Перейти к содержанию
Правила раздела

Что то меняет файл hosts с одним и тем же украинским IP

Duff007

Автор Duff007,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Duff007

Duff007 0

Опубликовано
Опубликовано (изменено)

Что то меняет файл hosts с одним и тем же украинским IP: 91.247.37.137
Меняться может в любое время работы компьютера.
Причем после добавления этих строчек, у меня (Администратора) нет возможности редактировать этот файл вручную. Проверял Dr.Web CureIt!, он только восстанавливает его, никаких угроз не находит. После восстановления возвращается возможность редактировать вручную. 
Пытался отследить какой процесс редактирует файл ProcessorMonitor - он отследил только как Google Crome обращается к этому файлу уже после изменения (NotifyChangeDirectory). 
А проблему я обнаружил из за того, что из за этих изменений слетают css на многих сайтах, а почта яндекса так совсем не загружается.

CollectionLog-2018.01.03-16.00.zip

post-48517-0-05575500-1515174814_thumb.jpg

Изменено пользователем Duff007
Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\ProgramData\GameConfig\Gameconfig.exe');
 TerminateProcessByName('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe');
 SetServiceStart('Gameconfig', 4);
 StopService('Gameconfig');
 QuarantineFile('C:\ProgramData\GameConfig\Gameconfig.exe', '');
 QuarantineFile('C:\Users\Egor\AppData\Local\Temp\Procmon64.exe', '');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe', '');
 QuarantineFileF('C:\ProgramData\GameConfig\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Egor\AppData\Roaming\Temp\updateHost\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\GameConfig\Gameconfig.exe', '32');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Temp\updateHost\updatehost.exe', '32');
 DeleteFile('C:\WINDOWS\Tasks\WpsExternal_20161109044301.job', '32');
 DeleteService('Gameconfig');
 DeleteFileMask('C:\Users\Egor\AppData\Roaming\Temp\updateHost\', '*', true);
 DeleteDirectory('C:\Users\Egor\AppData\Roaming\Temp\updateHost\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O1 - Hosts: 91.247.37.137 google-analytics.com www.google-analytics.com mc.yandex.ru pagead2.googlesyndication.com top-fwz1.mail.ru googletagmanager.com www.googletagmanager.com an.yandex.ru
O1 - Hosts: 91.247.37.137 ajax.googleapis.com openstat.net st.top100.ru yandex.st yastatic.net www.acint.net site.yandex.net connect.facebook.net
O1 - Hosts: 91.247.37.137 js.hotlog.ru www.googleadservices.com userapi.com ddnk.advertur.ru platform.twitter.com share.pluso.ru w.uptolike.com s7.addthis.com
O8 - HKCU\..\Extra context menu item: E&xport to Microsoft Excel - C:\Program Files\Microsoft Office\Root\Office16\EXCEL.EXE (file missing)
O8 - HKCU\..\Extra context menu item: Se&nd to OneNote - C:\Program Files\Microsoft Office\Root\Office16\ONBttnIE.dll (file missing)
O22 - Task: (disabled) (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (file missing)
O22 - Task: (disabled) WpsExternal_20161109044301 - C:\Program Files (x86)\Kingsoft\WPS Office\ksolaunch.exe /wpscloudlaunch /wpsexternal /from=task (file missing)
O22 - Task: Microsoft_Hardware_Launch_ipoint_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe (file missing)
O22 - Task: Microsoft_Hardware_Launch_itype_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe (file missing)
O22 - Task: Microsoft_Hardware_Launch_mousekeyboardcenter_exe - C:\Program Files\Microsoft Mouse and Keyboard Center\mousekeyboardcenter.exe (file missing)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

+

Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • moriband
      [РЕШЕНО] HOSTS:MALWARE.URL, Dr.Web не справляется с лечением
      От moriband
      Раз в месяц проверяю пк Dr.Web Cureit, в этот раз нашел мне HOSTS:MALWARE.URL и сначала вылечил, я решил проверить еще раз и он снова там оказался, но в этот раз выдал ошибку лечения.
      CollectionLog-2024.02.07-13.29.zip
    • Leliil
      Kaspersky Security Center 13 и замена hosts на управляемых устройствах через .bat
      От Leliil
      Добрый день, понадобилось добавить пару строк в файл hosts, либо заменить на новый.
      В KSC 13.0.0.11247 в политике убрал отметку на пункте файла hosts, через свойства политики - Продвинутая защита - Предотвращение вторжений, Настройка - ОС - Системные файлы - Критические настройки. Добавил в исключение название .bat файла, сделал уникальное имя, чтобы не совпало с каким-то зловредом и прочим, после применения пункт защиты верну на место.
      Вручную через .bat с запуском от имени администратора изменения вносятся.
      Создаю задачу удаленной установки и замена не проходит, что удаленно, что локально (создал автономный пакет). Что я делаю не так?
    • Jerry
      Cmd, hosts
      От Jerry
      Здравствуйте, в общем история такая. Играли с знакомым Pubg Mobile. Через некоторое время надоело ему, попросил меня скачать "хак" , в дискорде, там что-то от "Mokka" было такой чит хороший ,ну решил скачать , поиграть все дела, играть вроде ничего не мешает, спустя несколько дней, мне один чел сказал, что они собирают всю инфу со всех тех устройств, на котором поставлен файл. И после этого у меня начал пропадать файл hosts, ну только если самому создать, и то он пропадет, и так всегда. Что касается командной строки. Уже какой месяц, включаю пк, доходит до рабочего стола, и появляются 2 командные строки с кажется строками "Пользователя  администратор в системе не найдено или другая", просто особое внимание не обращал. Уже думал переустановить систему, но +1 жесткого диска нету что бы скинул туда все свои файлы, https://yapx.ru/v/MgR32 , вот ссылка на то , что у меня hosts нету! ! ПРОВЕРЯЛ DR.WEB CUREIT, MALWAREBYTES , устранял вирусы , ТОЛКУ НЕТ ! 
    • Peter15
      Разрешить редактирование hosts.
      От Peter15
      Нужно установить одну программу, которой надо поменять файл "hosts". Как и где настроить исключения?
    • Anastaseya
      вирус в HOSTS
      От Anastaseya
      Здравствуйте!
      Очень надеюсь на Вашу помощь. Сейчас расскажу свою ситуацию полностью. Позавчера был заблокирован доступ"Вконтакте" с предложением отправить платное смс. В файле HOSTS было много лишней информации, сохранить файл без этого лишнего текста не удалось. Мне посоветовали это сделать через безопасный режим. Бесплатным авастом были найдены вирусы, все вроде вычищено, файл hosts изменен. И доступ в контакт работал около суток до 18.00 вчерашнего дня. Повторилась даже ситуация. В тот же вечер я приобрела Kaspersky Internet Security, прошлась полной проверкой, но он ничего не выявил. В Интернете нашла информацию, что нужно настроить видимыми все скрытые папки, на рабочем столе создать текстовый файл hosts с содержанием 127.0.0.1 localhost без расширения txt и переместить его в папку etc. А файл hosts старый, имеющийся там, удалить. Что я и сделала. Теперь при наборе команды notepad %windir%\system32\drivers\etc\hosts у меня вылезает блокнот и там только эта строчка:
       
      127.0.0.1 localhost
      И все... Я боюсь повторения ситуации и сомневаюсь, что вирус исчез. Подскажите, пожалуйста, как быть. Систему сносить нет возможности.
      Заранее спасибо!
×
×
  • Создать...

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.

  Я принимаю