Перейти к содержанию
Правила раздела

Cmd, hosts

Jerry

Автор Jerry,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Jerry

Jerry 0

Опубликовано
Опубликовано

Здравствуйте, в общем история такая. Играли с знакомым Pubg Mobile. Через некоторое время надоело ему, попросил меня скачать "хак" , в дискорде, там что-то от "Mokka" было такой чит хороший ,ну решил скачать , поиграть все дела, играть вроде ничего не мешает, спустя несколько дней, мне один чел сказал, что они собирают всю инфу со всех тех устройств, на котором поставлен файл. И после этого у меня начал пропадать файл hosts, ну только если самому создать, и то он пропадет, и так всегда. Что касается командной строки. Уже какой месяц, включаю пк, доходит до рабочего стола, и появляются 2 командные строки с кажется строками "Пользователя  администратор в системе не найдено или другая", просто особое внимание не обращал. Уже думал переустановить систему, но +1 жесткого диска нету что бы скинул туда все свои файлы, https://yapx.ru/v/MgR32 , вот ссылка на то , что у меня hosts нету! ! ПРОВЕРЯЛ DR.WEB CUREIT, MALWAREBYTES , устранял вирусы , ТОЛКУ НЕТ ! 

Ссылка на сообщение
Поделиться на другие сайты
Jerry

Jerry 0

Опубликовано
  • Автор
Опубликовано

Здравствуйте, в общем история такая. Играли с знакомым Pubg Mobile. Через некоторое время надоело ему, попросил меня скачать "хак" , в дискорде, там что-то от "Mokka" было такой чит хороший ,ну решил скачать , поиграть все дела, играть вроде ничего не мешает, спустя несколько дней, мне один чел сказал, что они собирают всю инфу со всех тех устройств, на котором поставлен файл. И после этого у меня начал пропадать файл hosts, ну только если самому создать, и то он пропадет, и так всегда. Что касается командной строки. Уже какой месяц, включаю пк, доходит до рабочего стола, и появляются 2 командные строки с кажется строками "Пользователя  администратор в системе не найдено или другая", просто особое внимание не обращал. Уже думал переустановить систему, но +1 жесткого диска нету что бы скинул туда все свои файлы, https://yapx.ru/v/MgR32 , вот ссылка на то , что у меня hosts нету! ! ПРОВЕРЯЛ DR.WEB CUREIT, MALWAREBYTES , устранял вирусы , ТОЛКУ НЕТ ! , сделал как вы попросили(в пред.теме).Я точно не знаю какие файлы нужны, поэтому все что практически можно было я прикрепил

Check_Browsers_LNK.log HiJackThis.log info.txt log.txt

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 422

Опубликовано
Опубликовано

1. Не нужно выделять текст сообщения полужирным начертанием.

 

2. Перечитайте правила по ссылке, которую Вам дали, и пришлите нужный архив.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 422

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (disabled) \MyTasks\Notepad task1 - C:\Windows\System32\cmd.exe /c del C:\WINDOWS\System32\Drivers\Etc\hosts & netsh advfirewall reset
O22 - Task: (disabled) \MyTasks\Notepad task2 - C:\Windows\System32\cmd.exe /c TAKEOWN /F C:\WINDOWS\System32\Drivers\Etc\hosts & ICACLS C:\WINDOWS\System32\Drivers\Etc\hosts /grant administrators:F & cacls C:\WINDOWS\System32\Drivers\Etc\hosts /e /p everyone:f
O22 - Task: BlueStacksHelper - C:\ProgramData\BlueStacks\Client\Helper\BlueStacksHelper.exe -sr (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2092988324-2849034859-2884215072-1001 - C:\Users\sanek\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2092988324-2849034859-2884215072-500 - C:\Users\sanek\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: \MyTasks\Notepad task3 - C:\Windows\System32\cmd.exe /c del C:\WINDOWS\System32\Drivers\Etc\hosts & netsh advfirewall reset
O22 - Task: \MyTasks\Notepad task4 - C:\Windows\System32\cmd.exe /c TAKEOWN /F C:\WINDOWS\System32\Drivers\Etc\hosts & ICACLS C:\WINDOWS\System32\Drivers\Etc\hosts /grant administrators:F & cacls C:\WINDOWS\System32\Drivers\Etc\hosts /e /p everyone:f
O22 - Task: \MyTasks\Notepad task5 - C:\Windows\System32\cmd.exe /c del C:\WINDOWS\System32\Drivers\Etc\hosts & netsh advfirewall reset
O22 - Task: \MyTasks\Notepad task6 - C:\Windows\System32\cmd.exe /c TAKEOWN /F C:\WINDOWS\System32\Drivers\Etc\hosts & ICACLS C:\WINDOWS\System32\Drivers\Etc\hosts /grant administrators:F & cacls C:\WINDOWS\System32\Drivers\Etc\hosts /e /p everyone:f

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты
Jerry

Jerry 0

Опубликовано
  • Автор
Опубликовано
16 часов назад, thyrex сказал:

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши) 


O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (disabled) \MyTasks\Notepad task1 - C:\Windows\System32\cmd.exe /c del C:\WINDOWS\System32\Drivers\Etc\hosts & netsh advfirewall reset
O22 - Task: (disabled) \MyTasks\Notepad task2 - C:\Windows\System32\cmd.exe /c TAKEOWN /F C:\WINDOWS\System32\Drivers\Etc\hosts & ICACLS C:\WINDOWS\System32\Drivers\Etc\hosts /grant administrators:F & cacls C:\WINDOWS\System32\Drivers\Etc\hosts /e /p everyone:f
O22 - Task: BlueStacksHelper - C:\ProgramData\BlueStacks\Client\Helper\BlueStacksHelper.exe -sr (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2092988324-2849034859-2884215072-1001 - C:\Users\sanek\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2092988324-2849034859-2884215072-500 - C:\Users\sanek\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: \MyTasks\Notepad task3 - C:\Windows\System32\cmd.exe /c del C:\WINDOWS\System32\Drivers\Etc\hosts & netsh advfirewall reset
O22 - Task: \MyTasks\Notepad task4 - C:\Windows\System32\cmd.exe /c TAKEOWN /F C:\WINDOWS\System32\Drivers\Etc\hosts & ICACLS C:\WINDOWS\System32\Drivers\Etc\hosts /grant administrators:F & cacls C:\WINDOWS\System32\Drivers\Etc\hosts /e /p everyone:f
O22 - Task: \MyTasks\Notepad task5 - C:\Windows\System32\cmd.exe /c del C:\WINDOWS\System32\Drivers\Etc\hosts & netsh advfirewall reset
O22 - Task: \MyTasks\Notepad task6 - C:\Windows\System32\cmd.exe /c TAKEOWN /F C:\WINDOWS\System32\Drivers\Etc\hosts & ICACLS C:\WINDOWS\System32\Drivers\Etc\hosts /grant administrators:F & cacls C:\WINDOWS\System32\Drivers\Etc\hosts /e /p everyone:f

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

CollectionLog-2021.06.03-12.47.zip

Ссылка на сообщение
Поделиться на другие сайты
Jerry

Jerry 0

Опубликовано
  • Автор
Опубликовано
1 час назад, thyrex сказал:

Не похоже, что выполняли фикс в HiJack. Инструкция 

Я выполнил все, как вы просили, зачем мне 100 одно и тоже делать?

1 минуту назад, Jerry сказал:

Я выполнил все, как вы просили, зачем мне 100 одно и тоже делать? Нашли что-нибудь или придется переставить систему?

 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 422

Опубликовано
Опубликовано

Если бы Вы все сделали, как нужно, то записей из фикса не осталось бы в логе HiJack. А они на месте все до единой. В т.ч. и задания Планировщика, которые и производят манипуляции с файлом hosts.

  • Улыбнуло 1
Ссылка на сообщение
Поделиться на другие сайты
Jerry

Jerry 0

Опубликовано
  • Автор
Опубликовано
15 часов назад, thyrex сказал:

Если бы Вы все сделали, как нужно, то записей из фикса не осталось бы в логе HiJack. А они на месте все до единой. В т.ч. и задания Планировщика, которые и производят манипуляции с файлом hosts.

Я делал все по инструкции, а тут экспертов не нахожу видимо мне на другой форум пора идти... И да чуть не забыл вот что выходит у меня после как загрузился рабочий стол

Screenshot_5.png

34 минуты назад, Jerry сказал:

Я делал все по инструкции, а тут экспертов не нахожу видимо мне на другой форум пора идти... И да чуть не забыл вот что выходит у меня после как загрузился рабочий стол

Screenshot_5.png

Ладно, последний раз кидаю, сделал все верно, а то от меня уже чуть ли не 8 смс...

CollectionLog-2021.06.04-10.34.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 305

Опубликовано
Опубликовано

Вот ещё одна инструкция. Посмотрите внимательно, вы всё делали также? (Сам "фикс" в шестом сообщении этой темы).

Ссылка на сообщение
Поделиться на другие сайты
Jerry

Jerry 0

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Вот ещё одна инструкция. Посмотрите внимательно, вы всё делали также? (Сам "фикс" в шестом сообщении этой темы).

Так уж и быть сделаю по инструкции но это уж точно последний раз. И жду ответа....

5 минут назад, Jerry сказал:

Так уж и быть сделаю по инструкции но это уж точно последний раз. И жду ответа....

Все сделал, смотрите, всё в архиве

Backups.rar

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 422

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
Jerry

Jerry 0

Опубликовано
  • Автор
Опубликовано
15 часов назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Сделал все по инструкции, прикрепляю

FRST.rar

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • DRAGO90956
      Мой ПК захватили вирусы во главе с Джоном.
      От DRAGO90956
      У меня полный ПК вирусов, при чем они не проявляли себя до одного момента(появления Джона) а после начался армагедон.
    • 123343545646
      Автозапуск браузера
      От 123343545646
      Здравствуйте. Запускается браузер при загрузке Windows.
      CollectionLog-2024.10.18-20.36.zip
    • David Faker
      Майнер
      От David Faker
      Здравствуйте. Недавно скачал Microsoft Office и, видимо, там попался майнер. Долго боролся с ним. Еле запустил avbr. Потому что даже смена имени и директории не помогала. Вирус запрещал использовать msconfig, диспетчер задач, разнообразные службы Windows, в некоторых ситуациях запрещал использование CMD
       
      После первой попытки запустить AVbr - видимо сработала какая-то защита майнера и он обрубал все попытки разобраться в проблеме, не давая ничего сделать в этом направлении.
       
      Если кто встречался - поможет запуск AVbr в безопасном режиме.
       
      Помогите пожалуйста понять, удалился ли майнер с компьютера, а также остались ли хвосты. Прилагаю файлы с FRST. Заранее, спасибо вам большое
      FRST.txt Addition.txt
    • JUICE YOGURT
      Вирус MSTASK и вмешательство в HOSTS
      От JUICE YOGURT
      Возможно ли взаимодействие компьютера с одним из этих вирусов? Я буду исходить из своей ситуации, чтобы она была описана более понятна для всех.

      Обнаружил подозрительное вмешательство в своё личное интернет-пространство, злоумышленник решил оставить несколько сообщений от себя в DISCORD (от моего профиля), следов активности с других IP-адресов обнаружено не было, взлома не было, двухфакторная защита активирована. Я начал проверять с помощью антивирусов, увидел, что имелось заражение HOSTS, а после повторной проверки был обнаружен MSTASK Trojan Starter 7691 остальные были менее подозрительными, что могло бы вызвать подозрения на такое вмешательство.
    • Ilyambuss
      [РЕШЕНО] Скрытый восстанавливающийся вирус на Windows 10
      От Ilyambuss
      где-то на просторах интернета подцепил вирус UDS:DangerousObject.Multi.Generic, он лежит на диске С: exe'шным файлом (updater.exe), который после удаления восстанавливается после перезагрузки системы. каждые несколько дней мне прилетает 3 уведа от касперского (скриншоты прикрепил) о том, что этот вирусный файл удалён (скорее всего потому что появляется какая-то подозрительная активность), но потом он, опять же, восстанавливается, и так по кругу. и полная проверка через выполнить –> mrt, и полная проверка через касперского говорит, что комп чист (Kaspersky Removal Tool тоже использовал, там то же самое), да и сам этот файл вроде ничего плохого с моим пк не делает, но он меня всё же напрягает. мне посоветовали проверить пк kaspersky rescue disk, но при попытке запуска этой утилиты с флешки через boot menu, у меня просто появляется чёрный экран с точкой и нижним подчёркиванием, хотя всё делал по инструкциям. думал, может система что-то подгружает, но даже спустя 15-20 минут результат тот же: компьютер ни на что не реагирует, и приходится перезагружать его кнопкой включения. подскажите, что можно сделать? модель компьютера (ноутбука): SKU: MSI Modern 15 B12M-210RU-BB51235U8GXXDX11S

      CollectionLog-2024.09.21-15.59.zip
×
×
  • Создать...