.0.0       ahnlab.com # cured by Dr.Web
# 0.0.0.0       www.bullguard.com # cured by Dr.Web
# 0.0.0.0       bullguard.com # cured by Dr.Web
# 0.0.0.0       clamav.net # cured by Dr.Web
# 0.0.0.0       www.clamav.net # cured by Dr.Web
# 0.0.0.0       www.drweb.com # cured by Dr.Web
# 0.0.0.0       drweb.com # cured by Dr.Web
# 0.0.0.0       emsisoft.com # cured by Dr.Web
# 0.0.0.0       www.emsisoft.com # cured by Dr.Web
# 0.0.0.0       www.f-secure.com # cured by Dr.Web
# 0.0.0.0       f-secure.com # cured by Dr.Web
# 0.0.0.0       www.zonealarm.com # cured by Dr.Web
# 0.0.0.0       zonealarm.com # cured by Dr.Web
# 0.0.0.0       www.trendmicro.com # cured by Dr.Web
# 0.0.0.0       trendmicro.com # cured by Dr.Web
# 0.0.0.0       www.ccleaner.com # cured by Dr.Web
# 0.0.0.0       ccleaner.com # cured by Dr.Web
# 0.0.0.0       www.virustotal.com # cured by Dr.Web
# 0.0.0.0       virustotal.com # cured by Dr.Web127.0.0.1 genuine-software.autodesk.com

 

[Palenko]

После удаления строк, антивирус не обнаружил угроз. Но данную манипуляция ранее уже выполняли и через какое то время антивирус снова находил там угрозу. 

[safety]

А через примерно какое время? понаблюдайте некоторое время, если сработает, напишите, будем дальше искать причину.

[Palenko]

24-48 часов. Хорошо, понаблюдаем

[safety]

Проверили? Есть новые обнаружения?