[РЕШЕНО] DNS сервера выставляются сами, 127.0.2.2, из за этого, как я подозреваю, не работают некоторые игры, и плохо работают некоторые сайты.

[pulivilizator]

Сами выставляются DNS сервера. Началось, как я думаю, после взлома офиса KMSом, DrWeb, Kaspersky и Защитник Windows ничего не находят. В HackJackThis нашел эти адреса, но после удаления они появляются снова. Пробовал сбрасывать TCP IP, переустанавливать драйвера, не помогает. При подключении напрямую к компьютеру интернета, а не через роутер DNS сервера сами не устанавливаются, но проблема не исчезает, и в HackJackThis продолжают появляться после удаления.

CollectionLog-2022.12.20-22.39.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dmitriy','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dmitriy','x64');
ExecuteSysClean;
ExecuteRepair(21);
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером. 

[pulivilizator]

CollectionLog-2022.12.21-01.30.zip

[mike 1]

Сделайте такой лог

[pulivilizator]

6 часов назад, mike 1 сказал:

Сделайте такой лог

При создании лога выдает троян 'Trojan:Win32/Wacatac.B!ml', так и должно быть?

DESKTOP-UD1LGPE_2022-12-21_18-52-18_v4.12.3.7z

[mike 1]

Похоже какой-то из установленных VPN сервисов меняет вам DNS на 127.0.2.2. Попробуйте временно деинсталлировать их. 

 

Hotspot Shield 11.3.0
ProtonVPN
ProtonVPNTap
ProtonVPNTun

 

[pulivilizator]

7 минут назад, mike 1 сказал:

Похоже какой-то из установленных VPN сервисов меняет вам DNS на 127.0.2.2. Попробуйте временно деинсталлировать их. 

 

Hotspot Shield 11.3.0
ProtonVPN
ProtonVPNTap
ProtonVPNTun

 

Деинсталлировал, в HackJackThis удалил, все равно сами выставляются. Эти программы были установлены давно, проблема появилась гораздо позже, как я предполагаю, это связано с KMSauto, потому что она появилась через дня 2 после его использования. Диагностика сети всегда выводит сообщение, что исправила проблему если стоят эти адреса, а если их поменять или выставить автоматические, то просит перезагрузить роутер, но это не помогает.

[mike 1]

Сделайте лог Process Monitor с воспроизведением проблемы с DNS. 

[pulivilizator]

8 часов назад, mike 1 сказал:

Сделайте лог Process Monitor с воспроизведением проблемы с DNS. 

Здравствуйте. Сделал лог. Файл большой, пришлось залить на диск. https://disk.yandex.ru/d/daUwiY6dHoUkzw
Удалил везде где нашел этот DNS, поменял в настройках сети на автоматический DNS, запустил программу, во время работы программы запустил диагностику чтобы вызвать проблему, а не ждать минут 5-10 пока оно само отключит интернет и поменяет DNS, кстати да, еще такой факт, когда DNS меняется сам на 127.0.2.2, интернет отключается минут на 5, а потом включается с новыми адресами DNS, либо пока я не вытащу и не подключу обратно провод.

[mike 1]

Cloudflare WARP меняет DNS в сетевых подключениях. Деинсталлируйте Cloudflare WARP

Изменено 22 декабря, 2022 пользователем mike 1

[pulivilizator]

3 минуты назад, mike 1 сказал:

Cloudflare WARP меняет DNS в сетевых подключениях. Деинсталлируйте Cloudflare WARP

 

 

 

Спасибо большое, добрый человек

[mike 1]

Помогло?

[pulivilizator]

4 минуты назад, mike 1 сказал:

Помогло?

Да, спасибо, проблема оказывается просто решалась

[mike 1]

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
2. Запустите DelFix

    

   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

    

3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
   

4. Нажмите на кнопку Run
   

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[pulivilizator]

8 минут назад, mike 1 сказал:

 

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
2. Запустите DelFix

    

   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

    

    

3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

4. Нажмите на кнопку Run

 

 

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

 

SecurityCheck.txt