SettingsModifier:Win32/PossibleHostsFileHijack

**Zeddicus** · 11.08.2024, 22:33

Добрый день.
Сын пытался установить всякие скинчейнджеры для игры Стэндофф и в процессе всего этого, видимо, заразил ПК.
Файл hosts восстановить не удалось, т.к. что-то его изменяет вновь и вновь: добавляет в него кучу сайтов. Помогите, пожалуйста, найти причину и устранить ее.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.08.2024, 22:34

Уважаемый(ая) Zeddicus, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Никита Соловьев** · 11.08.2024, 23:07

Выполните скрипт в AVZ:

Код:

BEGIN
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\google\chrome\updater.exe');
 QuarantineFile('c:\programdata\google\chrome\updater.exe','');
 DeleteFile('c:\programdata\google\chrome\updater.exe','32');
 ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 ClearHostsFile;
 RebootWindows(true);
END.

_________________________________________

> Компьютер будет перезагружен.

> Подготовьте новый отчет.

**Zeddicus** · 12.08.2024, 12:50

Здравствуйте. Все сделал, как Вы просили.

**Никита Соловьев** · 12.08.2024, 20:19

Выполните скрипт в AVZ:

Код:

BEGIN
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\google\chrome\updater.exe');
 DeleteFile('c:\programdata\google\chrome\updater.exe','32');
 DeleteFile('c:\programdata\google\chrome\updater.exe','64');
 ExecuteSysClean;
 ClearHostsFile;
 RebootWindows(true);
END.

_________________________________________

> Подготовьте новый отчет.

**Zeddicus** · 12.08.2024, 20:46

Готово

**Sandor** · 13.08.2024, 14:12

Zeddicus, дополнительно, пожалуйста:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**Zeddicus** · 13.08.2024, 14:53

Сделал

**Sandor** · 13.08.2024, 15:50

1. На системном диске критически мало места - (Free:1.77 GB). Освободите хотя бы до 15 GB.

2.
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Adobe Flash Player 32 PPAPI
Bonjour

3.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\Run: [amd_dc_opt] => C:\Program Files (x86)\AMD\Dual-Core Optimizer\amd_dc_opt.exe (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-690186182-3426082617-4121172872-1002\...\MountPoints2: {20239e53-f13f-11ec-8013-74d4358397d8} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-690186182-3426082617-4121172872-1002\...\MountPoints2: {44537beb-ccc5-11ea-bbf1-74d4358397d8} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-690186182-3426082617-4121172872-1002\...\MountPoints2: {9f8a22f0-5693-11ed-80be-74d4358397d8} - "E:\HiSuiteDownLoader.exe" 
ShortcutTarget: Logitech . Регистрация Продукта.lnk -> C:\Program Files\Logitech\Logitech WebCam Software\eReg.exe (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {0DA4CA43-EA27-455E-AE6D-95C735855EC2} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_403_pepper.exe [1471032 2020-08-06] (Adobe Inc. -> Adobe)
Task: {40CC75BE-ECFB-45C0-B193-84289F2D4ED5} - System32\Tasks\Telamon Cleaner => "D:\Telamon Cleaner\tt-cleaner.exe"  --autorun (Нет файла)
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m",
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> cdn
C:\Users\PavelAdmin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m" 
CHR DefaultSearchKeyword: Default -> cdn
C:\Users\PavelAdmin\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HKU\S-1-5-21-690186182-3426082617-4121172872-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-05-29] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1533952 2024-07-10] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [570368 2024-05-29] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2024-07-10] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3436032 2024-07-10] (Microsoft Windows -> Microsoft Corporation)
S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [X] <==== ВНИМАНИЕ
S3 GPU-Z-v2; \??\C:\Users\PAVELA~1\AppData\Local\Temp\GPU-Z-v2.sys [X] <==== ВНИМАНИЕ
S3 HWiNFO_150; \??\C:\Users\PAVELA~1\AppData\Local\Temp\HWiNFO64A_150.SYS [X] <==== ВНИМАНИЕ
S3 HWiNFO_174; \??\C:\Users\PAVELA~1\AppData\Local\Temp\HWiNFO64A_174.SYS [X] <==== ВНИМАНИЕ
2024-07-22 00:05 - 2024-07-22 00:05 - 000000000 ____D C:\ProgramData\NXjjXHPDxhthrnbDx
2024-07-22 00:04 - 2024-07-22 00:06 - 000000000 ____D C:\ProgramData\jVFDRhNtFxBNXjDdJL
2024-07-21 23:03 - 2024-07-21 23:03 - 000000000 ____D C:\ProgramData\HFltlfldbJPjBpr
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
Hosts:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

4.
Скачайте вложенный архив. Извлеките из него пять файлов и запустите последовательно каждый. Соглашайтесь с внесением изменений в реестр.
После этого перезагрузите компьютер.

Соберите новые логи FRST.txt и Addition.txt

5.
Дополнительно:
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

Internet Services
Windows Firewall
System Restore
Security Center/Action Center
Windows Update
Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

**Zeddicus** · 13.08.2024, 20:53

Сообщение от Sandor

4.
Скачайте вложенный архив. Извлеките из него пять файлов и запустите последовательно каждый. Соглашайтесь с внесением изменений в реестр.

Не получается добавить записи в реестр, т.к. нет доступа к нему. Работаю из под учетки с ограниченными правами, а пункта "запускать от имени администратора" у этих файлов нет. Залогиниться в систему под админской учеткой и запустить их?

**Vvvyg** · 13.08.2024, 22:34

Сообщение от Zeddicus

Залогиниться в систему под админской учеткой и запустить их?

Естественно, все действия, которые рекомендуют в этом разделе, выполняются с правами администратора.

**Zeddicus** · 16.08.2024, 11:07

Добрый день.
Все сделал.

**Sandor** · 16.08.2024, 14:37

Хорошо. Что сейчас с проблемой?

**Zeddicus** · 16.08.2024, 20:42

Защитник Windows больше на файл hosts не ругается. Но сам файл выглядит странно: в нем лишь одна единственная строчка "127.0.0.1 localhost" Он же не должен так выглядеть.

**Sandor** · 17.08.2024, 11:06

Именно так он и должен выглядеть.

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

**Zeddicus** · 20.08.2024, 22:19

Добрый день.
Все сделал.

**Sandor** · 21.08.2024, 16:31

Исправьте по возможности:

Microsoft Office профессиональный 2019 - ru-ru v.16.0.17830.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
calibre 64bit v.6.8.0 Внимание! Скачать обновления
BCUninstaller v.5.4.0.0 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.110.0.1587.57 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft OneDrive v.21.220.1024.0005 Внимание! Скачать обновления
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
qBittorrent 4.4.3 v.4.4.3 Внимание! Скачать обновления
Java 8 Update 311 v.8.0.3110.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-i586.exe - Windows Offline)^
Adobe Acrobat (64-bit) v.24.002.20991 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Opera Stable 112.0.5197.30 v.112.0.5197.30 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

---------------------------- [ UnwantedApps ] -----------------------------
Telamon Cleaner v.1.0.296 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

**Zeddicus** · 21.08.2024, 21:26

Исправить, обновить, удалить. После этого нужно снова сканировать утилитой SecurityCheck и прикреплять лог?

**Sandor** · 22.08.2024, 16:18

Нет, не обязательно. Это вам, так сказать, домашнее задание

Если есть желание, можете после всех процедур повторить сканирование SecurityCheck и по логу сможете сами определить осталось ли что.

**Zeddicus** · 24.08.2024, 01:24

А что это было вообще с компом? Ничего серьезного? )
P.S. Огромное спасибо всем за помощь.

SettingsModifier:Win32/PossibleHostsFileHijack (заявка № 228679)

Опции темы