Перейти к содержанию

[РЕШЕНО] HOSTS:MALWARE.URL, Dr.Web не справляется с лечением


Рекомендуемые сообщения

Раз в месяц проверяю пк Dr.Web Cureit, в этот раз нашел мне HOSTS:MALWARE.URL и сначала вылечил, я решил проверить еще раз и он снова там оказался, но в этот раз выдал ошибку лечения.

CollectionLog-2024.02.07-13.29.zip

Ссылка на сообщение
Поделиться на другие сайты

Эти записи сами установили через защитное ПО?

Quote

O1 - Hosts: 109.94.209.70 vvv.fitgirlrepacks.co # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repack.net # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlpack.site # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirl-repack.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repack.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirlrepacks.pro # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlrepack.games # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirl-repacks-site.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repacks-site.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlrepack.cc # Fake FitGirl site

 

Добавьте лог сканирования Cureit в архиве без пароля +

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

FRST.txt Addition.txt cureit.rar HOME-PC_2024-02-07_14-09-53_v4.15.1.7z

 

9 часов назад, safety сказал:

Эти записи сами установили через защитное ПО?

Сам я ничего не делал, установщик игры поставил эти исключения, чтоб я не попался на фейк с вирусами.

 

Ссылка на сообщение
Поделиться на другие сайты

C:\Windows\system32\drivers\etc\hosts - infected with HOSTS:MALWARE.URL
C:\Windows\system32\drivers\etc\hosts - infected - 0ms, 0 bytes

 

Судя по файлу hosts Cureit реагирует именно на эти записи:

109.94.209.70      www.fitgirl-repack.org          # Fake FitGirl site
# 109.94.209.70      fitgirlrepacks.pro              # Fake FitGirl site # cured by Dr.Web
# 109.94.209.70      www.fitgirlrepacks.pro          # Fake FitGirl site # cured by Dr.Web
109.94.209.70      fitgirlrepack.games             # Fake FitGirl site

и запуском игры эти записи в hosts восстанавливаются, пробуйте после очистки и перезагрузки системы не запускать игру, и проверить что покажет Cureit.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\MORIBAND\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.8_0\SAVEFROM.NET ПОМОЩНИК
delall %SystemDrive%\PROGRAM FILES (X86)\WZWBJIESVQUSC\EWCFITC.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\RJOCCCYVU\ULKRWB.DLL
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delref HTTPS://F.A.K/E
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHNCJFOEMLKDANJHJHJPIGPLMKAKGGGAE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\JOTTJFNBKVBLCLKKCZR\LOENANG.DLL
delref %SystemDrive%\PROGRAMDATA\JEMWJPQOOPHZLLVB\RXHQHTD.WSF
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\AUTOSETTINGSPS
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\RIOT GAMES\RIOT CLIENT\RIOTCLIENTSERVICES.EXE
;-------------------------------------------------------------

regt 35
regt 14
restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

Ссылка на сообщение
Поделиться на другие сайты

Когда я делал отчет, чтобы скинуть его сюда, Dr.Web нашел проблему, я снова попробовал вылечить и он вылечил, проверил сейчас два раза - проблемы нет. Перезагрузить компьютер и запустить uVS?

 

Ссылка на сообщение
Поделиться на другие сайты
8 minutes ago, moriband said:

Перезагрузить компьютер и запустить uVS?

да, скрипт очистки в uVS обязателен. И все действия выполните после выполнения скрипта.

Ссылка на сообщение
Поделиться на другие сайты

Да, скрипт очистки выполнен успешно.

 

Далее,

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Выполните рекомендуемые обновления ПО:

 

HotFix KB5034122 Внимание! Скачать обновления

Discord v.1.0.9021 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.6.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
Spotify 1.2.26.1180 v.1.2.26.1180 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.24.1.0.2570 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VideoAdsBlocker v.2.0.0.2732 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

Wondershare Helper Compact 2.6.0 v.2.6.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • nvsdope
      От nvsdope
      Доброе утро. в журнале защиты постоянно вылазит SettingsModifier:Win32/PossibleHostsFileHijack, затронутые элементы file: C:\Windows\System32\drivers\etc\host удаление не помогает, прикладываю логи
      надеюсь на вашу помощь.
      NVSDOPE_2024-09-14_13-07-41_v4.99.1v x64.7z SecurityCheck.txt
    • GraaanD
      От GraaanD
      Доброе утро, день, вечер, друзья. Начал замечать что появляется и кушает оперативную память "nslookup", хотя раньше её вообще не наблюдал в диспетчере задач. В попытке её отключить замечаю что появляется PowerShell, так понимаю выполняется какая-то команда и снова включается nslookup. После этого в защитнике Windows (Знаю что не самый удачный антивирус, но все таки...) появляется SettingsModifier:Win32/PossibleHostsFileHijack. Блокируя, удаляя угрозу все начинается по новой, вижу nslookup, закрываю, powershell и по кругу. Так же проверив антивирусом Dr.Web CureIt!, что выдало мне такую ошибку, который он не может исправить 
      Может кто подсказать что это, как избавиться? А то напрягает, вирус какой схватил?
      Закрывая файл nslookup в файле hosts появляются дополнительные строки, и WD ругается, а именно строки:
      0.0.0.0       avast.com
      0.0.0.0       www.avast.com
      0.0.0.0       totalav.com
      0.0.0.0       www.totalav.com
      0.0.0.0       scanguard.com
      0.0.0.0       www.scanguard.com
      0.0.0.0       totaladblock.com
      0.0.0.0       www.totaladblock.com
      0.0.0.0       pcprotect.com
      0.0.0.0       www.pcprotect.com
      0.0.0.0       mcafee.com
      0.0.0.0       www.mcafee.com
      0.0.0.0       bitdefender.com
      0.0.0.0       www.bitdefender.com
      0.0.0.0       us.norton.com
      0.0.0.0       www.us.norton.com
      0.0.0.0       avg.com
      0.0.0.0       www.avg.com
      0.0.0.0       malwarebytes.com
      0.0.0.0       www.malwarebytes.com
      0.0.0.0       pandasecurity.com
      0.0.0.0       www.pandasecurity.com
      0.0.0.0       surfshark.com
      0.0.0.0       www.surfshark.com
      0.0.0.0       avira.com
      0.0.0.0       www.avira.com
      0.0.0.0       norton.com
      0.0.0.0       www.norton.com
      0.0.0.0       eset.com
      0.0.0.0       www.eset.com
      0.0.0.0       microsoft.com
      0.0.0.0       www.microsoft.com
      0.0.0.0       Zillya.com
      0.0.0.0       www.Zillya.com
      0.0.0.0       kaspersky.com
      0.0.0.0       www.kaspersky.com
      0.0.0.0       usa.kaspersky.com
      0.0.0.0       www.usa.kaspersky.com
      0.0.0.0       dpbolvw.net
      0.0.0.0       www.dpbolvw.net
      0.0.0.0       sophos.com
      0.0.0.0       www.sophos.com
      0.0.0.0       home.sophos.com
      0.0.0.0       www.home.sophos.com
      0.0.0.0       www.adaware.com
      0.0.0.0       adaware.com
      0.0.0.0       www.ahnlab.com
      0.0.0.0       ahnlab.com
      0.0.0.0       www.bullguard.com
      0.0.0.0       bullguard.com
      0.0.0.0       clamav.net
      0.0.0.0       www.clamav.net
      0.0.0.0       www.drweb.com
      0.0.0.0       drweb.com
      0.0.0.0       emsisoft.com
      0.0.0.0       www.emsisoft.com
      0.0.0.0       www.f-secure.com
      0.0.0.0       f-secure.com
      0.0.0.0       www.zonealarm.com
      0.0.0.0       zonealarm.com
      0.0.0.0       www.trendmicro.com
      0.0.0.0       trendmicro.com
      0.0.0.0       www.ccleaner.com
      0.0.0.0       ccleaner.com
      0.0.0.0       www.virustotal.com
      0.0.0.0       virustotal.com
    • Максим Пешков
      От Максим Пешков
      Поймал вирус. NET:MALWARE.URL. Начал нагружать проводник, несильно - 20-25%, но заметно. Dr.Web CureIt нашел, но при попытке вылечить пометил как Неизвестная ошибка. Не знаю, что делать, буду благодарен за помощь.
    • pro_z
      От pro_z
      Здравствуйте! Проблема заключается в следующем. В Браузерах (Опера, хром, мозила, эдж) появляется периодически проблема со входом на разные сайты. Например на сайт: https://remontka.pro/ я то могу зайти, то нет. Когда зайти не получается появляется робот с просьбой разрешить уведомления. Проверял следующим: adwcleaner, Dr.Web CureIt, HitmanPro, Malwarebytes, SpyHunter. Программы вирусы убрали, но проблема не ушла. Браузеры чистил, сбрасывал все настройки, кеш... 
      Помогите, пожалуйста разобраться с проблемой. 
       
      P.S. Как-то я решил сфотографировать странную надпись в браузере Microsoft Edge: "Другая программа на компьютере добавила расширение, которое может изменить работу Microsoft Edge".
       



    • Leliil
      От Leliil
      Добрый день, понадобилось добавить пару строк в файл hosts, либо заменить на новый.
      В KSC 13.0.0.11247 в политике убрал отметку на пункте файла hosts, через свойства политики - Продвинутая защита - Предотвращение вторжений, Настройка - ОС - Системные файлы - Критические настройки. Добавил в исключение название .bat файла, сделал уникальное имя, чтобы не совпало с каким-то зловредом и прочим, после применения пункт защиты верну на место.
      Вручную через .bat с запуском от имени администратора изменения вносятся.
      Создаю задачу удаленной установки и замена не проходит, что удаленно, что локально (создал автономный пакет). Что я делаю не так?
×
×
  • Создать...

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.