Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Что то меняет файл hosts с одним и тем же украинским IP

Duff007

Автор Duff007
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Duff007

Duff007

Опубликовано
Опубликовано (изменено)

Что то меняет файл hosts с одним и тем же украинским IP: 91.247.37.137
Меняться может в любое время работы компьютера.
Причем после добавления этих строчек, у меня (Администратора) нет возможности редактировать этот файл вручную. Проверял Dr.Web CureIt!, он только восстанавливает его, никаких угроз не находит. После восстановления возвращается возможность редактировать вручную. 
Пытался отследить какой процесс редактирует файл ProcessorMonitor - он отследил только как Google Crome обращается к этому файлу уже после изменения (NotifyChangeDirectory). 
А проблему я обнаружил из за того, что из за этих изменений слетают css на многих сайтах, а почта яндекса так совсем не загружается.

CollectionLog-2018.01.03-16.00.zip

post-48517-0-05575500-1515174814_thumb.jpg

Изменено пользователем Duff007
Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\ProgramData\GameConfig\Gameconfig.exe');
 TerminateProcessByName('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe');
 SetServiceStart('Gameconfig', 4);
 StopService('Gameconfig');
 QuarantineFile('C:\ProgramData\GameConfig\Gameconfig.exe', '');
 QuarantineFile('C:\Users\Egor\AppData\Local\Temp\Procmon64.exe', '');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe', '');
 QuarantineFileF('C:\ProgramData\GameConfig\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Egor\AppData\Roaming\Temp\updateHost\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\GameConfig\Gameconfig.exe', '32');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe', '32');
 DeleteFile('C:\WINDOWS\Tasks\WpsExternal_20161109044301.job', '32');
 DeleteService('Gameconfig');
 DeleteFileMask('C:\Users\Egor\AppData\Roaming\Temp\updateHost\', '*', true);
 DeleteDirectory('C:\Users\Egor\AppData\Roaming\Temp\updateHost\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O1 - Hosts: 91.247.37.137 google-analytics.com www.google-analytics.com mc.yandex.ru pagead2.googlesyndication.com top-fwz1.mail.ru googletagmanager.com www.googletagmanager.com an.yandex.ru
O1 - Hosts: 91.247.37.137 ajax.googleapis.com openstat.net st.top100.ru yandex.st yastatic.net www.acint.net site.yandex.net connect.facebook.net
O1 - Hosts: 91.247.37.137 js.hotlog.ru www.googleadservices.com userapi.com ddnk.advertur.ru platform.twitter.com share.pluso.ru w.uptolike.com s7.addthis.com
O8 - HKCU\..\Extra context menu item: E&xport to Microsoft Excel - C:\Program Files\Microsoft Office\Root\Office16\EXCEL.EXE (file missing)
O8 - HKCU\..\Extra context menu item: Se&nd to OneNote - C:\Program Files\Microsoft Office\Root\Office16\ONBttnIE.dll (file missing)
O22 - Task: (disabled) (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (file missing)
O22 - Task: (disabled) WpsExternal_20161109044301 - C:\Program Files (x86)\Kingsoft\WPS Office\ksolaunch.exe /wpscloudlaunch /wpsexternal /from=task (file missing)
O22 - Task: Microsoft_Hardware_Launch_ipoint_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe (file missing)
O22 - Task: Microsoft_Hardware_Launch_itype_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe (file missing)
O22 - Task: Microsoft_Hardware_Launch_mousekeyboardcenter_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\mousekeyboardcenter.exe (file missing)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

+

Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Бебра
      Как перенести файлы с одного диска на другой?
      Автор Бебра
      У меня есть несистемный HDD, он почти перестал работать, я попробовал перенести файлы с него на новый SSD при помощи HDD Raw Copy Tool, предварительно введя ПК в безопасный режим, но теперь многие данные на SSD повреждены и выдают «ошибка файловой системы», HDD ещё читается, но очень тормозит.
    • cringemachine
      Перенос устройств с одного виртуального сервера на другой
      Автор cringemachine
      Коллеги, доброго.
      Надо перенести несколько устройств с одного вирт. сервера на другой вирт. сервер.
      Создаю задачу Смена сервера администрирования. Может кто уже сталкивался - в каком формате указывать адрес нового сервера (см. скриншот)?

       
      Подозреваю, что должно быть что-то вроде «<IP-адрес главного сервера>/<Наименование виртуального сервера>"».
    • Acteon_927
      Kaspersky Plus 21.21.7.384 не меняется регистр
      Автор Acteon_927
      На форме подтвердения KP не меняется регистр, что приводит к заблуждению о реально выбранном языковом регистре.

    • 49advan
      Буткит, Майнер, Ратник в одном флаконе
      Автор 49advan
      Заражался раньше майнером и раткой в одном флаконе, после переустановки винды он типо удалился но мне кажется что там все ещё есть часть от ратника или даже ещё там keylogger ведь кто то все время заходит ко мне в Стим хотя я не вводил нигде свои данные Стима. Каждые 2 недели заходят на акк без Steam Guard и без Email 3 чела с Питера. Есть Native Shell (нативный режим NT до запуска Win32, обычно все вирусы работают на Win32), могу записать LiveCD, Kaspersky Rescue Disk не работает, Dr. Web LiveCD тоже. Но установщик убунту прекрасно запускается.
    • Alexxxxx
      У меня РАТ файл
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
×
×
  • Создать...