Перейти к содержанию
Правила раздела

Что то меняет файл hosts с одним и тем же украинским IP

Duff007

Автор Duff007
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Duff007 Новичок

Duff007

Опубликовано
Опубликовано (изменено)

Что то меняет файл hosts с одним и тем же украинским IP: 91.247.37.137
Меняться может в любое время работы компьютера.
Причем после добавления этих строчек, у меня (Администратора) нет возможности редактировать этот файл вручную. Проверял Dr.Web CureIt!, он только восстанавливает его, никаких угроз не находит. После восстановления возвращается возможность редактировать вручную. 
Пытался отследить какой процесс редактирует файл ProcessorMonitor - он отследил только как Google Crome обращается к этому файлу уже после изменения (NotifyChangeDirectory). 
А проблему я обнаружил из за того, что из за этих изменений слетают css на многих сайтах, а почта яндекса так совсем не загружается.

CollectionLog-2018.01.03-16.00.zip

post-48517-0-05575500-1515174814_thumb.jpg

Изменено пользователем Duff007
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\ProgramData\GameConfig\Gameconfig.exe');
 TerminateProcessByName('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe');
 SetServiceStart('Gameconfig', 4);
 StopService('Gameconfig');
 QuarantineFile('C:\ProgramData\GameConfig\Gameconfig.exe', '');
 QuarantineFile('C:\Users\Egor\AppData\Local\Temp\Procmon64.exe', '');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe', '');
 QuarantineFileF('C:\ProgramData\GameConfig\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Egor\AppData\Roaming\Temp\updateHost\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\GameConfig\Gameconfig.exe', '32');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe', '32');
 DeleteFile('C:\WINDOWS\Tasks\WpsExternal_20161109044301.job', '32');
 DeleteService('Gameconfig');
 DeleteFileMask('C:\Users\Egor\AppData\Roaming\Temp\updateHost\', '*', true);
 DeleteDirectory('C:\Users\Egor\AppData\Roaming\Temp\updateHost\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O1 - Hosts: 91.247.37.137 google-analytics.com www.google-analytics.com mc.yandex.ru pagead2.googlesyndication.com top-fwz1.mail.ru googletagmanager.com www.googletagmanager.com an.yandex.ru
O1 - Hosts: 91.247.37.137 ajax.googleapis.com openstat.net st.top100.ru yandex.st yastatic.net www.acint.net site.yandex.net connect.facebook.net
O1 - Hosts: 91.247.37.137 js.hotlog.ru www.googleadservices.com userapi.com ddnk.advertur.ru platform.twitter.com share.pluso.ru w.uptolike.com s7.addthis.com
O8 - HKCU\..\Extra context menu item: E&xport to Microsoft Excel - C:\Program Files\Microsoft Office\Root\Office16\EXCEL.EXE (file missing)
O8 - HKCU\..\Extra context menu item: Se&nd to OneNote - C:\Program Files\Microsoft Office\Root\Office16\ONBttnIE.dll (file missing)
O22 - Task: (disabled) (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (file missing)
O22 - Task: (disabled) WpsExternal_20161109044301 - C:\Program Files (x86)\Kingsoft\WPS Office\ksolaunch.exe /wpscloudlaunch /wpsexternal /from=task (file missing)
O22 - Task: Microsoft_Hardware_Launch_ipoint_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe (file missing)
O22 - Task: Microsoft_Hardware_Launch_itype_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe (file missing)
O22 - Task: Microsoft_Hardware_Launch_mousekeyboardcenter_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\mousekeyboardcenter.exe (file missing)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

+

Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • cringemachine
      Перенос устройств с одного виртуального сервера на другой
      Автор cringemachine
      Коллеги, доброго.
      Надо перенести несколько устройств с одного вирт. сервера на другой вирт. сервер.
      Создаю задачу Смена сервера администрирования. Может кто уже сталкивался - в каком формате указывать адрес нового сервера (см. скриншот)?

       
      Подозреваю, что должно быть что-то вроде «<IP-адрес главного сервера>/<Наименование виртуального сервера>"».
    • Acteon_927
      Kaspersky Plus 21.21.7.384 не меняется регистр
      Автор Acteon_927
      На форме подтвердения KP не меняется регистр, что приводит к заблуждению о реально выбранном языковом регистре.

    • Ig0r
      Бонусная программа «Накапливай баллы — меняй на лицензии и сувениры!»: правила и обсуждение
      Автор Ig0r
      Накапливай баллы — меняй на лицензии и сувениры!
      В клубе «Лаборатории Касперского» действует бонусная программа «Накапливай баллы — меняй на лицензии и сувениры!». Получайте баллы (BAL) за свою активность в клубе, накапливайте и меняйте их в магазине на лицензии для продуктов «Лаборатории Касперского» и эксклюзивные сувениры с символикой компании с бесплатной доставкой!
      Кто может участвовать в бонусной программе?
       
      За что и сколько баллов можно получить?


      В какие сроки начисляются баллы?

      За что баллы могут снять?

      Где можно посмотреть количество накопленных баллов и есть ли у них срок действия?

      Предусмотрены ли в магазине скидки и как их получить?

      Что делать, если очень хочется получить лицензию или сувенир, а баллов не хватает?

      Где узнать подробности о характеристиках сувениров?

      Как сделать заказ и узнать, правильно ли он оформлен?

      Где я могу проверить статус заказа?

      Сколько стоит доставка и в какие регионы и страны она возможна? Есть ли территориальные ограничения на доставку сувениров?

      Есть ли минимальный заказ?

      В каких случаях сувенир может быть заменён или не отправлен вовсе?

      Какими способами можно получить заказ?

      Какие сроки доставки заказа?

      Как правильно принять посылку и что делать, если они повреждены?

      Где ещё можно потратить баллы, кроме магазина?

      Можно ли расплатиться за заказ клабами, накопленными в рамках участия в рейтинговой системе мотивации участников клуба?

      Заключительные положения
       
    • 49advan
      Буткит, Майнер, Ратник в одном флаконе
      Автор 49advan
      Заражался раньше майнером и раткой в одном флаконе, после переустановки винды он типо удалился но мне кажется что там все ещё есть часть от ратника или даже ещё там keylogger ведь кто то все время заходит ко мне в Стим хотя я не вводил нигде свои данные Стима. Каждые 2 недели заходят на акк без Steam Guard и без Email 3 чела с Питера. Есть Native Shell (нативный режим NT до запуска Win32, обычно все вирусы работают на Win32), могу записать LiveCD, Kaspersky Rescue Disk не работает, Dr. Web LiveCD тоже. Но установщик убунту прекрасно запускается.
    • Sgorick
      Переписанные файлы
      Автор Sgorick
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv я с помощью роликов переделал. bits существует в двух экземплярах, один из которых был bkp, но потом стал обычным.
      FRST.txt Addition.txt CollectionLog-2025.06.07-20.41.zip
×
×
  • Создать...