Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

settingsmodifierwin32possiblehostsfilehijack (заявка № 129866)

  1. #1
    Junior Member Репутация
    Регистрация
    07.01.2013
    Сообщений
    15
    Вес репутации
    18

    Thumbs up settingsmodifierwin32possiblehostsfilehijack

    Мой анти-вирус (microsoft security essentials) нашел вредоносный файл (settingsmodifier:win32/possiblehostsfilehijack) , я попытался его удалить но после перезагрузки компьютера анти-вирус его снова нашел. Подскажите что делать.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    341
    Уважаемый(ая) TPO_3ABP, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    07.01.2013
    Сообщений
    15
    Вес репутации
    18
    А еще яндекс защитник пишет об изменениях файла hosts(также после каждой перезагрузки компьютера).

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,243
    Вес репутации
    3015
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    07.01.2013
    Сообщений
    15
    Вес репутации
    18

    Изменения файла hosts

    Доброго времени суток. Мой анти вирус(Microsoft Security Essentials) нашел вредоносную программу : SettingsModifier:Win32/PossibleHostsFileHijack, а яндекс защитник написал об изменении файла hosts(появление подозрительных записей). Я удалил вирус, удалил подозрительные записи в hosts. Но, после перезагрузки компьютера анти вирус снова обнаружил этот же вирус, а яндекс защитник подозрительные записи. Я пробовал Dr.web cureit и Kaspersky virus removal tool но они не помогли с этой проблемой.

    P.s Стоит Windows 7.
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,243
    Вес репутации
    3015
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    DeleteFile('C:\Users\2BA0~1\AppData\Local\Temp\89298341FdOh');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('C:\Users\Максим\ms.exe','');
     DeleteFile('C:\Users\Максим\ms.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','89299059');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(13); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Очистите куки и кэш браузеров, кэш Java

    Сделайте новые логи

    Сделайте логи RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    07.01.2013
    Сообщений
    15
    Вес репутации
    18
    Всмысле новые логи? AVZ и Hijack так-же как в прошлый раз?

    - - - Добавлено - - -

    когда я нажимаю прислать запрошенный карантин :

    Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен

    - - - Добавлено - - -

    Вот
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    - Выполните в АВЗ:
    Код:
    begin
    DeleteFile('C:\Windows\tasks\At1.job');
     QuarantineFile('C:\PROGRA~2\LOCALS~1\Temp\mszzemfr.cmd','');
     DeleteFile('C:\PROGRA~2\LOCALS~1\Temp\mszzemfr.cmd');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','10817');
    ExecuteREpair(13); 
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Повторите логи АВЗ и РСИТ.


  10. #9
    Junior Member Репутация
    Регистрация
    07.01.2013
    Сообщений
    15
    Вес репутации
    18
    Вот
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Что с проблемой?

    Из реестра нужно удалить:
    Код:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\10817
    АВЗ не хочет удалять...


  12. #11
    Junior Member Репутация
    Регистрация
    07.01.2013
    Сообщений
    15
    Вес репутации
    18
    Да скоко раз перезагружал камп ни разу не вылезло сообщение.
    Щас код пропишу... ведь выполнить скрипт надо?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    В логах порядок.

    ТОлько вот этот хвост надо удалить:
    Код:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\10817


  14. #13
    Junior Member Репутация
    Регистрация
    07.01.2013
    Сообщений
    15
    Вес репутации
    18
    Как найти этот файлик?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Это не файл. Это запись в реестре.

    Как открыть редактор реестра

    Если не будет удаляться - дать себе права на эту ветку.

    Лишнего не удалите!!!


  16. #15
    Junior Member Репутация
    Регистрация
    07.01.2013
    Сообщений
    15
    Вес репутации
    18
    Нашел, удаляю.

    - - - Добавлено - - -

    Пишет : не удается удалить выделеные параметры

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Цитата Сообщение от TPO_3ABP Посмотреть сообщение
    Пишет : не удается удалить выделеные параметры
    Понятно...

    Правой кнопкой по HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run - разрешения.
    Давайте себе права.


  18. #17
    Junior Member Репутация
    Регистрация
    07.01.2013
    Сообщений
    15
    Вес репутации
    18
    Я ступил чтобы посмотреть имя пользователя вышел из системы все программы закрылись

    - - - Добавлено - - -

    заново пробовать теперь

    - - - Добавлено - - -

    все вроде, теперь удалять?

    - - - Добавлено - - -

    Удалил

    - - - Добавлено - - -


  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Ок. hijackthis повторите.

    Все работает? Проблема решена?


  20. #19
    Junior Member Репутация
    Регистрация
    07.01.2013
    Сообщений
    15
    Вес репутации
    18
    Даже незнаю... Я не обращал особого внимание на работоспособность... Но анти вирус не находит больше угроз, и об изменениях hosts не пишется...

    - - - Добавлено - - -

    Остается только надеяться что новых проблем не появится.
    Вложения Вложения

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    MediaGet2 сами устанавливали? Если нет - то удалите через установку/удаление программ.


  • Уважаемый(ая) TPO_3ABP, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01129 seconds with 16 queries