Перейти к содержанию

[РЕШЕНО] PowerShell, nslookup и SettingsModifier:Win32/PossibleHostsFileHijack


Рекомендуемые сообщения

Доброе утро, день, вечер, друзья. Начал замечать что появляется и кушает оперативную память "nslookup", хотя раньше её вообще не наблюдал в диспетчере задач. В попытке её отключить замечаю что появляется PowerShell, так понимаю выполняется какая-то команда и снова включается nslookup. После этого в защитнике Windows (Знаю что не самый удачный антивирус, но все таки...) появляется SettingsModifier:Win32/PossibleHostsFileHijack. Блокируя, удаляя угрозу все начинается по новой, вижу nslookup, закрываю, powershell и по кругу. Так же проверив антивирусом Dr.Web CureIt!, что выдало мне такую ошибку, который он не может исправитьgEByaSHHmxI.jpg?size=1098x247&quality=96&sign=eb9606bb8aa471ac06b4723a559ee0b7&type=album 
Может кто подсказать что это, как избавиться? А то напрягает, вирус какой схватил?

Закрывая файл nslookup в файле hosts появляются дополнительные строки, и WD ругается, а именно строки:
0.0.0.0       avast.com
0.0.0.0       www.avast.com
0.0.0.0       totalav.com
0.0.0.0       www.totalav.com
0.0.0.0       scanguard.com
0.0.0.0       www.scanguard.com
0.0.0.0       totaladblock.com
0.0.0.0       www.totaladblock.com
0.0.0.0       pcprotect.com
0.0.0.0       www.pcprotect.com
0.0.0.0       mcafee.com
0.0.0.0       www.mcafee.com
0.0.0.0       bitdefender.com
0.0.0.0       www.bitdefender.com
0.0.0.0       us.norton.com
0.0.0.0       www.us.norton.com
0.0.0.0       avg.com
0.0.0.0       www.avg.com
0.0.0.0       malwarebytes.com
0.0.0.0       www.malwarebytes.com
0.0.0.0       pandasecurity.com
0.0.0.0       www.pandasecurity.com
0.0.0.0       surfshark.com
0.0.0.0       www.surfshark.com
0.0.0.0       avira.com
0.0.0.0       www.avira.com
0.0.0.0       norton.com
0.0.0.0       www.norton.com
0.0.0.0       eset.com
0.0.0.0       www.eset.com
0.0.0.0       microsoft.com
0.0.0.0       www.microsoft.com
0.0.0.0       Zillya.com
0.0.0.0       www.Zillya.com
0.0.0.0       kaspersky.com
0.0.0.0       www.kaspersky.com
0.0.0.0       usa.kaspersky.com
0.0.0.0       www.usa.kaspersky.com
0.0.0.0       dpbolvw.net
0.0.0.0       www.dpbolvw.net
0.0.0.0       sophos.com
0.0.0.0       www.sophos.com
0.0.0.0       home.sophos.com
0.0.0.0       www.home.sophos.com
0.0.0.0       www.adaware.com
0.0.0.0       adaware.com
0.0.0.0       www.ahnlab.com
0.0.0.0       ahnlab.com
0.0.0.0       www.bullguard.com
0.0.0.0       bullguard.com
0.0.0.0       clamav.net
0.0.0.0       www.clamav.net
0.0.0.0       www.drweb.com
0.0.0.0       drweb.com
0.0.0.0       emsisoft.com
0.0.0.0       www.emsisoft.com
0.0.0.0       www.f-secure.com
0.0.0.0       f-secure.com
0.0.0.0       www.zonealarm.com
0.0.0.0       zonealarm.com
0.0.0.0       www.trendmicro.com
0.0.0.0       trendmicro.com
0.0.0.0       www.ccleaner.com
0.0.0.0       ccleaner.com
0.0.0.0       www.virustotal.com
0.0.0.0       virustotal.com

Ссылка на комментарий
Поделиться на другие сайты

Добавьте, пожалуйста логи FRST

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Логи FRST и Addition

FRST.txt Дополнение.txt

И Образ автозапуска системы в uVS.

DESKTOP-Q5UN0TA_2024-08-26_15-31-49_v4.99.1v x64.7z

Изменено пользователем safety
не надо цитировать сообщение консультанта, никто здесь не заблудится между двух деревьевтв
Ссылка на комментарий
Поделиться на другие сайты

Выполните очистку системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с автоматической перезагрузкой системы.

 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ВСЕ ПОЛЬЗОВАТЕЛИ\ГЛАВНОЕ МЕНЮ\COMPPKGSRV.EXE
zoo %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D139B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9D7D4512D 8  Win64/Packed.Themida.L 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\ILYA-\APPDATA\LOCAL\NETWORK GRAPHICS\NETWORK GRAPHICS.EXE
delref %SystemDrive%\USERS\ALL USERS\UBISOFT\UBISOFT GAME LAUNCHER\WMIPRVSE.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref D:\DOWNLOADS\AUTOFISHBOT.EXE
delref E:\GAMES\EXBO\RUNTIME\STALCRAFT
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\ANTICHEATEXPERT\SGUARD\X64\PLUGINS\ACE-SSC-DRV64.SYS
delref E:\STEAMLIBRARY\STEAMAPPS\COMMON\LOST LIGHT\ENGINE\BINARIES\WIN64\NEPROTECT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\RAZER\RAZER AXON\RAZERAXON.EXE
delref %SystemDrive%\PROGRAM FILES\RAZER\RZAPPENGINE\RZAPPENGINE.EXE
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\ILYA-\APPDATA\LOCAL\TEMP\8EE4975C-31B712BA-94B439B1-A698E1CF\ZGXLTFGRR6SOUH.EXE
delref %SystemDrive%\USERS\ILYA-\APPDATA\LOCAL\TEMP\8EE4975C-31B712BA-94B439B1-A698E1CF\KH8EYZ7TXPFB.EXE
delref %SystemDrive%\USERS\ILYA-\APPDATA\LOCAL\TEMP\8EE4975C-31B712BA-94B439B1-A698E1CF\MLMLAFZCYAZD5K.EXE
delref D:\GAMES\LOSTLIGHT\LAUNCHER.EXE
delref D:\GAMES\RAGEMP\RAGEMP_V.EXE
delref D:\DOWNLOADS\SOTEXTERNALESPV3.2.2_[UNKNOWNCHEATS.ME]_.EXE
delref S:\PROGRAMMS\EQUALIZERAPO\BENCHMARK.EXE
delref S:\PROGRAMMS\EQUALIZERAPO\EDITOR.EXE
delref S:\PROGRAMMS\EQUALIZERAPO\CONFIGURATION REFERENCE (ONLINE).URL
delref S:\PROGRAMMS\EQUALIZERAPO\CONFIGURATION TUTORIAL (ONLINE).URL
delref S:\PROGRAMMS\EQUALIZERAPO\CONFIGURATOR.EXE
delref S:\PROGRAMMS\EQUALIZERAPO\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\UBISOFT\UBISOFT GAME LAUNCHER\UBISOFTCONNECT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\UBISOFT\UBISOFT GAME LAUNCHER\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\UBISOFT\UBISOFT GAME LAUNCHER\UPLAY.EXE
delref D:\GAMES\WARGAMING.NET\GAMECENTER\WGC.EXE
;-------------------------------------------------------------
REGT 14
restart
czoo

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, наблюдаются ли прежние проблемы после очистки.

+

добавьте новый образ в uVS для контроля очистки системы.

 

Сообщение не надо цитировать, просто пишите свой ответ в окне редактора, и нажимаем после этого кнопку "Отправить".

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Все так же запускается nslookup и появляется ошибка в WD. Лог после перезапуска

2024-08-26_16-01-53_log.txt

image.thumb.png.540f7b3d9c3ebf3290ac6c0a973ccc0e.png

Появился файл HOSTS icalendar. Логи из Dr Web большие, даже при сжатии, загрузил на ЯД, вот ссылка
https://disk.yandex.ru/d/IFr85m6Jxvvi_w

Ссылка на комментарий
Поделиться на другие сайты

В hosts добавьте эти две строки:

Цитата

127.0.0.1       localhost
::1             localhost

+

покажите,что за ошибка в WD.

+

нужен новый образ автозапуска в uVS для контроля состояния системы.

 

лог Cureit гляну сейчас.

в этой программе gt-launcher 5.1.6 Cureit обнаруживал вредоносные файлы, ее лучше деинсталлировать.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

новый образ
+
Скрин ошибки в WD.
image.png.d6cce5e3dee7b7a212ceb8e661011ebc.png
Могу так же снять и отправить ссылкой видео как появляется эта ошибка.

DESKTOP-Q5UN0TA_2024-08-26_16-23-08_v4.99.1v x64.7z

в файле hosts эти 2 строки есть, но после них куча дополнительных, которые я кидал выше, но я их не добавлял

Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, GraaanD сказал:

как появляется эта ошибка.

Это не ошибка, это обнаружение.

образ сейчас проверю, что там осталось.

Ссылка на комментарий
Поделиться на другие сайты

Выполните очистку системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с автоматической перезагрузкой системы.

 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
sreg
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
apply
areg
restart

Добавьте свежий файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, наблюдаются ли прежние проблемы после очистки.

+

добавьте новый образ в uVS для контроля очистки системы.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Вроде бы больше nslookup не запускается, WD не ругается, файл hosts все так же содержит в себе кучу приписок, но я думаю это некритично.

2024-08-26_16-39-20_log.txt DESKTOP-Q5UN0TA_2024-08-26_16-44-28_v4.99.1v x64.7z

смог удалить эти приписки, спасибо за помощь, проблема вроде решена

 

Ссылка на комментарий
Поделиться на другие сайты

Да, лучше стало. Источник угрозы ушел из автозапуска.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 14
delall %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
QUIT

Добавьте свежий файл дата_времяlog.txt из папки откуда запускали uVS

+

в этой программе gt-launcher 5.1.6 Cureit обнаруживал вредоносные файлы, ее лучше деинсталлировать.

 

Ссылка на комментарий
Поделиться на другие сайты

хорошо,

hosts зачистился,  виновник всего этого был поставлен вначале в угол, затем удален.

 

Цитата

Очистка HOSTS...
Операция завершена.
--------------------------------------------------------------------------------------------------
delall %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
--------------------------------------------------------------------------------------------------
Применение изменений...
--------------------------------------------------------------------------------------------------
Запуск служб блокирован
Построение списка процессов и модулей...
Сбор дополнительной информации...
Остановка сервисов и выгрузка драйверов...
Завершение процессов...
Удаление файлов...
--------------------------------------------------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 0 из 0
Удалено файлов: 1 из 1

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • grammer91
      От grammer91
      Добрый день!
       
      Проблема в следующем: после запуска системы примерно через 30 секунд запускается и сразу закрывается Powershell, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 
      Проверку на вирусы запускал дважды, никакие угрозы найти не удалось.
      Тест сообщения антивируса:
      Помогите устранить проблему, пожалуйста
      CollectionLog-2024.11.14-11.33.zip
    • nvsdope
      От nvsdope
      Доброе утро. в журнале защиты постоянно вылазит SettingsModifier:Win32/PossibleHostsFileHijack, затронутые элементы file: C:\Windows\System32\drivers\etc\host удаление не помогает, прикладываю логи
      надеюсь на вашу помощь.
      NVSDOPE_2024-09-14_13-07-41_v4.99.1v x64.7z SecurityCheck.txt
    • saha96
      От saha96
      Доброго времени суток! Есть задача автоматизировать обновление файла RDP Wrapper под актуальную сборку после обновления винды. Обновление файла, необходимого для его работы выполняется из PowerShell следующим образом
       Stop-Service termservice -Force
      Invoke-WebRequest https://raw.githubusercontent.com/sebaxakerhtc/rdpwrap.ini/master/rdpwrap.ini -outfile "C:\Program Files\RDP Wrapper\rdpwrap.ini"
       
      Как корректно добавить данную команду в планировщик и запустить выполнение раз в месяц?
    • GavrikGame
      От GavrikGame
      Удалял вирус полностью и через безопасный режим, как только не пытался.
      Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
      Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
      ПОМОГИТИ

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
×
×
  • Создать...