Перейти к содержанию
Правила раздела

Изменение адреса DNS-сервера

Kolosova

Автор Kolosova
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Kolosova

Kolosova

Опубликовано
Опубликовано

Уважаемые консультанты, помогите, пожалуйста ! 

Периодически меняются сетевые настройки:

  -Предпочитаемый DNS-сервер    37.10.116.202

  -Альтернативный  DNS-сервер    8.8.8.8

ОС -Windows XP Professional

Антивирус Касперский 6.0 для Windows Workstations вирусов не находит.

         

  • 2 недели спустя...
Kolosova

Kolosova

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

Отвечаю Вам с большим опозданием (была горячая пора). Но все это время я не бездействовала. Выполнила все Ваши рекомендации по ссылке http://forum.kasperskyclub.ru/index.php?showtopic=31551 . Находились вирусы, ПК лечился и была надежда, что может быть, наконец -то, все будет в порядке. Но нет, опять менялся адрес DNS-сервера. Убрала Касперского для рабочих станций, установила Касперский 2013 лицензионный, обновила базы, проверила все, нашлись пару вирусов и уязвимости, все устранила. Проверяла Касперским ежедневно в надежде, что обновлённая сигнатура поможет выявить вирус. Касперский говорил, что все хорошо. Запускала неоднократно утилиты AVZ, RSIT. В течение дня проверяла настройку сетевой карты. Менялась настройка всегда во второй половине дня. 

 

Очень жду Ваших рекомендаций.

 

Прикрепляю файлы протоколов.

info.txt

virusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

mike 1

mike 1

Опубликовано
Опубликовано
Здравствуйте!
 
Закройте все программы
 
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\tasks\At2.job','');
 QuarantineFile('C:\WINDOWS\tasks\At3.job','');
 QuarantineFile('C:\WINDOWS\system32\tasks\At2','');
 QuarantineFile('C:\WINDOWS\system32\tasks\At3','');     
 DeleteFile('C:\WINDOWS\tasks\At2.job','32');     
 DeleteFile('C:\WINDOWS\tasks\At3.job','32');
 DeleteFile('C:\WINDOWS\system32\tasks\At2','32');     
 DeleteFile('C:\WINDOWS\system32\tasks\At3','32');     
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);    
BC_Activate;       
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
 

quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Сделайте новые логи RSIT. 

 

Kolosova

Kolosova

Опубликовано
  • Автор
Опубликовано

Добрый день !

Выполнила все Ваши рекомендации. KLAN - 1357712171. Hовые логи RSIT прикрепила.

log.txt

info.txt

Roman_Five

Roman_Five

Опубликовано
Опубликовано

Пофиксите в Hijackthis:



O17 - HKLM\System\CCS\Services\Tcpip\..\{000B5E6B-FECD-4C64-B767-C205C34DB5A0}: NameServer = 37.10.116.202,8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F0866A7-5D02-4362-A028-E25B5E508737}: NameServer = 37.10.116.202,8.8.8.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{000B5E6B-FECD-4C64-B767-C205C34DB5A0}: NameServer = 37.10.116.202,8.8.8.8

сделайте новые логи RSIT

 

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

 

 

 

Сделайте лог AdwCleaner
http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/#post-160195

 

 

Выполните в AVZ скрипт для обнаружения наиболее часто используемых уязвимостей:

http://df.ru/~kad/ScanVuln.txt

 

Примечания:
1. Для работы скрипта требуется антивирусная утилита AVZ версии не ниже 4.32.
2. Скрипт сохраняет результат проверки в файле avz_log.txt в подпапке AVZ: log. Если это сделать не удалось, то в корень диска C:.
3. Для устранения уязвимостей пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
4. Перезагрузите компьютер и повторно выполните скрипт для проверки.

 

Kolosova

Kolosova

Опубликовано
  • Автор
Опубликовано

Добрый вечер !

Выполнила Ваши инструкции, но с небольшими отступлениями. А именно: При установке Malwarebytes' Anti-Malware не сняла галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO" (поторопилась). Удаление программы, перезагрузка ПК и новая установка ничего не изменила, т.к. при повторной установке Malwarebytes' Anti-Malware не было пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO". Не знаю насколько это принципиально.  Во всем остальном следовала Вашим указаниям. При сканировании Malwarebytes обнаружила вредоносную программу. Удалять не стала, т.к. в инструкции не сказано, что нужно удалять. Решила дождаться Ваших коментариев. Прилагаю протоколы программ.

virusinfo_syscure.zip

AdwCleanerR0.txt

info.txt

log.txt

MBAM-log-2014-01-21 (16-47-11).txt

virusinfo_syscheck.zip

Roman_Five

Roman_Five

Опубликовано
Опубликовано

не выполнили.

 

 


Выполните в AVZ скрипт для обнаружения наиболее часто используемых уязвимостей:http://df.ru/~kad/ScanVuln.txt

у вас остался уязвимый софт.

 

то что найдено в MBAM - не критично, если не будете запускать восстановление системы.

MBAM можно (и нужно) деинсталлировать

 

запустите ещё раз AdwCleaner и после проверки (сняв, при необходимости, отметки с элементов Яндекса) - нажмите Clean

новый лог Adwcleaner после перезагрузки приложите.


повторите скрипт из этого поста.

http://forum.kasperskyclub.ru/index.php?showtopic=42292&do=findComment&comment=610836

у Вас слова зловредные задания в планировщике.

 

повторите логи RSIT

Kolosova

Kolosova

Опубликовано
  • Автор
Опубликовано

Добрый день !

Вы правы, я действительно оставила часть уязвимостей. Программа Портал СУФД, с которой мы работаем, некорректно работала при установке последних версий Mozila и Java.Поэтому разработчики Портала СУФД при его установке включили и установку Mozilы и Javы соответствующих версий. Старые версии программ установлены и на других ПК. Сейчас я убрала все уязвимости. Отправила запрос в лабораторию Касперского.

KLAN -1360049164

Протоколы прилагаются.

info.txt

AdwCleanerR2.txt

quarantine.zip

log.txt

Roman_Five

Roman_Five

Опубликовано
Опубликовано

удалите папки:





C:\Documents and Settings\Веселова\Application Data\0D0S1L2Z1P1B
C:\Documents and Settings\Веселова\Application Data\DigitalSites

Выполните скрипт:







begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\WINDOWS\tasks\At1.job','');
QuarantineFile('C:\WINDOWS\system32\tasks\At1','');
DeleteFile('C:\WINDOWS\tasks\At1.job','32');
DeleteFile('C:\WINDOWS\system32\tasks\At1','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

после перезагрузки - новые логи RSIT и AVZ

 

а также

 

Очистите временные файлы
с помощью ATF Cleaner:
• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
• нажмите No, если вы хотите оставить ваши сохраненные пароли
• если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Сбросьте кэш DNS



ipconfig /flushdns

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Teplovchik
      Произвольная смена адресов DNS процессом wmiprvse.exe
      Автор Teplovchik
      Проблема появилась после установки "народного" фотошопа.
      В настройках сетевого адаптера автоматически начали прописываться адреса DNS 8.8.8.8,8.8.4.4 из за чего пропадает интернет на компьютере.
      Поскольку компьютер подключен к роутеру со статическим ip все остальные устройства подключенные к роутеру продолжают работать в обычном режиме. Помогает изменение  настроек адаптера на компьютере на первоначальные путем установки значения на "Получить адрес DNS-сервера автоматически" в настройках адаптера во вкладке TCP/IPv4.
      Проверка Касперским на вирусы результатов не дала. Через Process Monitor был выявлен процесс который меняет запись в реестре на установку DNS NameServer REG_SZ 8.8.8.8,8.8.4.4 это файл wmiprvse.exe
      Приложение 1,3 - скрин с указанием процесса который внёс изменение в реестр.
      Приложение 2 -скрин реестра где появляется запись с адресом DNS.
      Фотошоп был удалён но проблема осталась. Обнуление значение в строчке реестра NameServer возвращают интернет, но через некоторое время (всегда по разному может через десять минут, может через несколько часов) запись опять появляется.
      Помогите решить проблему. По найденной информации wmiprvse.exe является системным файлом и удалить его просто нельзя.
      До этого поста размещал вопрос на офф. сайте касперского. https://forum.kaspersky.com/topic/произвольная-смена-адресов-dns-процессом-wmiprvseexe-38450/#comment-155188 От туда отправили сюда. 



      CollectionLog-2024.01.12-18.37.zip
    • ska79
      Неактивен пункт получить адрес dns автоматически
      Автор ska79
      Правильно ли я понимаю что автоматическое получение dns возможно только если ip адрес тоже выставлен назначатться автоматически?

    • ViM
      DNS сервера выставляются сами, 127.0.0.1 после перезагрузки ПК (dns не от роутера)
      Автор ViM
      Нашел много постов с аналогичной проблемой, прощу помощи 
      Готов предоставить все нужные логи 

      https://forum.kasperskyclub.ru/topic/338960-resheno-dns-servera-vystavljajutsja-sami-127022-iz-za-jetogo-kak-ja-podozrevaju-ne-rabotajut-nekotorye-igry-i-ploho-rabotajut-nekotorye-sajty/
    • KL FC Bot
      Атака KeyTrap позволяет вывести из строя DNS-сервер | Блог Касперского
      Автор KL FC Bot
      Группа исследователей из нескольких немецких университетов и институтов обнаружила уязвимость в DNSSEC — наборе расширений протокола DNS, которые предназначены для повышения его безопасности, в первую очередь для противодействия DNS-спуфингу.
      Атака, эксплуатирующая эту уязвимость, которую они назвали KeyTrap, позволяет вывести из строя DNS-сервер, отправив ему единственный вредоносный пакет данных. Рассказываем подробнее об этой атаке.
      Как работает атака KeyTrap и чем она опасна
      Публично об уязвимости в DNSSEC стало известно только сейчас, однако она была обнаружена еще в декабре 2023 года и зарегистрирована как CVE-2023-50387. Ей присвоена оценка 7,5 по шкале CVSS 3.1 и уровень опасности «высокий». Полностью информация об уязвимости и соответствующей атаке пока не обнародована.
      Суть KeyTrap состоит в следующем. Атакующий создает собственный DNS-сервер, отвечающий на запросы кэширующих DNS-серверов (то есть серверов, которые непосредственно обслуживают запросы клиентов) вредоносным пакетом. Далее злоумышленник заставляет кэширующий сервер запросить DNS-запись у вредоносного DNS-сервера, который в ответ отправляет криптографически подписанную вредоносную DNS-запись. При этом подпись выполнена таким образом, что в процессе ее проверки атакуемый DNS-сервер зависает на продолжительное время с загрузкой процессора 100%.
      По словам исследователей, в зависимости от используемого на DNS-сервере ПО, эта атака может с помощью единственного вредоносного пакета заставить сервер зависнуть на срок от 170 секунд до 16 часов. В результате атаки KeyTrap можно не только лишить доступа к веб-контенту всех клиентов, которые пользуются выведенным из строя DNS-сервером, но и помешать работе различных инфраструктурных сервисов, таких как защита от спама, обработка цифровых сертификатов (PKI) и безопасная междоменная маршрутизация (RPKI).
      Сами исследователи называют KeyTrap «самой серьезной из когда-либо обнаруженных атак на DNS-серверы». Интересно, что изъяны в логике проверки подписи, которые делают эту атаку возможной, обнаружены еще в одной из самых ранних версий спецификации DNSSEC, опубликованной в 1999 году. То есть данной уязвимости без малого четверть века.
      Предпосылки для KeyTrap содержатся еще в RFC-2035 — спецификации DNSSEC, опубликованной в 1999 году
       
      Посмотреть статью полностью
    • cikalovaol
      Не сохраняются изменения на ПК
      Автор cikalovaol
      Не сохроняються изменения в пк. Компьютер время от времени выключаеться с синым экраном сам по себе и перезапускаеться. Питался удалить програмы, но это безуспешно так как после перезагрузкы компьютера все програмы которые удалял остаються невредимыми. Что делать?
×
×
  • Создать...