Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

[РЕШЕНО] PowerShell, nslookup и SettingsModifier:Win32/PossibleHostsFileHijack

GraaanD

Автор GraaanD
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

GraaanD

GraaanD

Опубликовано
Опубликовано

Доброе утро, день, вечер, друзья. Начал замечать что появляется и кушает оперативную память "nslookup", хотя раньше её вообще не наблюдал в диспетчере задач. В попытке её отключить замечаю что появляется PowerShell, так понимаю выполняется какая-то команда и снова включается nslookup. После этого в защитнике Windows (Знаю что не самый удачный антивирус, но все таки...) появляется SettingsModifier:Win32/PossibleHostsFileHijack. Блокируя, удаляя угрозу все начинается по новой, вижу nslookup, закрываю, powershell и по кругу. Так же проверив антивирусом Dr.Web CureIt!, что выдало мне такую ошибку, который он не может исправитьgEByaSHHmxI.jpg?size=1098x247&quality=96&sign=eb9606bb8aa471ac06b4723a559ee0b7&type=album 
Может кто подсказать что это, как избавиться? А то напрягает, вирус какой схватил?

Закрывая файл nslookup в файле hosts появляются дополнительные строки, и WD ругается, а именно строки:
0.0.0.0       avast.com
0.0.0.0       www.avast.com
0.0.0.0       totalav.com
0.0.0.0       www.totalav.com
0.0.0.0       scanguard.com
0.0.0.0       www.scanguard.com
0.0.0.0       totaladblock.com
0.0.0.0       www.totaladblock.com
0.0.0.0       pcprotect.com
0.0.0.0       www.pcprotect.com
0.0.0.0       mcafee.com
0.0.0.0       www.mcafee.com
0.0.0.0       bitdefender.com
0.0.0.0       www.bitdefender.com
0.0.0.0       us.norton.com
0.0.0.0       www.us.norton.com
0.0.0.0       avg.com
0.0.0.0       www.avg.com
0.0.0.0       malwarebytes.com
0.0.0.0       www.malwarebytes.com
0.0.0.0       pandasecurity.com
0.0.0.0       www.pandasecurity.com
0.0.0.0       surfshark.com
0.0.0.0       www.surfshark.com
0.0.0.0       avira.com
0.0.0.0       www.avira.com
0.0.0.0       norton.com
0.0.0.0       www.norton.com
0.0.0.0       eset.com
0.0.0.0       www.eset.com
0.0.0.0       microsoft.com
0.0.0.0       www.microsoft.com
0.0.0.0       Zillya.com
0.0.0.0       www.Zillya.com
0.0.0.0       kaspersky.com
0.0.0.0       www.kaspersky.com
0.0.0.0       usa.kaspersky.com
0.0.0.0       www.usa.kaspersky.com
0.0.0.0       dpbolvw.net
0.0.0.0       www.dpbolvw.net
0.0.0.0       sophos.com
0.0.0.0       www.sophos.com
0.0.0.0       home.sophos.com
0.0.0.0       www.home.sophos.com
0.0.0.0       www.adaware.com
0.0.0.0       adaware.com
0.0.0.0       www.ahnlab.com
0.0.0.0       ahnlab.com
0.0.0.0       www.bullguard.com
0.0.0.0       bullguard.com
0.0.0.0       clamav.net
0.0.0.0       www.clamav.net
0.0.0.0       www.drweb.com
0.0.0.0       drweb.com
0.0.0.0       emsisoft.com
0.0.0.0       www.emsisoft.com
0.0.0.0       www.f-secure.com
0.0.0.0       f-secure.com
0.0.0.0       www.zonealarm.com
0.0.0.0       zonealarm.com
0.0.0.0       www.trendmicro.com
0.0.0.0       trendmicro.com
0.0.0.0       www.ccleaner.com
0.0.0.0       ccleaner.com
0.0.0.0       www.virustotal.com
0.0.0.0       virustotal.com

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Добавьте, пожалуйста логи FRST

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
GraaanD

GraaanD

Опубликовано
  • Автор
Опубликовано (изменено)
Логи FRST и Addition

FRST.txt Дополнение.txt

И Образ автозапуска системы в uVS.

DESKTOP-Q5UN0TA_2024-08-26_15-31-49_v4.99.1v x64.7z

Изменено пользователем safety
не надо цитировать сообщение консультанта, никто здесь не заблудится между двух деревьевтв
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Выполните очистку системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с автоматической перезагрузкой системы.

  

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ВСЕ ПОЛЬЗОВАТЕЛИ\ГЛАВНОЕ МЕНЮ\COMPPKGSRV.EXE
zoo %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D139B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9D7D4512D 8  Win64/Packed.Themida.L 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\ILYA-\APPDATA\LOCAL\NETWORK GRAPHICS\NETWORK GRAPHICS.EXE
delref %SystemDrive%\USERS\ALL USERS\UBISOFT\UBISOFT GAME LAUNCHER\WMIPRVSE.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref D:\DOWNLOADS\AUTOFISHBOT.EXE
delref E:\GAMES\EXBO\RUNTIME\STALCRAFT
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\ANTICHEATEXPERT\SGUARD\X64\PLUGINS\ACE-SSC-DRV64.SYS
delref E:\STEAMLIBRARY\STEAMAPPS\COMMON\LOST LIGHT\ENGINE\BINARIES\WIN64\NEPROTECT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\RAZER\RAZER AXON\RAZERAXON.EXE
delref %SystemDrive%\PROGRAM FILES\RAZER\RZAPPENGINE\RZAPPENGINE.EXE
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\ILYA-\APPDATA\LOCAL\TEMP\8EE4975C-31B712BA-94B439B1-A698E1CF\ZGXLTFGRR6SOUH.EXE
delref %SystemDrive%\USERS\ILYA-\APPDATA\LOCAL\TEMP\8EE4975C-31B712BA-94B439B1-A698E1CF\KH8EYZ7TXPFB.EXE
delref %SystemDrive%\USERS\ILYA-\APPDATA\LOCAL\TEMP\8EE4975C-31B712BA-94B439B1-A698E1CF\MLMLAFZCYAZD5K.EXE
delref D:\GAMES\LOSTLIGHT\LAUNCHER.EXE
delref D:\GAMES\RAGEMP\RAGEMP_V.EXE
delref D:\DOWNLOADS\SOTEXTERNALESPV3.2.2_[UNKNOWNCHEATS.ME]_.EXE
delref S:\PROGRAMMS\EQUALIZERAPO\BENCHMARK.EXE
delref S:\PROGRAMMS\EQUALIZERAPO\EDITOR.EXE
delref S:\PROGRAMMS\EQUALIZERAPO\CONFIGURATION REFERENCE (ONLINE).URL
delref S:\PROGRAMMS\EQUALIZERAPO\CONFIGURATION TUTORIAL (ONLINE).URL
delref S:\PROGRAMMS\EQUALIZERAPO\CONFIGURATOR.EXE
delref S:\PROGRAMMS\EQUALIZERAPO\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\UBISOFT\UBISOFT GAME LAUNCHER\UBISOFTCONNECT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\UBISOFT\UBISOFT GAME LAUNCHER\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\UBISOFT\UBISOFT GAME LAUNCHER\UPLAY.EXE
delref D:\GAMES\WARGAMING.NET\GAMECENTER\WGC.EXE
;-------------------------------------------------------------
REGT 14
restart
czoo

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, наблюдаются ли прежние проблемы после очистки.

+

добавьте новый образ в uVS для контроля очистки системы.

 

Сообщение не надо цитировать, просто пишите свой ответ в окне редактора, и нажимаем после этого кнопку "Отправить".

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
GraaanD

GraaanD

Опубликовано
  • Автор
Опубликовано

Все так же запускается nslookup и появляется ошибка в WD. Лог после перезапуска

2024-08-26_16-01-53_log.txt

image.thumb.png.540f7b3d9c3ebf3290ac6c0a973ccc0e.png

Появился файл HOSTS icalendar. Логи из Dr Web большие, даже при сжатии, загрузил на ЯД, вот ссылка
https://disk.yandex.ru/d/IFr85m6Jxvvi_w

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

В hosts добавьте эти две строки:

Цитата

127.0.0.1       localhost
::1             localhost

+

покажите,что за ошибка в WD.

+

нужен новый образ автозапуска в uVS для контроля состояния системы.

 

лог Cureit гляну сейчас.

в этой программе gt-launcher 5.1.6 Cureit обнаруживал вредоносные файлы, ее лучше деинсталлировать.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
GraaanD

GraaanD

Опубликовано
  • Автор
Опубликовано

новый образ
+
Скрин ошибки в WD.
image.png.d6cce5e3dee7b7a212ceb8e661011ebc.png
Могу так же снять и отправить ссылкой видео как появляется эта ошибка.

DESKTOP-Q5UN0TA_2024-08-26_16-23-08_v4.99.1v x64.7z

в файле hosts эти 2 строки есть, но после них куча дополнительных, которые я кидал выше, но я их не добавлял

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано
2 минуты назад, GraaanD сказал:

как появляется эта ошибка.

Это не ошибка, это обнаружение.

образ сейчас проверю, что там осталось.

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Выполните очистку системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с автоматической перезагрузкой системы.

  

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
sreg
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
apply
areg
restart

Добавьте свежий файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, наблюдаются ли прежние проблемы после очистки.

+

добавьте новый образ в uVS для контроля очистки системы.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
GraaanD

GraaanD

Опубликовано
  • Автор
Опубликовано

Вроде бы больше nslookup не запускается, WD не ругается, файл hosts все так же содержит в себе кучу приписок, но я думаю это некритично.

2024-08-26_16-39-20_log.txt DESKTOP-Q5UN0TA_2024-08-26_16-44-28_v4.99.1v x64.7z

смог удалить эти приписки, спасибо за помощь, проблема вроде решена

 

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Да, лучше стало. Источник угрозы ушел из автозапуска.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

  

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 14
delall %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
QUIT

Добавьте свежий файл дата_времяlog.txt из папки откуда запускали uVS

+

в этой программе gt-launcher 5.1.6 Cureit обнаруживал вредоносные файлы, ее лучше деинсталлировать.

 

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

хорошо,

hosts зачистился,  виновник всего этого был поставлен вначале в угол, затем удален.

 

Цитата

Очистка HOSTS...
Операция завершена.
--------------------------------------------------------------------------------------------------
delall %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
--------------------------------------------------------------------------------------------------
Применение изменений...
--------------------------------------------------------------------------------------------------
Запуск служб блокирован
Построение списка процессов и модулей...
Сбор дополнительной информации...
Остановка сервисов и выгрузка драйверов...
Завершение процессов...
Удаление файлов...
--------------------------------------------------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 0 из 0
Удалено файлов: 1 из 1

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • Shytnik
      [РЕШЕНО] Trojan.Win64.Agent.smekzx
      Автор Shytnik
      Здравствуйте. В один момент перестало работать всё с ошибкой «Отказано в доступе». «Касперский» нашел этот вирус и вроде как успешно вылечил с перезагрузкой.
       
      После удаления автоматически запустилась проверка, которая по непонятным причинам сама по себе приостанавливалась три раза. Также по какой-то причине переставали грузиться на некоторое время сайты. Посчитал, что это какое-то подозрительное поведение, и отключил на всякий случай интернет. «Касперский» завершил сканирование и удалил еще кучу скриптов из папки браузера.
       
      В интернете нашел страницу на «Ответах» Mail.ru, где человек писал, что этот вирус после удаления «Касперским» «воскресает». Немного беспокоит эта перспектива, т. к. переустанавливать Windows не хочется. Можно как-то проверить, осталась ли эта гадость в системе?
      CollectionLog-2025.07.04-16.29.zip
×
×
  • Создать...