Перейти к содержанию
Правила раздела

Cmd, hosts

Jerry

Автор Jerry
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Jerry

Jerry

Опубликовано
Опубликовано

Здравствуйте, в общем история такая. Играли с знакомым Pubg Mobile. Через некоторое время надоело ему, попросил меня скачать "хак" , в дискорде, там что-то от "Mokka" было такой чит хороший ,ну решил скачать , поиграть все дела, играть вроде ничего не мешает, спустя несколько дней, мне один чел сказал, что они собирают всю инфу со всех тех устройств, на котором поставлен файл. И после этого у меня начал пропадать файл hosts, ну только если самому создать, и то он пропадет, и так всегда. Что касается командной строки. Уже какой месяц, включаю пк, доходит до рабочего стола, и появляются 2 командные строки с кажется строками "Пользователя  администратор в системе не найдено или другая", просто особое внимание не обращал. Уже думал переустановить систему, но +1 жесткого диска нету что бы скинул туда все свои файлы, https://yapx.ru/v/MgR32 , вот ссылка на то , что у меня hosts нету! ! ПРОВЕРЯЛ DR.WEB CUREIT, MALWAREBYTES , устранял вирусы , ТОЛКУ НЕТ ! 

Jerry

Jerry

Опубликовано
  • Автор
Опубликовано

Здравствуйте, в общем история такая. Играли с знакомым Pubg Mobile. Через некоторое время надоело ему, попросил меня скачать "хак" , в дискорде, там что-то от "Mokka" было такой чит хороший ,ну решил скачать , поиграть все дела, играть вроде ничего не мешает, спустя несколько дней, мне один чел сказал, что они собирают всю инфу со всех тех устройств, на котором поставлен файл. И после этого у меня начал пропадать файл hosts, ну только если самому создать, и то он пропадет, и так всегда. Что касается командной строки. Уже какой месяц, включаю пк, доходит до рабочего стола, и появляются 2 командные строки с кажется строками "Пользователя  администратор в системе не найдено или другая", просто особое внимание не обращал. Уже думал переустановить систему, но +1 жесткого диска нету что бы скинул туда все свои файлы, https://yapx.ru/v/MgR32 , вот ссылка на то , что у меня hosts нету! ! ПРОВЕРЯЛ DR.WEB CUREIT, MALWAREBYTES , устранял вирусы , ТОЛКУ НЕТ ! , сделал как вы попросили(в пред.теме).Я точно не знаю какие файлы нужны, поэтому все что практически можно было я прикрепил

Check_Browsers_LNK.log HiJackThis.log info.txt log.txt

thyrex

thyrex

Опубликовано
Опубликовано

1. Не нужно выделять текст сообщения полужирным начертанием.

 

2. Перечитайте правила по ссылке, которую Вам дали, и пришлите нужный архив.

thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (disabled) \MyTasks\Notepad task1 - C:\Windows\System32\cmd.exe /c del C:\WINDOWS\System32\Drivers\Etc\hosts & netsh advfirewall reset
O22 - Task: (disabled) \MyTasks\Notepad task2 - C:\Windows\System32\cmd.exe /c TAKEOWN /F C:\WINDOWS\System32\Drivers\Etc\hosts & ICACLS C:\WINDOWS\System32\Drivers\Etc\hosts /grant administrators:F & cacls C:\WINDOWS\System32\Drivers\Etc\hosts /e /p everyone:f
O22 - Task: BlueStacksHelper - C:\ProgramData\BlueStacks\Client\Helper\BlueStacksHelper.exe -sr (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2092988324-2849034859-2884215072-1001 - C:\Users\sanek\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2092988324-2849034859-2884215072-500 - C:\Users\sanek\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: \MyTasks\Notepad task3 - C:\Windows\System32\cmd.exe /c del C:\WINDOWS\System32\Drivers\Etc\hosts & netsh advfirewall reset
O22 - Task: \MyTasks\Notepad task4 - C:\Windows\System32\cmd.exe /c TAKEOWN /F C:\WINDOWS\System32\Drivers\Etc\hosts & ICACLS C:\WINDOWS\System32\Drivers\Etc\hosts /grant administrators:F & cacls C:\WINDOWS\System32\Drivers\Etc\hosts /e /p everyone:f
O22 - Task: \MyTasks\Notepad task5 - C:\Windows\System32\cmd.exe /c del C:\WINDOWS\System32\Drivers\Etc\hosts & netsh advfirewall reset
O22 - Task: \MyTasks\Notepad task6 - C:\Windows\System32\cmd.exe /c TAKEOWN /F C:\WINDOWS\System32\Drivers\Etc\hosts & ICACLS C:\WINDOWS\System32\Drivers\Etc\hosts /grant administrators:F & cacls C:\WINDOWS\System32\Drivers\Etc\hosts /e /p everyone:f

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Jerry

Jerry

Опубликовано
  • Автор
Опубликовано
16 часов назад, thyrex сказал:

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши) 


O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (disabled) \MyTasks\Notepad task1 - C:\Windows\System32\cmd.exe /c del C:\WINDOWS\System32\Drivers\Etc\hosts & netsh advfirewall reset
O22 - Task: (disabled) \MyTasks\Notepad task2 - C:\Windows\System32\cmd.exe /c TAKEOWN /F C:\WINDOWS\System32\Drivers\Etc\hosts & ICACLS C:\WINDOWS\System32\Drivers\Etc\hosts /grant administrators:F & cacls C:\WINDOWS\System32\Drivers\Etc\hosts /e /p everyone:f
O22 - Task: BlueStacksHelper - C:\ProgramData\BlueStacks\Client\Helper\BlueStacksHelper.exe -sr (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2092988324-2849034859-2884215072-1001 - C:\Users\sanek\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2092988324-2849034859-2884215072-500 - C:\Users\sanek\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: \MyTasks\Notepad task3 - C:\Windows\System32\cmd.exe /c del C:\WINDOWS\System32\Drivers\Etc\hosts & netsh advfirewall reset
O22 - Task: \MyTasks\Notepad task4 - C:\Windows\System32\cmd.exe /c TAKEOWN /F C:\WINDOWS\System32\Drivers\Etc\hosts & ICACLS C:\WINDOWS\System32\Drivers\Etc\hosts /grant administrators:F & cacls C:\WINDOWS\System32\Drivers\Etc\hosts /e /p everyone:f
O22 - Task: \MyTasks\Notepad task5 - C:\Windows\System32\cmd.exe /c del C:\WINDOWS\System32\Drivers\Etc\hosts & netsh advfirewall reset
O22 - Task: \MyTasks\Notepad task6 - C:\Windows\System32\cmd.exe /c TAKEOWN /F C:\WINDOWS\System32\Drivers\Etc\hosts & ICACLS C:\WINDOWS\System32\Drivers\Etc\hosts /grant administrators:F & cacls C:\WINDOWS\System32\Drivers\Etc\hosts /e /p everyone:f

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

CollectionLog-2021.06.03-12.47.zip

Jerry

Jerry

Опубликовано
  • Автор
Опубликовано
1 час назад, thyrex сказал:

Не похоже, что выполняли фикс в HiJack. Инструкция 

Я выполнил все, как вы просили, зачем мне 100 одно и тоже делать?

1 минуту назад, Jerry сказал:

Я выполнил все, как вы просили, зачем мне 100 одно и тоже делать? Нашли что-нибудь или придется переставить систему?

 

thyrex

thyrex

Опубликовано
Опубликовано

Если бы Вы все сделали, как нужно, то записей из фикса не осталось бы в логе HiJack. А они на месте все до единой. В т.ч. и задания Планировщика, которые и производят манипуляции с файлом hosts.

  • Улыбнуло 1
Jerry

Jerry

Опубликовано
  • Автор
Опубликовано
15 часов назад, thyrex сказал:

Если бы Вы все сделали, как нужно, то записей из фикса не осталось бы в логе HiJack. А они на месте все до единой. В т.ч. и задания Планировщика, которые и производят манипуляции с файлом hosts.

Я делал все по инструкции, а тут экспертов не нахожу видимо мне на другой форум пора идти... И да чуть не забыл вот что выходит у меня после как загрузился рабочий стол

Screenshot_5.png

34 минуты назад, Jerry сказал:

Я делал все по инструкции, а тут экспертов не нахожу видимо мне на другой форум пора идти... И да чуть не забыл вот что выходит у меня после как загрузился рабочий стол

Screenshot_5.png

Ладно, последний раз кидаю, сделал все верно, а то от меня уже чуть ли не 8 смс...

CollectionLog-2021.06.04-10.34.zip

Sandor

Sandor

Опубликовано
Опубликовано

Вот ещё одна инструкция. Посмотрите внимательно, вы всё делали также? (Сам "фикс" в шестом сообщении этой темы).

Jerry

Jerry

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Вот ещё одна инструкция. Посмотрите внимательно, вы всё делали также? (Сам "фикс" в шестом сообщении этой темы).

Так уж и быть сделаю по инструкции но это уж точно последний раз. И жду ответа....

5 минут назад, Jerry сказал:

Так уж и быть сделаю по инструкции но это уж точно последний раз. И жду ответа....

Все сделал, смотрите, всё в архиве

Backups.rar

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Jerry

Jerry

Опубликовано
  • Автор
Опубликовано
15 часов назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Сделал все по инструкции, прикрепляю

FRST.rar

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • booblick
      [РЕШЕНО] Не работает Центр обновления Windows, некоторые службы получили приставку _bkp, MEM:Trojan.Win32.SEPEH.gen
      Автор booblick
      После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp.
       
      Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен.
      CollectionLog-2025.09.14-21.03.zip
    • Saumraika
      [РЕШЕНО] Не могу удалить Trojan.BitCoinMiner, Trojan Agent
      Автор Saumraika
      Пробовала удалять вручную, после перезапуска опять появляются и по новой кидаю в карантин
      CollectionLog-2025.09.03-13.09.zip
    • shepp0
      [РЕШЕНО] Неудаляемый вирус майнер XMrig
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • rancol347
      Скачал Касперский и сразу найден Троян
      Автор rancol347
      Trojan.win.32.hosts2.gen
      C:\Windows\System32\drivers\etc\hosts

      Пока что выполняю лечение активного заражения
      16:05 завершено лечение, сразу началась перезагрузка, даже не предупреждая 
      16:13 провёл быструю проверку -  ничего не Найдено. Возможно ложное/файл был вылечен
    • David1990
      Не могу восстановить с точку восстановления ошибка rstrui.exe 0xc0000017 и SystemSettingAdminFlows.exe 0xc0000017
      Автор David1990
      Сегодня скачал какой то VPN для того что бы перевести регион в Epic Store но после этого начали происходить странные вещи, не могу восстановить систему с помощью точки восстановления выдает ошибку rstrui.exe 0x0000017  и если я пробую восстановить через обновления и безопасность -> Восстановления -> начать, выдает эту же ошибку но уже с этого способа Ошибка; SystemSettingAdminFlows.exe 0xc0000017, переустанавливать систему не могу, боюсь потерять доступ к лицензированных программ которые были на пк. 
      Заранее всем откликнувшимся большое спасибо! 
×
×
  • Создать...