Перейти к содержанию
Правила раздела
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Что то меняет файл hosts с одним и тем же украинским IP

Duff007

Автор Duff007
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Duff007

Duff007

Опубликовано
Опубликовано (изменено)

Что то меняет файл hosts с одним и тем же украинским IP: 91.247.37.137
Меняться может в любое время работы компьютера.
Причем после добавления этих строчек, у меня (Администратора) нет возможности редактировать этот файл вручную. Проверял Dr.Web CureIt!, он только восстанавливает его, никаких угроз не находит. После восстановления возвращается возможность редактировать вручную. 
Пытался отследить какой процесс редактирует файл ProcessorMonitor - он отследил только как Google Crome обращается к этому файлу уже после изменения (NotifyChangeDirectory). 
А проблему я обнаружил из за того, что из за этих изменений слетают css на многих сайтах, а почта яндекса так совсем не загружается.

CollectionLog-2018.01.03-16.00.zip

post-48517-0-05575500-1515174814_thumb.jpg

Изменено пользователем Duff007
regist

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\ProgramData\GameConfig\Gameconfig.exe');
 TerminateProcessByName('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe');
 SetServiceStart('Gameconfig', 4);
 StopService('Gameconfig');
 QuarantineFile('C:\ProgramData\GameConfig\Gameconfig.exe', '');
 QuarantineFile('C:\Users\Egor\AppData\Local\Temp\Procmon64.exe', '');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe', '');
 QuarantineFileF('C:\ProgramData\GameConfig\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Egor\AppData\Roaming\Temp\updateHost\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\GameConfig\Gameconfig.exe', '32');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe', '32');
 DeleteFile('C:\WINDOWS\Tasks\WpsExternal_20161109044301.job', '32');
 DeleteService('Gameconfig');
 DeleteFileMask('C:\Users\Egor\AppData\Roaming\Temp\updateHost\', '*', true);
 DeleteDirectory('C:\Users\Egor\AppData\Roaming\Temp\updateHost\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O1 - Hosts: 91.247.37.137 google-analytics.com www.google-analytics.com mc.yandex.ru pagead2.googlesyndication.com top-fwz1.mail.ru googletagmanager.com www.googletagmanager.com an.yandex.ru
O1 - Hosts: 91.247.37.137 ajax.googleapis.com openstat.net st.top100.ru yandex.st yastatic.net www.acint.net site.yandex.net connect.facebook.net
O1 - Hosts: 91.247.37.137 js.hotlog.ru www.googleadservices.com userapi.com ddnk.advertur.ru platform.twitter.com share.pluso.ru w.uptolike.com s7.addthis.com
O8 - HKCU\..\Extra context menu item: E&xport to Microsoft Excel - C:\Program Files\Microsoft Office\Root\Office16\EXCEL.EXE (file missing)
O8 - HKCU\..\Extra context menu item: Se&nd to OneNote - C:\Program Files\Microsoft Office\Root\Office16\ONBttnIE.dll (file missing)
O22 - Task: (disabled) (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (file missing)
O22 - Task: (disabled) WpsExternal_20161109044301 - C:\Program Files (x86)\Kingsoft\WPS Office\ksolaunch.exe /wpscloudlaunch /wpsexternal /from=task (file missing)
O22 - Task: Microsoft_Hardware_Launch_ipoint_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe (file missing)
O22 - Task: Microsoft_Hardware_Launch_itype_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe (file missing)
O22 - Task: Microsoft_Hardware_Launch_mousekeyboardcenter_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\mousekeyboardcenter.exe (file missing)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

+

Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
 

Sandor

Sandor

Опубликовано
Опубликовано
@Duff007, определитесь, где будете продолжать лечение: здесь или на кибер-форуме?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • rancol347
      Скачал Касперский и сразу найден Троян
      Автор rancol347
      Trojan.win.32.hosts2.gen
      C:\Windows\System32\drivers\etc\hosts

      Пока что выполняю лечение активного заражения
      16:05 завершено лечение, сразу началась перезагрузка, даже не предупреждая 
      16:13 провёл быструю проверку -  ничего не Найдено. Возможно ложное/файл был вылечен
    • nvsdope
      [РЕШЕНО] SettingsModifier:Win32/PossibleHostsFileHijack
      Автор nvsdope
      Доброе утро. в журнале защиты постоянно вылазит SettingsModifier:Win32/PossibleHostsFileHijack, затронутые элементы file: C:\Windows\System32\drivers\etc\host удаление не помогает, прикладываю логи
      надеюсь на вашу помощь.
      NVSDOPE_2024-09-14_13-07-41_v4.99.1v x64.7z SecurityCheck.txt
    • GraaanD
      [РЕШЕНО] PowerShell, nslookup и SettingsModifier:Win32/PossibleHostsFileHijack
      Автор GraaanD
      Доброе утро, день, вечер, друзья. Начал замечать что появляется и кушает оперативную память "nslookup", хотя раньше её вообще не наблюдал в диспетчере задач. В попытке её отключить замечаю что появляется PowerShell, так понимаю выполняется какая-то команда и снова включается nslookup. После этого в защитнике Windows (Знаю что не самый удачный антивирус, но все таки...) появляется SettingsModifier:Win32/PossibleHostsFileHijack. Блокируя, удаляя угрозу все начинается по новой, вижу nslookup, закрываю, powershell и по кругу. Так же проверив антивирусом Dr.Web CureIt!, что выдало мне такую ошибку, который он не может исправить 
      Может кто подсказать что это, как избавиться? А то напрягает, вирус какой схватил?
      Закрывая файл nslookup в файле hosts появляются дополнительные строки, и WD ругается, а именно строки:
      0.0.0.0       avast.com
      0.0.0.0       www.avast.com
      0.0.0.0       totalav.com
      0.0.0.0       www.totalav.com
      0.0.0.0       scanguard.com
      0.0.0.0       www.scanguard.com
      0.0.0.0       totaladblock.com
      0.0.0.0       www.totaladblock.com
      0.0.0.0       pcprotect.com
      0.0.0.0       www.pcprotect.com
      0.0.0.0       mcafee.com
      0.0.0.0       www.mcafee.com
      0.0.0.0       bitdefender.com
      0.0.0.0       www.bitdefender.com
      0.0.0.0       us.norton.com
      0.0.0.0       www.us.norton.com
      0.0.0.0       avg.com
      0.0.0.0       www.avg.com
      0.0.0.0       malwarebytes.com
      0.0.0.0       www.malwarebytes.com
      0.0.0.0       pandasecurity.com
      0.0.0.0       www.pandasecurity.com
      0.0.0.0       surfshark.com
      0.0.0.0       www.surfshark.com
      0.0.0.0       avira.com
      0.0.0.0       www.avira.com
      0.0.0.0       norton.com
      0.0.0.0       www.norton.com
      0.0.0.0       eset.com
      0.0.0.0       www.eset.com
      0.0.0.0       microsoft.com
      0.0.0.0       www.microsoft.com
      0.0.0.0       Zillya.com
      0.0.0.0       www.Zillya.com
      0.0.0.0       kaspersky.com
      0.0.0.0       www.kaspersky.com
      0.0.0.0       usa.kaspersky.com
      0.0.0.0       www.usa.kaspersky.com
      0.0.0.0       dpbolvw.net
      0.0.0.0       www.dpbolvw.net
      0.0.0.0       sophos.com
      0.0.0.0       www.sophos.com
      0.0.0.0       home.sophos.com
      0.0.0.0       www.home.sophos.com
      0.0.0.0       www.adaware.com
      0.0.0.0       adaware.com
      0.0.0.0       www.ahnlab.com
      0.0.0.0       ahnlab.com
      0.0.0.0       www.bullguard.com
      0.0.0.0       bullguard.com
      0.0.0.0       clamav.net
      0.0.0.0       www.clamav.net
      0.0.0.0       www.drweb.com
      0.0.0.0       drweb.com
      0.0.0.0       emsisoft.com
      0.0.0.0       www.emsisoft.com
      0.0.0.0       www.f-secure.com
      0.0.0.0       f-secure.com
      0.0.0.0       www.zonealarm.com
      0.0.0.0       zonealarm.com
      0.0.0.0       www.trendmicro.com
      0.0.0.0       trendmicro.com
      0.0.0.0       www.ccleaner.com
      0.0.0.0       ccleaner.com
      0.0.0.0       www.virustotal.com
      0.0.0.0       virustotal.com
    • moriband
      [РЕШЕНО] HOSTS:MALWARE.URL, Dr.Web не справляется с лечением
      Автор moriband
      Раз в месяц проверяю пк Dr.Web Cureit, в этот раз нашел мне HOSTS:MALWARE.URL и сначала вылечил, я решил проверить еще раз и он снова там оказался, но в этот раз выдал ошибку лечения.
      CollectionLog-2024.02.07-13.29.zip
    • Leliil
      Kaspersky Security Center 13 и замена hosts на управляемых устройствах через .bat
      Автор Leliil
      Добрый день, понадобилось добавить пару строк в файл hosts, либо заменить на новый.
      В KSC 13.0.0.11247 в политике убрал отметку на пункте файла hosts, через свойства политики - Продвинутая защита - Предотвращение вторжений, Настройка - ОС - Системные файлы - Критические настройки. Добавил в исключение название .bat файла, сделал уникальное имя, чтобы не совпало с каким-то зловредом и прочим, после применения пункт защиты верну на место.
      Вручную через .bat с запуском от имени администратора изменения вносятся.
      Создаю задачу удаленной установки и замена не проходит, что удаленно, что локально (создал автономный пакет). Что я делаю не так?
×
×
  • Создать...