Перейти к содержанию
Правила раздела

[РЕШЕНО] SettingsModifier:Win32/PossibleHostsFileHijack

nvsdope

Автор nvsdope,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

nvsdope

nvsdope 0

Опубликовано
Опубликовано (изменено)

Доброе утро. в журнале защиты постоянно вылазит SettingsModifier:Win32/PossibleHostsFileHijack, затронутые элементы file: C:\Windows\System32\drivers\etc\host удаление не помогает, прикладываю логи

надеюсь на вашу помощь.

NVSDOPE_2024-09-14_13-07-41_v4.99.1v x64.7z SecurityCheck.txt

Изменено пользователем nvsdope
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)

Выполните скрипт очистки в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

  

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
ZOO %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
delall %SystemDrive%\USERS\NVSDOPE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/CR/REPORT
REGT 14
apply
czoo

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Архив CZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Сделайте новый образ автозапуска для контроля.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
nvsdope

nvsdope 0

Опубликовано
  • Автор
Опубликовано (изменено)

https://disk.yandex.ru/d/frYF4fgQkePxQg 

запрашиваемая ссылка, в ЛС нет возможности написать

NVSDOPE_2024-09-14_15-00-49_v4.99.1v x64.7z

Изменено пользователем nvsdope
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)

похоже все очистилось, и Hosts очищен, и майнер удален.

 

Очистка мусора.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

  

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.7.0.1841\SERVICE_UPDATE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\22.7.0.1841\INSTALLER\YNDXSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\CONFIG\SYSTEMPROFILE
delref %SystemDrive%\PROGRAM FILES
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\DENUVO ANTI-CHEAT\DENUVO-ANTI-CHEAT.SYS
delref %SystemDrive%\PROGRAM FILES\DENUVO ANTI-CHEAT\DENUVO-ANTI-CHEAT-UPDATE-SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MSI\ONE DRAGON CENTER\LIB\NTIOLIB_X64.SYS
delref F:\LAUNCHER\ROCKSTARSERVICE.EXE
;-------------------------------------------------------------

restart

Добавьте новый файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, исправлены ли прежние проблемы, не наблюдается ли новых проблем после очистки.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано

По возможности обновите данное ПО.

 

7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9021 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.30767 Внимание! Скачать обновления

K-Lite Mega Codec Pack 18.2.6 v.18.2.6 Внимание! Скачать обновления

Yandex (All Users) v.24.7.2.1098 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

Ссылка на сообщение
Поделиться на другие сайты
  • safety закрыл тема
safety

safety 130

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • GraaanD
      [РЕШЕНО] PowerShell, nslookup и SettingsModifier:Win32/PossibleHostsFileHijack
      От GraaanD
      Доброе утро, день, вечер, друзья. Начал замечать что появляется и кушает оперативную память "nslookup", хотя раньше её вообще не наблюдал в диспетчере задач. В попытке её отключить замечаю что появляется PowerShell, так понимаю выполняется какая-то команда и снова включается nslookup. После этого в защитнике Windows (Знаю что не самый удачный антивирус, но все таки...) появляется SettingsModifier:Win32/PossibleHostsFileHijack. Блокируя, удаляя угрозу все начинается по новой, вижу nslookup, закрываю, powershell и по кругу. Так же проверив антивирусом Dr.Web CureIt!, что выдало мне такую ошибку, который он не может исправить 
      Может кто подсказать что это, как избавиться? А то напрягает, вирус какой схватил?
      Закрывая файл nslookup в файле hosts появляются дополнительные строки, и WD ругается, а именно строки:
      0.0.0.0       avast.com
      0.0.0.0       www.avast.com
      0.0.0.0       totalav.com
      0.0.0.0       www.totalav.com
      0.0.0.0       scanguard.com
      0.0.0.0       www.scanguard.com
      0.0.0.0       totaladblock.com
      0.0.0.0       www.totaladblock.com
      0.0.0.0       pcprotect.com
      0.0.0.0       www.pcprotect.com
      0.0.0.0       mcafee.com
      0.0.0.0       www.mcafee.com
      0.0.0.0       bitdefender.com
      0.0.0.0       www.bitdefender.com
      0.0.0.0       us.norton.com
      0.0.0.0       www.us.norton.com
      0.0.0.0       avg.com
      0.0.0.0       www.avg.com
      0.0.0.0       malwarebytes.com
      0.0.0.0       www.malwarebytes.com
      0.0.0.0       pandasecurity.com
      0.0.0.0       www.pandasecurity.com
      0.0.0.0       surfshark.com
      0.0.0.0       www.surfshark.com
      0.0.0.0       avira.com
      0.0.0.0       www.avira.com
      0.0.0.0       norton.com
      0.0.0.0       www.norton.com
      0.0.0.0       eset.com
      0.0.0.0       www.eset.com
      0.0.0.0       microsoft.com
      0.0.0.0       www.microsoft.com
      0.0.0.0       Zillya.com
      0.0.0.0       www.Zillya.com
      0.0.0.0       kaspersky.com
      0.0.0.0       www.kaspersky.com
      0.0.0.0       usa.kaspersky.com
      0.0.0.0       www.usa.kaspersky.com
      0.0.0.0       dpbolvw.net
      0.0.0.0       www.dpbolvw.net
      0.0.0.0       sophos.com
      0.0.0.0       www.sophos.com
      0.0.0.0       home.sophos.com
      0.0.0.0       www.home.sophos.com
      0.0.0.0       www.adaware.com
      0.0.0.0       adaware.com
      0.0.0.0       www.ahnlab.com
      0.0.0.0       ahnlab.com
      0.0.0.0       www.bullguard.com
      0.0.0.0       bullguard.com
      0.0.0.0       clamav.net
      0.0.0.0       www.clamav.net
      0.0.0.0       www.drweb.com
      0.0.0.0       drweb.com
      0.0.0.0       emsisoft.com
      0.0.0.0       www.emsisoft.com
      0.0.0.0       www.f-secure.com
      0.0.0.0       f-secure.com
      0.0.0.0       www.zonealarm.com
      0.0.0.0       zonealarm.com
      0.0.0.0       www.trendmicro.com
      0.0.0.0       trendmicro.com
      0.0.0.0       www.ccleaner.com
      0.0.0.0       ccleaner.com
      0.0.0.0       www.virustotal.com
      0.0.0.0       virustotal.com
    • saha96
      Добавление в планировщик команды PowerShell
      От saha96
      Доброго времени суток! Есть задача автоматизировать обновление файла RDP Wrapper под актуальную сборку после обновления винды. Обновление файла, необходимого для его работы выполняется из PowerShell следующим образом
       Stop-Service termservice -Force
      Invoke-WebRequest https://raw.githubusercontent.com/sebaxakerhtc/rdpwrap.ini/master/rdpwrap.ini -outfile "C:\Program Files\RDP Wrapper\rdpwrap.ini"
       
      Как корректно добавить данную команду в планировщик и запустить выполнение раз в месяц?
    • GavrikGame
      [РЕШЕНО] Помогите удалить вирус taskhost
      От GavrikGame
      Удалял вирус полностью и через безопасный режим, как только не пытался.
      Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
      Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
      ПОМОГИТИ

    • GlockKatana
      PowerShell. Командная строка при запуске ПК включается и исчезает
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • moriband
      [РЕШЕНО] HOSTS:MALWARE.URL, Dr.Web не справляется с лечением
      От moriband
      Раз в месяц проверяю пк Dr.Web Cureit, в этот раз нашел мне HOSTS:MALWARE.URL и сначала вылечил, я решил проверить еще раз и он снова там оказался, но в этот раз выдал ошибку лечения.
      CollectionLog-2024.02.07-13.29.zip
×
×
  • Создать...