Перейти к содержанию

[РЕШЕНО] DNS сервера выставляются сами, 127.0.2.2, из за этого, как я подозреваю, не работают некоторые игры, и плохо работают некоторые сайты.


Рекомендуемые сообщения

Сами выставляются DNS сервера. Началось, как я думаю, после взлома офиса KMSом, DrWeb, Kaspersky и Защитник Windows ничего не находят. В HackJackThis нашел эти адреса, но после удаления они появляются снова. Пробовал сбрасывать TCP IP, переустанавливать драйвера, не помогает. При подключении напрямую к компьютеру интернета, а не через роутер DNS сервера сами не устанавливаются, но проблема не исчезает, и в HackJackThis продолжают появляться после удаления.

image.png

image.png

CollectionLog-2022.12.20-22.39.zip

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dmitriy','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dmitriy','x64');
ExecuteSysClean;
ExecuteRepair(21);
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером. 

Ссылка на сообщение
Поделиться на другие сайты
6 часов назад, mike 1 сказал:

Сделайте такой лог

При создании лога выдает троян 'Trojan:Win32/Wacatac.B!ml', так и должно быть?

DESKTOP-UD1LGPE_2022-12-21_18-52-18_v4.12.3.7z

Ссылка на сообщение
Поделиться на другие сайты

Похоже какой-то из установленных VPN сервисов меняет вам DNS на 127.0.2.2. Попробуйте временно деинсталлировать их. 

 

Hotspot Shield 11.3.0
ProtonVPN
ProtonVPNTap
ProtonVPNTun

 

Ссылка на сообщение
Поделиться на другие сайты
7 минут назад, mike 1 сказал:

Похоже какой-то из установленных VPN сервисов меняет вам DNS на 127.0.2.2. Попробуйте временно деинсталлировать их. 

 


Hotspot Shield 11.3.0
ProtonVPN
ProtonVPNTap
ProtonVPNTun

 

Деинсталлировал, в HackJackThis удалил, все равно сами выставляются. Эти программы были установлены давно, проблема появилась гораздо позже, как я предполагаю, это связано с KMSauto, потому что она появилась через дня 2 после его использования. Диагностика сети всегда выводит сообщение, что исправила проблему если стоят эти адреса, а если их поменять или выставить автоматические, то просит перезагрузить роутер, но это не помогает.image.png.9cbbb28980e0d18eeb43ebd22cf9e2c5.png

Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, mike 1 сказал:

Сделайте лог Process Monitor с воспроизведением проблемы с DNS. 

Здравствуйте. Сделал лог. Файл большой, пришлось залить на диск. https://disk.yandex.ru/d/daUwiY6dHoUkzw
Удалил везде где нашел этот DNS, поменял в настройках сети на автоматический DNS, запустил программу, во время работы программы запустил диагностику чтобы вызвать проблему, а не ждать минут 5-10 пока оно само отключит интернет и поменяет DNS, кстати да, еще такой факт, когда DNS меняется сам на 127.0.2.2, интернет отключается минут на 5, а потом включается с новыми адресами DNS, либо пока я не вытащу и не подключу обратно провод.

Ссылка на сообщение
Поделиться на другие сайты

Cloudflare WARP меняет DNS в сетевых подключениях. Деинсталлируйте Cloudflare WARP

image.png

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, mike 1 сказал:

Cloudflare WARP меняет DNS в сетевых подключениях. Деинсталлируйте Cloudflare WARP

 

image.png

 

 

Спасибо большое, добрый человек

Ссылка на сообщение
Поделиться на другие сайты

  1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
  2. Запустите DelFix

     

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

     

  3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

  4. Нажмите на кнопку Run

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, mike 1 сказал:

 

  1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
  2. Запустите DelFix

     

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

     

     

  3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

  4. Нажмите на кнопку Run

 

 

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

 

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Dwight
      От Dwight
      Думаю заразил Пк вирусами, так-как при банальном открытии браузера вентиляторы начинают активно набирать обороты, а работать в программах для монтажа стало просто невозможно, но все проблемы меня покидают после открытия диспетчера задач
       
      CollectionLog-2024.10.24-13.20.zip
    • Пантелеймон
      От Пантелеймон
      Добрый день! 
      Подхватил вирус удаленного доступа 
      Кто-то управляет компьютером удаленно: набирает текст, открывает программы, в общем имеет как я понял полный доступ к файлам и управлению ПК 
      Переустановка Винды не помогла 
      Компьютер рабочий, работаю через удаленку, когда подключен к рабочей удаленке, злоумышленник также имеет к ней доступ
      Скорее всего подхватил эту болячку после того как, по глупости и жадности хотел скачать бесплатный Word, но это не точно 
      Хотелось бы изгнать этого нарушителя, с вашей помощью
      CollectionLog-2024.08.16-11.23.zip
    • ЕвгенийA
      От ЕвгенийA
      Здравствуйте! Играл в игру A Dance of Fire and Ice и хотел оставить в фоне Process Hacker. После игры захотел посмотреть логи и заметил непонятный мне процесс Code.exe который за несколько секунд зачем то открыл cmd, conhost и wsl. Потом создал своих копий и закрылся. Это может быть вирус или просто обычное поведение системы?

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Salieri
      От Salieri
      Здравствуйте, упала производительность, начал сильно греться, подозрения на вирус, логи ниже.CollectionLog-2024.01.21-21.42.zip
×
×
  • Создать...