Что то меняет файл hosts с одним и тем же украинским IP

5 января, 2018

Что то меняет файл hosts с одним и тем же украинским IP: 91.247.37.137
Меняться может в любое время работы компьютера.
Причем после добавления этих строчек, у меня (Администратора) нет возможности редактировать этот файл вручную. Проверял Dr.Web CureIt!, он только восстанавливает его, никаких угроз не находит. После восстановления возвращается возможность редактировать вручную.
Пытался отследить какой процесс редактирует файл ProcessorMonitor - он отследил только как Google Crome обращается к этому файлу уже после изменения (NotifyChangeDirectory).
А проблему я обнаружил из за того, что из за этих изменений слетают css на многих сайтах, а почта яндекса так совсем не загружается.

CollectionLog-2018.01.03-16.00.zip

Изменено 5 января, 2018 пользователем Duff007

5 января, 2018

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\ProgramData\GameConfig\Gameconfig.exe');
 TerminateProcessByName('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe');
 SetServiceStart('Gameconfig', 4);
 StopService('Gameconfig');
 QuarantineFile('C:\ProgramData\GameConfig\Gameconfig.exe', '');
 QuarantineFile('C:\Users\Egor\AppData\Local\Temp\Procmon64.exe', '');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe', '');
 QuarantineFileF('C:\ProgramData\GameConfig\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Egor\AppData\Roaming\Temp\updateHost\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\GameConfig\Gameconfig.exe', '32');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe', '32');
 DeleteFile('C:\WINDOWS\Tasks\WpsExternal_20161109044301.job', '32');
 DeleteService('Gameconfig');
 DeleteFileMask('C:\Users\Egor\AppData\Roaming\Temp\updateHost\', '*', true);
 DeleteDirectory('C:\Users\Egor\AppData\Roaming\Temp\updateHost\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O1 - Hosts: 91.247.37.137 google-analytics.com www.google-analytics.com mc.yandex.ru pagead2.googlesyndication.com top-fwz1.mail.ru googletagmanager.com www.googletagmanager.com an.yandex.ru
O1 - Hosts: 91.247.37.137 ajax.googleapis.com openstat.net st.top100.ru yandex.st yastatic.net www.acint.net site.yandex.net connect.facebook.net
O1 - Hosts: 91.247.37.137 js.hotlog.ru www.googleadservices.com userapi.com ddnk.advertur.ru platform.twitter.com share.pluso.ru w.uptolike.com s7.addthis.com
O8 - HKCU\..\Extra context menu item: E&xport to Microsoft Excel - C:\Program Files\Microsoft Office\Root\Office16\EXCEL.EXE (file missing)
O8 - HKCU\..\Extra context menu item: Se&nd to OneNote - C:\Program Files\Microsoft Office\Root\Office16\ONBttnIE.dll (file missing)
O22 - Task: (disabled) (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (file missing)
O22 - Task: (disabled) WpsExternal_20161109044301 - C:\Program Files (x86)\Kingsoft\WPS Office\ksolaunch.exe /wpscloudlaunch /wpsexternal /from=task (file missing)
O22 - Task: Microsoft_Hardware_Launch_ipoint_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe (file missing)
O22 - Task: Microsoft_Hardware_Launch_itype_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe (file missing)
O22 - Task: Microsoft_Hardware_Launch_mousekeyboardcenter_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\mousekeyboardcenter.exe (file missing)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

+

Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

8 января, 2018

@Duff007, определитесь, где будете продолжать лечение: здесь или на кибер-форуме?

Что то меняет файл hosts с одним и тем же украинским IP

Рекомендуемые сообщения

Duff007

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum