[РЕШЕНО] HOSTS:MALWARE.URL, Dr.Web не справляется с лечением

7 февраля

Раз в месяц проверяю пк Dr.Web Cureit, в этот раз нашел мне HOSTS:MALWARE.URL и сначала вылечил, я решил проверить еще раз и он снова там оказался, но в этот раз выдал ошибку лечения.

CollectionLog-2024.02.07-13.29.zip

7 февраля

Эти записи сами установили через защитное ПО?

Quote

O1 - Hosts: 109.94.209.70 vvv.fitgirlrepacks.co # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repack.net # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlpack.site # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirl-repack.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repack.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirlrepacks.pro # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlrepack.games # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirl-repacks-site.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 vvv.fitgirl-repacks-site.org # Fake FitGirl site
O1 - Hosts: 109.94.209.70 fitgirlrepack.cc # Fake FitGirl site

Добавьте лог сканирования Cureit в архиве без пароля +

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 7 февраля пользователем safety

7 февраля

FRST.txt Addition.txt cureit.rar HOME-PC_2024-02-07_14-09-53_v4.15.1.7z

9 часов назад, safety сказал:

Эти записи сами установили через защитное ПО?

Сам я ничего не делал, установщик игры поставил эти исключения, чтоб я не попался на фейк с вирусами.

7 февраля

C:\Windows\system32\drivers\etc\hosts - infected with HOSTS:MALWARE.URL
C:\Windows\system32\drivers\etc\hosts - infected - 0ms, 0 bytes

Судя по файлу hosts Cureit реагирует именно на эти записи:

109.94.209.70      www.fitgirl-repack.org          # Fake FitGirl site
# 109.94.209.70      fitgirlrepacks.pro              # Fake FitGirl site # cured by Dr.Web
# 109.94.209.70      www.fitgirlrepacks.pro          # Fake FitGirl site # cured by Dr.Web
109.94.209.70      fitgirlrepack.games             # Fake FitGirl site

и запуском игры эти записи в hosts восстанавливаются, пробуйте после очистки и перезагрузки системы не запускать игру, и проверить что покажет Cureit.

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\MORIBAND\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.8_0\SAVEFROM.NET ПОМОЩНИК
delall %SystemDrive%\PROGRAM FILES (X86)\WZWBJIESVQUSC\EWCFITC.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\RJOCCCYVU\ULKRWB.DLL
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delref HTTPS://F.A.K/E
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHNCJFOEMLKDANJHJHJPIGPLMKAKGGGAE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\JOTTJFNBKVBLCLKKCZR\LOENANG.DLL
delref %SystemDrive%\PROGRAMDATA\JEMWJPQOOPHZLLVB\RXHQHTD.WSF
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\AUTOSETTINGSPS
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\RIOT GAMES\RIOT CLIENT\RIOTCLIENTSERVICES.EXE
;-------------------------------------------------------------

regt 35
regt 14
restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

7 февраля

Когда я делал отчет, чтобы скинуть его сюда, Dr.Web нашел проблему, я снова попробовал вылечить и он вылечил, проверил сейчас два раза - проблемы нет. Перезагрузить компьютер и запустить uVS?

7 февраля

8 minutes ago, moriband said:

Перезагрузить компьютер и запустить uVS?

да, скрипт очистки в uVS обязателен. И все действия выполните после выполнения скрипта.

7 февраля

2024-02-07_14-58-35_log.txt Проблем не обнаружено

Изменено 7 февраля пользователем moriband

7 февраля

Да, скрипт очистки выполнен успешно.

Далее,

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

7 февраля

Прошу

SecurityCheck.txt

7 февраля

Выполните рекомендуемые обновления ПО:

HotFix KB5034122 Внимание! Скачать обновления

Discord v.1.0.9021 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.6.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
Spotify 1.2.26.1180 v.1.2.26.1180 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.24.1.0.2570 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VideoAdsBlocker v.2.0.0.2732 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

Wondershare Helper Compact 2.6.0 v.2.6.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

7 февраля

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Войти

[РЕШЕНО] HOSTS:MALWARE.URL, Dr.Web не справляется с лечением

Рекомендуемые сообщения

moriband 0

Ссылка на сообщение

Поделиться на другие сайты

safety 85

Ссылка на сообщение

Поделиться на другие сайты

moriband 0

Ссылка на сообщение

Поделиться на другие сайты

safety 85

Ссылка на сообщение

Поделиться на другие сайты

moriband 0

Ссылка на сообщение

Поделиться на другие сайты

safety 85

Ссылка на сообщение

Поделиться на другие сайты

moriband 0

Ссылка на сообщение

Поделиться на другие сайты

safety 85

Ссылка на сообщение

Поделиться на другие сайты

moriband 0

Ссылка на сообщение

Поделиться на другие сайты

safety 85

Ссылка на сообщение

Поделиться на другие сайты

safety 85

Ссылка на сообщение

Поделиться на другие сайты

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum