Проблема с файлом hosts

**AnatolyPutov** · 26.04.2024, 13:52

Здравствуйте. Необходимо добавить пару строк в файл hosts.
После добавления этот файл постоянно обновляется и добавленные записи стираются.
Если файл hosts удалить, то он появляется заново.
Система Windows 7, стоит Kaspersky Total Security 21.
С правами администратора заходил, разрешение безопасности в свойствах - полный доступ.
Помогите пожалуйста! Что может быть?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.04.2024, 13:53

Уважаемый(ая) AnatolyPutov, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**AnatolyPutov** · 26.04.2024, 14:05

Готово

**Vvvyg** · 26.04.2024, 16:21

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\054b7226-1438593558-e1fe-ebeb-089e01301761\hnswddd3.tmp');
 StopService('comyninu');
 DeleteFile('c:\program files (x86)\054b7226-1438593558-e1fe-ebeb-089e01301761\hnswddd3.tmp', '');
 DeleteFile('C:\Program Files (x86)\054B7226-1438593558-E1FE-EBEB-089E01301761\hnswDDD3.tmp', '64');
 DeleteFile('C:\Program Files (x86)\NetShield Kit\cli.exe', '64');
 DeleteFile('C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe', '64');
 DeleteFile('C:\ProgramData\taskscheduler.exe', '');
 DeleteFile('C:\Users\Администратор\AppData\Local\Temp\Temp1_kiskav6remove.zip\KisKav6Remove.exe', '64');
 DeleteService('comyninu');
 DeleteFileMask('c:\program files (x86)\054b7226-1438593558-e1fe-ebeb-089e01301761', '*', true);
 DeleteFileMask('c:\program files (x86)\netshield kit', '*', true);
 DeleteDirectory('c:\program files (x86)\054b7226-1438593558-e1fe-ebeb-089e01301761');
 DeleteDirectory('c:\program files (x86)\netshield kit');
 DeleteSchedulerTask('{189D75A5-7CA9-4F3B-A228-9FA3B0E4132D}');
 DeleteSchedulerTask('{19C7FEE2-B60B-4FDA-BD85-4B6BD5A5A3D2}');
 DeleteSchedulerTask('{1ABD3D0C-962B-45B9-ABDE-51CB103A9D93}');
 DeleteSchedulerTask('{443ACEEA-B1D6-4A07-9672-AAA9085B2B2F}');
 DeleteSchedulerTask('{4A649F99-85F5-4774-B274-F6D891EAA8B2}');
 DeleteSchedulerTask('{518B742F-F59A-4515-8C16-D7673A8EDA31}');
 DeleteSchedulerTask('{80904A52-CD7C-49D7-BB2A-7F37364240C8}');
 DeleteSchedulerTask('{A36CD725-1ADF-43FD-951A-DC0C641248F7}');
 DeleteSchedulerTask('{BAB4CCF3-2775-4B5A-BD15-A5CCE22FAB76}');
 DeleteSchedulerTask('{BBCD2C9F-8A17-4994-9474-B9DDC4F55F73}');
 DeleteSchedulerTask('{C02CF4B9-95A8-4B4B-926B-4B9574A32274}');
 DeleteSchedulerTask('{D93D0FB5-D09B-4EF3-8456-3913756CC806}');
 DeleteSchedulerTask('{F4EEFADE-A95A-457B-A4F9-845D0E82B7F9}');
 DeleteSchedulerTask('Lenovo\Lenovo Customer Feedback Program 64');
 DeleteSchedulerTask('Lenovo\Lenovo Customer Feedback Program');
 DeleteSchedulerTask('NetShield Kit scheduled Autoupdate');
 DeleteSchedulerTask('NetShield Kit Self Repair');
 DeleteSchedulerTask('VKDJ');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

R0 - HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main: [Start Page] = hxxps://find-it.pro/?utm_source=distr_m
R0 - HKU\S-1-5-21-3429326267-2344873197-1096710522-1020\Software\Microsoft\Internet Explorer\Main: [Start Page] = hxxps://find-it.pro/?utm_source=distr_m
R4 - SearchScopes: HKCU\Software\Policies\Microsoft\Internet Explorer\SearchScopes\{C9423817-5DA7-494E-87E4-111F1B49A1FD}: [URL] = hxxp://search-cdn.net/fip/?q={searchTerms} - CDNSearch
R4 - SearchScopes: HKU\S-1-5-21-3429326267-2344873197-1096710522-1020\Software\Policies\Microsoft\Internet Explorer\SearchScopes\{C9423817-5DA7-494E-87E4-111F1B49A1FD}: [URL] = hxxp://search-cdn.net/fip/?q={searchTerms} - CDNSearch
O2 - HKCU\..\BHO: (no name) - {71e129ff-6c2a-4984-818c-7e2c998b8d99} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - HKLM\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3-32 - HKLM\..\Toolbar: (no name) - {C7DDDD27-F303-42A5-B979-51559F7DC0F0} - (no file)
O4 - HKCU\..\Run: [YandexDisk2] = C:\Users\Администратор\AppData\Roaming\Yandex\YandexDisk2\3.2.0.4105\YandexDisk2.exe -autostart (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FB886C8-7D13-40D8-8596-D90975CC04E0}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FB886C8-7D13-40D8-8596-D90975CC04E0}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{5FB886C8-7D13-40D8-8596-D90975CC04E0}: [NameServer] = 185.192.111.210
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{5FB886C8-7D13-40D8-8596-D90975CC04E0}: [NameServer] = 37.59.58.122
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] = 185.192.111.210
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] = 37.59.58.122
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2ECE99D3-45C2-4AF4-A053-0B3A1F4D7277} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{94D4F596-58C5-45AC-BA21-269B0869C67D} - \Pbrowserupd (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B28FBCA6-3780-4F2F-A74A-8E90E82F8D3A} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo\LSC (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TVT (empty)

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\AutoCAD 2021 — Русский (Russian)\Утилита перемещения лицензий — AutoCAD 2021.lnk"  -> ["C:\Program Files (x86)\Common Files\Autodesk Shared\Adlm\R20\LTU.exe"  =>> 001M1 2021.0.0.F -d SA -l ru-RU]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Seagate\Seagate DiscWizard\Инструменты и утилиты\Клонирование диска.lnk"          -> ["C:\Program Files (x86)\Seagate\DiscWizard\DiscWizardTools.exe"  =>> /clone_disk]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Seagate\Seagate DiscWizard\Инструменты и утилиты\Добавить новый диск.lnk"         -> ["C:\Program Files (x86)\Seagate\DiscWizard\DiscWizardTools.exe"  =>> /add_new_disk]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Seagate\Seagate DiscWizard\Инструменты и утилиты\Очистка системы.lnk"   -> ["C:\Program Files (x86)\Seagate\DiscWizard\DiscWizardTools.exe"  =>> /system_cleanup]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Seagate\Seagate DiscWizard\Инструменты и утилиты\DriveCleanser.lnk"     -> ["C:\Program Files (x86)\Seagate\DiscWizard\DiscWizardTools.exe"  =>> /drive_cleanser]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiniTool Partition Wizard 10\MiniTool Partition Wizard.lnk"   -> ["C:\Users\Администратор\Desktop\Новая папка (2)\MiniTool Partition Wizard 10\partitionwizard.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiniTool Partition Wizard 10\MiniTool Partition Wizard Help.lnk"        -> ["C:\Users\Администратор\Desktop\Новая папка (2)\MiniTool Partition Wizard 10\pw.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiniTool Partition Wizard 10\Uninstall MiniTool Partition Wizard.lnk"   -> ["C:\Users\Администратор\Desktop\Новая папка (2)\MiniTool Partition Wizard 10\unins000.exe"]
>>>  "C:\Users\Администратор\Favorites\Интернет.url"  ->              hxxp://erobiryu.ru/?utm_source=favorites03&utm_content=4813deaade53343d6c679544b1d89bd5&utm_term=37AEF0A3D9A01C08A0347128B83382C9

Отчёт о работе прикрепите.

Сделайте лог Malwarebytes AdwCleaner.

**AnatolyPutov** · 26.04.2024, 18:48

Готово

**Vvvyg** · 26.04.2024, 22:19

Если Вы уже закрыли приложение, запустите повторное сканирование в Malwarebytes AdwCleaner, установите в пункте меню "Настройки" (Settings) дополнительно к отмеченным по умолчанию галочку "Сбросить политики Chrome (Reset Chrome Policies". В разделе "Предустановленные программы" ("Preinstalled Software") ничего не отмечайте.
Затем нажмите Карантин (Quarantine) под списком найденного. Программа может предложить перезагрузить систему, сделайте тогда это.

После перезагрузки в меню Файлы журналов программы будет лог очистки, файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.

Сообщите, что с проблемой.

**AnatolyPutov** · 27.04.2024, 04:44

Почему-то AdwCleaner[C01] вместо AdwCleaner[C00].
Проблема решена.

**Vvvyg** · 27.04.2024, 07:44

Запустите AdwCleaner, меню Параметры - Удалить AdwCleaner (в самом низу) - выберите Удалить (Uninstall).

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**AnatolyPutov** · 27.04.2024, 10:59

Готово

**Vvvyg** · 27.04.2024, 12:53

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления

7-ку давно пора обновить до упора, через автоматическое обновление, или, проще и быстрее - с помошью Windows 7 Update Pack by DrWindows.
В крйнем случае, по ссылкам установить хотя бы критические хотфиксы из списка выше, в первую очередь - EternalBlue CVE-2017-0144, Buekeep CVE-2019-0708 - KB4012212 и KB4499175. Без них взлом системы гораздо проще и менее затратен.

Java 8 Update 241 v.8.0.2410.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-i586.exe - Windows Offline)^

Java обязательно обновите, много критических уязвимостей. Или удалите вовсе, если не нужна.

WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления

Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

На этом всё.

Проблема с файлом hosts (заявка № 228551)

Опции темы