[РЕШЕНО] HOSTS:MALWARE.URL, Dr.Web не справляется с лечением

7 февраля, 2024

Раз в месяц проверяю пк Dr.Web Cureit, в этот раз нашел мне HOSTS:MALWARE.URL и сначала вылечил, я решил проверить еще раз и он снова там оказался, но в этот раз выдал ошибку лечения.

CollectionLog-2024.02.07-13.29.zip

7 февраля, 2024

Эти записи сами установили через защитное ПО?

Quote

O1 - Hosts: 109.94.209.70 vvv.fitgirlrepacks.co # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repack.net # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlpack.site # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirl-repack.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repack.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirlrepacks.pro # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlrepack.games # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirl-repacks-site.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repacks-site.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlrepack.cc # Fake FitGirl site

Добавьте лог сканирования Cureit в архиве без пароля +

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 7 февраля, 2024 пользователем safety

7 февраля, 2024

FRST.txt Addition.txt cureit.rar HOME-PC_2024-02-07_14-09-53_v4.15.1.7z

9 часов назад, safety сказал:

Эти записи сами установили через защитное ПО?

Сам я ничего не делал, установщик игры поставил эти исключения, чтоб я не попался на фейк с вирусами.

7 февраля, 2024

C:\Windows\system32\drivers\etc\hosts - infected with HOSTS:MALWARE.URL
C:\Windows\system32\drivers\etc\hosts - infected - 0ms, 0 bytes

Судя по файлу hosts Cureit реагирует именно на эти записи:

109.94.209.70      www.fitgirl-repack.org          # Fake FitGirl site
# 109.94.209.70      fitgirlrepacks.pro              # Fake FitGirl site # cured by Dr.Web
# 109.94.209.70      www.fitgirlrepacks.pro          # Fake FitGirl site # cured by Dr.Web
109.94.209.70      fitgirlrepack.games             # Fake FitGirl site

и запуском игры эти записи в hosts восстанавливаются, пробуйте после очистки и перезагрузки системы не запускать игру, и проверить что покажет Cureit.

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\MORIBAND\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.8_0\SAVEFROM.NET ПОМОЩНИК
delall %SystemDrive%\PROGRAM FILES (X86)\WZWBJIESVQUSC\EWCFITC.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\RJOCCCYVU\ULKRWB.DLL
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delref HTTPS://F.A.K/E
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHNCJFOEMLKDANJHJHJPIGPLMKAKGGGAE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\JOTTJFNBKVBLCLKKCZR\LOENANG.DLL
delref %SystemDrive%\PROGRAMDATA\JEMWJPQOOPHZLLVB\RXHQHTD.WSF
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\AUTOSETTINGSPS
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\RIOT GAMES\RIOT CLIENT\RIOTCLIENTSERVICES.EXE
;-------------------------------------------------------------

regt 35
regt 14
restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

7 февраля, 2024

Когда я делал отчет, чтобы скинуть его сюда, Dr.Web нашел проблему, я снова попробовал вылечить и он вылечил, проверил сейчас два раза - проблемы нет. Перезагрузить компьютер и запустить uVS?

7 февраля, 2024

8 minutes ago, moriband said:

Перезагрузить компьютер и запустить uVS?

да, скрипт очистки в uVS обязателен. И все действия выполните после выполнения скрипта.

7 февраля, 2024

2024-02-07_14-58-35_log.txt Проблем не обнаружено

Изменено 7 февраля, 2024 пользователем moriband

7 февраля, 2024

Да, скрипт очистки выполнен успешно.

Далее,

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

7 февраля, 2024

Прошу

SecurityCheck.txt

7 февраля, 2024

Выполните рекомендуемые обновления ПО:

HotFix KB5034122 Внимание! Скачать обновления

Discord v.1.0.9021 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.6.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
Spotify 1.2.26.1180 v.1.2.26.1180 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.24.1.0.2570 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VideoAdsBlocker v.2.0.0.2732 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

Wondershare Helper Compact 2.6.0 v.2.6.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

7 февраля, 2024

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

[РЕШЕНО] HOSTS:MALWARE.URL, Dr.Web не справляется с лечением

Рекомендуемые сообщения

moriband

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

moriband

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

moriband

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

moriband

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

moriband

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum