Перейти к содержанию
Правила раздела

[РЕШЕНО] HOSTS:MALWARE.URL, Dr.Web не справляется с лечением

moriband

Автор moriband
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

moriband

moriband

Опубликовано
Опубликовано

Раз в месяц проверяю пк Dr.Web Cureit, в этот раз нашел мне HOSTS:MALWARE.URL и сначала вылечил, я решил проверить еще раз и он снова там оказался, но в этот раз выдал ошибку лечения.

CollectionLog-2024.02.07-13.29.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Эти записи сами установили через защитное ПО?

Quote

O1 - Hosts: 109.94.209.70 vvv.fitgirlrepacks.co # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repack.net # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlpack.site # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirl-repack.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repack.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirlrepacks.pro # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlrepack.games # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirl-repacks-site.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repacks-site.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlrepack.cc # Fake FitGirl site

 

Добавьте лог сканирования Cureit в архиве без пароля +

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
moriband

moriband

Опубликовано
  • Автор
Опубликовано

FRST.txt Addition.txt cureit.rar HOME-PC_2024-02-07_14-09-53_v4.15.1.7z

 

9 часов назад, safety сказал:

Эти записи сами установили через защитное ПО?

Сам я ничего не делал, установщик игры поставил эти исключения, чтоб я не попался на фейк с вирусами.

 

safety

safety

Опубликовано
Опубликовано

C:\Windows\system32\drivers\etc\hosts - infected with HOSTS:MALWARE.URL
C:\Windows\system32\drivers\etc\hosts - infected - 0ms, 0 bytes

 

Судя по файлу hosts Cureit реагирует именно на эти записи:

109.94.209.70      www.fitgirl-repack.org          # Fake FitGirl site
# 109.94.209.70      fitgirlrepacks.pro              # Fake FitGirl site # cured by Dr.Web
# 109.94.209.70      www.fitgirlrepacks.pro          # Fake FitGirl site # cured by Dr.Web
109.94.209.70      fitgirlrepack.games             # Fake FitGirl site

и запуском игры эти записи в hosts восстанавливаются, пробуйте после очистки и перезагрузки системы не запускать игру, и проверить что покажет Cureit.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


  

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\MORIBAND\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.8_0\SAVEFROM.NET ПОМОЩНИК
delall %SystemDrive%\PROGRAM FILES (X86)\WZWBJIESVQUSC\EWCFITC.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\RJOCCCYVU\ULKRWB.DLL
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delref HTTPS://F.A.K/E
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHNCJFOEMLKDANJHJHJPIGPLMKAKGGGAE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\JOTTJFNBKVBLCLKKCZR\LOENANG.DLL
delref %SystemDrive%\PROGRAMDATA\JEMWJPQOOPHZLLVB\RXHQHTD.WSF
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\AUTOSETTINGSPS
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\RIOT GAMES\RIOT CLIENT\RIOTCLIENTSERVICES.EXE
;-------------------------------------------------------------

regt 35
regt 14
restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

moriband

moriband

Опубликовано
  • Автор
Опубликовано

Когда я делал отчет, чтобы скинуть его сюда, Dr.Web нашел проблему, я снова попробовал вылечить и он вылечил, проверил сейчас два раза - проблемы нет. Перезагрузить компьютер и запустить uVS?

 

safety

safety

Опубликовано
Опубликовано
8 minutes ago, moriband said:

Перезагрузить компьютер и запустить uVS?

да, скрипт очистки в uVS обязателен. И все действия выполните после выполнения скрипта.

safety

safety

Опубликовано
Опубликовано

Да, скрипт очистки выполнен успешно.

 

Далее,

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
safety

safety

Опубликовано
Опубликовано

Выполните рекомендуемые обновления ПО:

 

HotFix KB5034122 Внимание! Скачать обновления

Discord v.1.0.9021 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.6.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
Spotify 1.2.26.1180 v.1.2.26.1180 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.24.1.0.2570 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VideoAdsBlocker v.2.0.0.2732 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

Wondershare Helper Compact 2.6.0 v.2.6.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

safety

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Спасибо (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • rancol347
      Скачал Касперский и сразу найден Троян
      Автор rancol347
      Trojan.win.32.hosts2.gen
      C:\Windows\System32\drivers\etc\hosts

      Пока что выполняю лечение активного заражения
      16:05 завершено лечение, сразу началась перезагрузка, даже не предупреждая 
      16:13 провёл быструю проверку -  ничего не Найдено. Возможно ложное/файл был вылечен
    • artem12
      dr web постоянно находит вирус chromium:page.malware.url
      Автор artem12
      C:\Users\sevak\AppData\Local\Google\Chrome\User Data\Default\File System\007\p\00\00000000 показывает что на этом пути вирус, я нажимаю вылечить, но вирус всё равно не пропадает. При повторном сканировании снова показывается. Я поочищал расширения гугла, сделал восстановление системы но он всё равно показывается и просканировал пк ращличными антивирусоми; kaspersky, malware и т.д.
    • predreamer
      Подгружаются вирусы после удаления, Dr. Web не лечит
      Автор predreamer
      Зависли вирусы на ноуте, иногда по нескольку раз открывается cmd, после чего яндекс браузер закрывается и в истории простыня всяких брендовых сайтов, на которых не был, и ещё это расширение T-cashback вечно возвращается. Dr. Web находит chromium:page.malware.url, трояны стартеры и прочее, лечит, и они сразу же возвращаются.
      CollectionLog-2025.02.10-11.27.zip
    • FANKNAF
      не удаляется chromium:page.malware.url
      Автор FANKNAF
      https://dropmefiles.net/ru/5WNKAf ссылка на отчёт антивируса 20мб

    • lion6705
      [РЕШЕНО] Помогите с fixlist для FRST
      Автор lion6705
      Столкнулся с проблемой в виде замедления работы пк и замедление работы интернета так же иногда пк выключался в любой момент для решения проблемы решил использовать dr.web curelt появился файл с отметкой dialer.exe и надписью угроза NET:MALWARE.URL если бы он сразу удалился не начал искать способы убрать его в ручную но спустя 2 повторных проверки один и тот же исход а именно при устранение угрозы произошла ошибка
      Полез искать решение на ютубе и нашёл советовали использовать frst для того чтобы избавиться от любого вируса и вроде бы всё сделал но появилась новая проблема когда я попытался нажать исправить мне написалась что файла fixlist нету хотя я вроде бы (возможно не так) поэтому я пишу это сообщение чтобы узнать верно ли я всё сделал и те ли файлы пометил чтобы исправить их и избавиться от вируса 




      fixlist.txt.txt
      Addition_05-01-2025 20.19.18.txtFRST_05-01-2025 20.14.51.txt
       
       
      fixlist.txt.txt
×
×
  • Создать...