Перейти к содержанию

[РЕШЕНО] DNS сервера выставляются сами, 127.0.2.2, из за этого, как я подозреваю, не работают некоторые игры, и плохо работают некоторые сайты.


Рекомендуемые сообщения

Сами выставляются DNS сервера. Началось, как я думаю, после взлома офиса KMSом, DrWeb, Kaspersky и Защитник Windows ничего не находят. В HackJackThis нашел эти адреса, но после удаления они появляются снова. Пробовал сбрасывать TCP IP, переустанавливать драйвера, не помогает. При подключении напрямую к компьютеру интернета, а не через роутер DNS сервера сами не устанавливаются, но проблема не исчезает, и в HackJackThis продолжают появляться после удаления.

image.png

image.png

CollectionLog-2022.12.20-22.39.zip

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dmitriy','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dmitriy','x64');
ExecuteSysClean;
ExecuteRepair(21);
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером. 

Ссылка на сообщение
Поделиться на другие сайты
6 часов назад, mike 1 сказал:

Сделайте такой лог

При создании лога выдает троян 'Trojan:Win32/Wacatac.B!ml', так и должно быть?

DESKTOP-UD1LGPE_2022-12-21_18-52-18_v4.12.3.7z

Ссылка на сообщение
Поделиться на другие сайты

Похоже какой-то из установленных VPN сервисов меняет вам DNS на 127.0.2.2. Попробуйте временно деинсталлировать их. 

 

Hotspot Shield 11.3.0
ProtonVPN
ProtonVPNTap
ProtonVPNTun

 

Ссылка на сообщение
Поделиться на другие сайты
7 минут назад, mike 1 сказал:

Похоже какой-то из установленных VPN сервисов меняет вам DNS на 127.0.2.2. Попробуйте временно деинсталлировать их. 

 


Hotspot Shield 11.3.0
ProtonVPN
ProtonVPNTap
ProtonVPNTun

 

Деинсталлировал, в HackJackThis удалил, все равно сами выставляются. Эти программы были установлены давно, проблема появилась гораздо позже, как я предполагаю, это связано с KMSauto, потому что она появилась через дня 2 после его использования. Диагностика сети всегда выводит сообщение, что исправила проблему если стоят эти адреса, а если их поменять или выставить автоматические, то просит перезагрузить роутер, но это не помогает.image.png.9cbbb28980e0d18eeb43ebd22cf9e2c5.png

Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, mike 1 сказал:

Сделайте лог Process Monitor с воспроизведением проблемы с DNS. 

Здравствуйте. Сделал лог. Файл большой, пришлось залить на диск. https://disk.yandex.ru/d/daUwiY6dHoUkzw
Удалил везде где нашел этот DNS, поменял в настройках сети на автоматический DNS, запустил программу, во время работы программы запустил диагностику чтобы вызвать проблему, а не ждать минут 5-10 пока оно само отключит интернет и поменяет DNS, кстати да, еще такой факт, когда DNS меняется сам на 127.0.2.2, интернет отключается минут на 5, а потом включается с новыми адресами DNS, либо пока я не вытащу и не подключу обратно провод.

Ссылка на сообщение
Поделиться на другие сайты

Cloudflare WARP меняет DNS в сетевых подключениях. Деинсталлируйте Cloudflare WARP

image.png

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, mike 1 сказал:

Cloudflare WARP меняет DNS в сетевых подключениях. Деинсталлируйте Cloudflare WARP

 

image.png

 

 

Спасибо большое, добрый человек

Ссылка на сообщение
Поделиться на другие сайты

  1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
  2. Запустите DelFix

     

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

     

  3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

  4. Нажмите на кнопку Run

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, mike 1 сказал:

 

  1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
  2. Запустите DelFix

     

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

     

     

  3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

  4. Нажмите на кнопку Run

 

 

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

 

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Salieri
      От Salieri
      Здравствуйте, упала производительность, начал сильно греться, подозрения на вирус, логи ниже.CollectionLog-2024.01.21-21.42.zip
    • AutoMaging
      От AutoMaging
      Я не знаю что происходит но теперь на пк есть: Trojan:Win32/Khalesi.RL!MTB
      который делает вот такие вещи:
      file: C:\ProgramData\{F4D3C3EF-1BD2-F6B6-D710-5F7E67C15AE8}\596c1370.exe regkey: HKCU@S-1-5-21-2159654326-3945755807-2332048930-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\{68C3EBDF-33E2-6AA6-D710-5F7E67C15AE8} runkey: HKCU@S-1-5-21-2159654326-3945755807-2332048930-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\{68C3EBDF-33E2-6AA6-D710-5F7E67C15AE8} 
      Подскажите что происходит

      P.S + ещё вирусняки которые я не знаю

    • Ksaltotyn
      От Ksaltotyn
      Проблема в следующем. Kaspersky Anti-virus сообщает, что им был остановлен переход на недоверенный сайт. Без проблем заходит на гугол, ютуб и другие крупные сайты. На форум и сайт касперского пускает без проблем, но уже на safezone.cc ссылка постоянно блочится. С остальными сайтами иногда пускает, иногда нет. Иногда позволяет сделать выбор и разрешает "несмотря на опасность перехода по опасной ссылке" пройти на сайт, однако вместо нужного адреса перенаправляет на другой ( там размещен опросник, после которого предлагают что-то купить, дальше я не заходил). При отключении антивируса, переход на сайты продолжают блочить уже под видом внутреннего защитника винды. Аналогичная проблема на трех компьютерах, подключенных к одному модему. 
      Проверял самим антивирусом, его ответ - проблем нет. Сканировал AVZ, AVbr, KVRT, Adwcleaner, FRST. Результат один и тот же, ничего не найдено. FRST выкладки смотрел, возможно чего-то не увидел или не понял. Autologger скачать не дает.
      Браузер хром и ейдж. К хрому ставил расширения WebDefender: Antivirus & Privacy Protection и Kaspersky Protection (включены оба, по одному, отключены). На ситуацию влияют слабо, иногда позволяют перейти на искомый сайт. Отчет и скрины приложил.
      Какой будет диагноз?


      Addition.txt FRST.txt отчет каспера.txt
    • Fine
      От Fine
      Приложение Genshin Impact_launcher_pcseaepic_1_3 отображается в автозагрузке Kaspersky, но не отображается в автозагрузке Windows. 

×
×
  • Создать...