[РЕШЕНО] PowerShell, nslookup и SettingsModifier:Win32/PossibleHostsFileHijack

[GraaanD]

Доброе утро, день, вечер, друзья. Начал замечать что появляется и кушает оперативную память "nslookup", хотя раньше её вообще не наблюдал в диспетчере задач. В попытке её отключить замечаю что появляется PowerShell, так понимаю выполняется какая-то команда и снова включается nslookup. После этого в защитнике Windows (Знаю что не самый удачный антивирус, но все таки...) появляется SettingsModifier:Win32/PossibleHostsFileHijack. Блокируя, удаляя угрозу все начинается по новой, вижу nslookup, закрываю, powershell и по кругу. Так же проверив антивирусом Dr.Web CureIt!, что выдало мне такую ошибку, который он не может исправить 
Может кто подсказать что это, как избавиться? А то напрягает, вирус какой схватил?

Закрывая файл nslookup в файле hosts появляются дополнительные строки, и WD ругается, а именно строки:
0.0.0.0       avast.com
0.0.0.0       www.avast.com
0.0.0.0       totalav.com
0.0.0.0       www.totalav.com
0.0.0.0       scanguard.com
0.0.0.0       www.scanguard.com
0.0.0.0       totaladblock.com
0.0.0.0       www.totaladblock.com
0.0.0.0       pcprotect.com
0.0.0.0       www.pcprotect.com
0.0.0.0       mcafee.com
0.0.0.0       www.mcafee.com
0.0.0.0       bitdefender.com
0.0.0.0       www.bitdefender.com
0.0.0.0       us.norton.com
0.0.0.0       www.us.norton.com
0.0.0.0       avg.com
0.0.0.0       www.avg.com
0.0.0.0       malwarebytes.com
0.0.0.0       www.malwarebytes.com
0.0.0.0       pandasecurity.com
0.0.0.0       www.pandasecurity.com
0.0.0.0       surfshark.com
0.0.0.0       www.surfshark.com
0.0.0.0       avira.com
0.0.0.0       www.avira.com
0.0.0.0       norton.com
0.0.0.0       www.norton.com
0.0.0.0       eset.com
0.0.0.0       www.eset.com
0.0.0.0       microsoft.com
0.0.0.0       www.microsoft.com
0.0.0.0       Zillya.com
0.0.0.0       www.Zillya.com
0.0.0.0       kaspersky.com
0.0.0.0       www.kaspersky.com
0.0.0.0       usa.kaspersky.com
0.0.0.0       www.usa.kaspersky.com
0.0.0.0       dpbolvw.net
0.0.0.0       www.dpbolvw.net
0.0.0.0       sophos.com
0.0.0.0       www.sophos.com
0.0.0.0       home.sophos.com
0.0.0.0       www.home.sophos.com
0.0.0.0       www.adaware.com
0.0.0.0       adaware.com
0.0.0.0       www.ahnlab.com
0.0.0.0       ahnlab.com
0.0.0.0       www.bullguard.com
0.0.0.0       bullguard.com
0.0.0.0       clamav.net
0.0.0.0       www.clamav.net
0.0.0.0       www.drweb.com
0.0.0.0       drweb.com
0.0.0.0       emsisoft.com
0.0.0.0       www.emsisoft.com
0.0.0.0       www.f-secure.com
0.0.0.0       f-secure.com
0.0.0.0       www.zonealarm.com
0.0.0.0       zonealarm.com
0.0.0.0       www.trendmicro.com
0.0.0.0       trendmicro.com
0.0.0.0       www.ccleaner.com
0.0.0.0       ccleaner.com
0.0.0.0       www.virustotal.com
0.0.0.0       virustotal.com

[safety]

Добавьте, пожалуйста логи FRST

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 26 августа, 2024 пользователем safety

[GraaanD]

Логи FRST и Addition

---

FRST.txt Дополнение.txt

И Образ автозапуска системы в uVS.

DESKTOP-Q5UN0TA_2024-08-26_15-31-49_v4.99.1v x64.7z

Изменено 26 августа, 2024 пользователем safety
не надо цитировать сообщение консультанта, никто здесь не заблудится между двух деревьевтв

[safety]

Выполните очистку системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с автоматической перезагрузкой системы.

 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ВСЕ ПОЛЬЗОВАТЕЛИ\ГЛАВНОЕ МЕНЮ\COMPPKGSRV.EXE
zoo %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D139B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9D7D4512D 8  Win64/Packed.Themida.L 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\ILYA-\APPDATA\LOCAL\NETWORK GRAPHICS\NETWORK GRAPHICS.EXE
delref %SystemDrive%\USERS\ALL USERS\UBISOFT\UBISOFT GAME LAUNCHER\WMIPRVSE.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref D:\DOWNLOADS\AUTOFISHBOT.EXE
delref E:\GAMES\EXBO\RUNTIME\STALCRAFT
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\ANTICHEATEXPERT\SGUARD\X64\PLUGINS\ACE-SSC-DRV64.SYS
delref E:\STEAMLIBRARY\STEAMAPPS\COMMON\LOST LIGHT\ENGINE\BINARIES\WIN64\NEPROTECT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\RAZER\RAZER AXON\RAZERAXON.EXE
delref %SystemDrive%\PROGRAM FILES\RAZER\RZAPPENGINE\RZAPPENGINE.EXE
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\ILYA-\APPDATA\LOCAL\TEMP\8EE4975C-31B712BA-94B439B1-A698E1CF\ZGXLTFGRR6SOUH.EXE
delref %SystemDrive%\USERS\ILYA-\APPDATA\LOCAL\TEMP\8EE4975C-31B712BA-94B439B1-A698E1CF\KH8EYZ7TXPFB.EXE
delref %SystemDrive%\USERS\ILYA-\APPDATA\LOCAL\TEMP\8EE4975C-31B712BA-94B439B1-A698E1CF\MLMLAFZCYAZD5K.EXE
delref D:\GAMES\LOSTLIGHT\LAUNCHER.EXE
delref D:\GAMES\RAGEMP\RAGEMP_V.EXE
delref D:\DOWNLOADS\SOTEXTERNALESPV3.2.2_[UNKNOWNCHEATS.ME]_.EXE
delref S:\PROGRAMMS\EQUALIZERAPO\BENCHMARK.EXE
delref S:\PROGRAMMS\EQUALIZERAPO\EDITOR.EXE
delref S:\PROGRAMMS\EQUALIZERAPO\CONFIGURATION REFERENCE (ONLINE).URL
delref S:\PROGRAMMS\EQUALIZERAPO\CONFIGURATION TUTORIAL (ONLINE).URL
delref S:\PROGRAMMS\EQUALIZERAPO\CONFIGURATOR.EXE
delref S:\PROGRAMMS\EQUALIZERAPO\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\UBISOFT\UBISOFT GAME LAUNCHER\UBISOFTCONNECT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\UBISOFT\UBISOFT GAME LAUNCHER\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\UBISOFT\UBISOFT GAME LAUNCHER\UPLAY.EXE
delref D:\GAMES\WARGAMING.NET\GAMECENTER\WGC.EXE
;-------------------------------------------------------------
REGT 14
restart
czoo

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, наблюдаются ли прежние проблемы после очистки.

+

добавьте новый образ в uVS для контроля очистки системы.

 

Сообщение не надо цитировать, просто пишите свой ответ в окне редактора, и нажимаем после этого кнопку "Отправить".

Изменено 26 августа, 2024 пользователем safety

[safety]

+

добавьте пожалуйста, лог проверки Cureit, которую вы делали для очистки проблемы.

[GraaanD]

Все так же запускается nslookup и появляется ошибка в WD. Лог после перезапуска

2024-08-26_16-01-53_log.txt

Появился файл HOSTS icalendar. Логи из Dr Web большие, даже при сжатии, загрузил на ЯД, вот ссылка
https://disk.yandex.ru/d/IFr85m6Jxvvi_w

[safety]

В hosts добавьте эти две строки:

Цитата

127.0.0.1       localhost
::1             localhost

+

покажите,что за ошибка в WD.

+

нужен новый образ автозапуска в uVS для контроля состояния системы.

 

лог Cureit гляну сейчас.

в этой программе gt-launcher 5.1.6 Cureit обнаруживал вредоносные файлы, ее лучше деинсталлировать.

 

Изменено 26 августа, 2024 пользователем safety

[GraaanD]

новый образ
+
Скрин ошибки в WD.

Могу так же снять и отправить ссылкой видео как появляется эта ошибка.

DESKTOP-Q5UN0TA_2024-08-26_16-23-08_v4.99.1v x64.7z

в файле hosts эти 2 строки есть, но после них куча дополнительных, которые я кидал выше, но я их не добавлял

[safety]

2 минуты назад, GraaanD сказал:

как появляется эта ошибка.

Это не ошибка, это обнаружение.

образ сейчас проверю, что там осталось.

[GraaanD]

https://disk.yandex.ru/i/MGoU7ifvuQSKXA
вот пример как все происходит

[safety]

Выполните очистку системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с автоматической перезагрузкой системы.

 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
sreg
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
apply
areg
restart

Добавьте свежий файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, наблюдаются ли прежние проблемы после очистки.

+

добавьте новый образ в uVS для контроля очистки системы.

Изменено 26 августа, 2024 пользователем safety

[GraaanD]

Вроде бы больше nslookup не запускается, WD не ругается, файл hosts все так же содержит в себе кучу приписок, но я думаю это некритично.

2024-08-26_16-39-20_log.txt DESKTOP-Q5UN0TA_2024-08-26_16-44-28_v4.99.1v x64.7z

смог удалить эти приписки, спасибо за помощь, проблема вроде решена

 

[safety]

Да, лучше стало. Источник угрозы ушел из автозапуска.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 14
delall %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
QUIT

Добавьте свежий файл дата_времяlog.txt из папки откуда запускали uVS

+

в этой программе gt-launcher 5.1.6 Cureit обнаруживал вредоносные файлы, ее лучше деинсталлировать.

 

[GraaanD]

Программу удалил, вот файл из папки

2024-08-26_16-54-23_log.txt

[safety]

хорошо,

hosts зачистился,  виновник всего этого был поставлен вначале в угол, затем удален.

 

Цитата

Очистка HOSTS...
Операция завершена.
--------------------------------------------------------------------------------------------------
delall %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
--------------------------------------------------------------------------------------------------
Применение изменений...
--------------------------------------------------------------------------------------------------
Запуск служб блокирован
Построение списка процессов и модулей...
Сбор дополнительной информации...
Остановка сервисов и выгрузка драйверов...
Завершение процессов...
Удаление файлов...
--------------------------------------------------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 0 из 0
Удалено файлов: 1 из 1

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.