[РЕШЕНО] HOSTS:MALWARE.URL, Dr.Web не справляется с лечением

[moriband]

Раз в месяц проверяю пк Dr.Web Cureit, в этот раз нашел мне HOSTS:MALWARE.URL и сначала вылечил, я решил проверить еще раз и он снова там оказался, но в этот раз выдал ошибку лечения.

CollectionLog-2024.02.07-13.29.zip

[safety]

Эти записи сами установили через защитное ПО?

Quote

O1 - Hosts: 109.94.209.70 vvv.fitgirlrepacks.co # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repack.net # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlpack.site # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirl-repack.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repack.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirlrepacks.pro # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlrepack.games # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirl-repacks-site.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repacks-site.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlrepack.cc # Fake FitGirl site

 

Добавьте лог сканирования Cureit в архиве без пароля +

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 7 февраля, 2024 пользователем safety

[moriband]

FRST.txt Addition.txt cureit.rar HOME-PC_2024-02-07_14-09-53_v4.15.1.7z

 

9 часов назад, safety сказал:

Эти записи сами установили через защитное ПО?

Сам я ничего не делал, установщик игры поставил эти исключения, чтоб я не попался на фейк с вирусами.

 

[safety]

C:\Windows\system32\drivers\etc\hosts - infected with HOSTS:MALWARE.URL
C:\Windows\system32\drivers\etc\hosts - infected - 0ms, 0 bytes

 

Судя по файлу hosts Cureit реагирует именно на эти записи:

109.94.209.70      www.fitgirl-repack.org          # Fake FitGirl site
# 109.94.209.70      fitgirlrepacks.pro              # Fake FitGirl site # cured by Dr.Web
# 109.94.209.70      www.fitgirlrepacks.pro          # Fake FitGirl site # cured by Dr.Web
109.94.209.70      fitgirlrepack.games             # Fake FitGirl site

и запуском игры эти записи в hosts восстанавливаются, пробуйте после очистки и перезагрузки системы не запускать игру, и проверить что покажет Cureit.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\MORIBAND\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.8_0\SAVEFROM.NET ПОМОЩНИК
delall %SystemDrive%\PROGRAM FILES (X86)\WZWBJIESVQUSC\EWCFITC.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\RJOCCCYVU\ULKRWB.DLL
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delref HTTPS://F.A.K/E
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHNCJFOEMLKDANJHJHJPIGPLMKAKGGGAE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\JOTTJFNBKVBLCLKKCZR\LOENANG.DLL
delref %SystemDrive%\PROGRAMDATA\JEMWJPQOOPHZLLVB\RXHQHTD.WSF
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\AUTOSETTINGSPS
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\RIOT GAMES\RIOT CLIENT\RIOTCLIENTSERVICES.EXE
;-------------------------------------------------------------

regt 35
regt 14
restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

[moriband]

Когда я делал отчет, чтобы скинуть его сюда, Dr.Web нашел проблему, я снова попробовал вылечить и он вылечил, проверил сейчас два раза - проблемы нет. Перезагрузить компьютер и запустить uVS?

 

[safety]

8 minutes ago, moriband said:

Перезагрузить компьютер и запустить uVS?

да, скрипт очистки в uVS обязателен. И все действия выполните после выполнения скрипта.

[moriband]

2024-02-07_14-58-35_log.txt Проблем не обнаружено

Изменено 7 февраля, 2024 пользователем moriband

[safety]

Да, скрипт очистки выполнен успешно.

 

Далее,

 

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[moriband]

Прошу

 

SecurityCheck.txt

[safety]

Выполните рекомендуемые обновления ПО:

 

HotFix KB5034122 Внимание! Скачать обновления

Discord v.1.0.9021 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.6.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
Spotify 1.2.26.1180 v.1.2.26.1180 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.24.1.0.2570 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VideoAdsBlocker v.2.0.0.2732 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

Wondershare Helper Compact 2.6.0 v.2.6.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".