Перейти к содержанию
Правила раздела

Надоел DNS Unlocker

Павел Вдовин

От Павел Вдовин
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Павел Вдовин Новичок

Павел Вдовин

Опубликовано
Опубликовано

Добрый вечер.

Думаю, что проблема многим знакома. Как попала на комп-, черт его знает. Сначала появилась в трее просто программка DNS Unlocker, я ее удалил (это я так думал), потом она появилась гугл хром, потом в опере ну и в мозиле.

Гугл снес и не планирую больше устанавливать, а вот опера и мозила страдают, ну и я вместе ними.

хотелось бы разобраться с этой ......

CollectionLog-2016.01.15-22.41.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-692421290-341813062-1940679380-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-692421290-341813062-1940679380-1002\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Tcpip\..\Interfaces\{a8278af2-2ba0-4deb-bba2-5068bba6106f}: [DhcpNameServer] 82.163.143.172 82.163.142.174
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sweet-page.com/?type=hp&ts=1400783705&from=cor&uid=WDCXWD5000LPVT-22G33T0_WD-WX11A139149091490
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1400783705&from=cor&uid=WDCXWD5000LPVT-22G33T0_WD-WX11A139149091490&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1400783705&from=cor&uid=WDCXWD5000LPVT-22G33T0_WD-WX11A139149091490
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1400783705&from=cor&uid=WDCXWD5000LPVT-22G33T0_WD-WX11A139149091490&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1400783705&from=cor&uid=WDCXWD5000LPVT-22G33T0_WD-WX11A139149091490&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1400783705&from=cor&uid=WDCXWD5000LPVT-22G33T0_WD-WX11A139149091490&q={searchTerms}
2015-07-21 19:37 - 2015-07-29 20:28 - 0000079 _____ () C:\Program Files (x86)\prefs.js
Task: {732B9680-5B9A-42C4-B5D7-5850834266E6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {8512FC3E-89D2-4404-B77D-46CA3F18EFA3} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {8D1FD5E1-8519-4828-8E3D-04BA65A4EA88} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {8F6D7550-A813-4C6E-A3C2-D5C9A677B9B0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {91707274-1CF6-432A-B5B8-B8E41C1EF94C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {A4E16D4C-A3BB-49E1-BAB0-3B2CA91FDAF4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {A8B96CC3-F54F-48B4-A504-5908CAC66C7E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {AB6E218E-BDCC-40C5-91BF-825BC8BC5C84} - \DigitalSite -> No File <==== ATTENTION
Task: {B553C50A-9575-4AB0-8102-F1674C2373A0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {C6F0915E-A2F6-45AD-B583-C5E82D790B13} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {CB5961E1-FA9C-4668-96DA-749A0D19283C} - \CCleanerSkipUAC -> No File <==== ATTENTION
Task: {ED85EE79-6C95-4478-923E-9F67B6043D86} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {F0D2FA8A-14E5-482C-8EF8-AFB4AB8C7FC9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\DigitalSite.job => C:\Users\1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
Павел Вдовин Новичок

Павел Вдовин

Опубликовано
  • Автор
Опубликовано (изменено)

 все так же. опять новые окна открываются и т.д.


скриншот

post-36856-0-10426100-1452935946_thumb.jpg

Изменено пользователем Павел Вдовин
Ссылка на комментарий
Поделиться на другие сайты
Павел Вдовин Новичок

Павел Вдовин

Опубликовано
  • Автор
Опубликовано

Все сделал, куки кэш почистил. вчера норм. 

Егодня опять тоже самое. скрины ниже. И при нажатии на ссылки (например на  сайте все инструменты, при выборе города сразу вылетает новое окно с различными сайтами)

post-36856-0-14099900-1453043556_thumb.jpg

post-36856-0-19344800-1453043557_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Сделайте аппаратный сброс настроек роутера, введите правильные настройки.

Смените пароль к настройкам роутера на более сложный.

Очистите куки и кэш браузеров, перезагрузите компьютер.

 

Проверьте проблему.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ViM
      DNS сервера выставляются сами, 127.0.0.1 после перезагрузки ПК (dns не от роутера)
      От ViM
      Нашел много постов с аналогичной проблемой, прощу помощи 
      Готов предоставить все нужные логи 

      https://forum.kasperskyclub.ru/topic/338960-resheno-dns-servera-vystavljajutsja-sami-127022-iz-za-jetogo-kak-ja-podozrevaju-ne-rabotajut-nekotorye-igry-i-ploho-rabotajut-nekotorye-sajty/
    • ska79
      Неактивен пункт получить адрес dns автоматически
      От ska79
      Правильно ли я понимаю что автоматическое получение dns возможно только если ip адрес тоже выставлен назначатться автоматически?

    • ska79
      Локальный dns из старого смартфона
      От ska79
      Хочу попробовать сделать на базе старого смартфона свой dns сервер (в локальной сети) как это организовать? В сети ничего не нашёл 
    • KL FC Bot
      Атака KeyTrap позволяет вывести из строя DNS-сервер | Блог Касперского
      От KL FC Bot
      Группа исследователей из нескольких немецких университетов и институтов обнаружила уязвимость в DNSSEC — наборе расширений протокола DNS, которые предназначены для повышения его безопасности, в первую очередь для противодействия DNS-спуфингу.
      Атака, эксплуатирующая эту уязвимость, которую они назвали KeyTrap, позволяет вывести из строя DNS-сервер, отправив ему единственный вредоносный пакет данных. Рассказываем подробнее об этой атаке.
      Как работает атака KeyTrap и чем она опасна
      Публично об уязвимости в DNSSEC стало известно только сейчас, однако она была обнаружена еще в декабре 2023 года и зарегистрирована как CVE-2023-50387. Ей присвоена оценка 7,5 по шкале CVSS 3.1 и уровень опасности «высокий». Полностью информация об уязвимости и соответствующей атаке пока не обнародована.
      Суть KeyTrap состоит в следующем. Атакующий создает собственный DNS-сервер, отвечающий на запросы кэширующих DNS-серверов (то есть серверов, которые непосредственно обслуживают запросы клиентов) вредоносным пакетом. Далее злоумышленник заставляет кэширующий сервер запросить DNS-запись у вредоносного DNS-сервера, который в ответ отправляет криптографически подписанную вредоносную DNS-запись. При этом подпись выполнена таким образом, что в процессе ее проверки атакуемый DNS-сервер зависает на продолжительное время с загрузкой процессора 100%.
      По словам исследователей, в зависимости от используемого на DNS-сервере ПО, эта атака может с помощью единственного вредоносного пакета заставить сервер зависнуть на срок от 170 секунд до 16 часов. В результате атаки KeyTrap можно не только лишить доступа к веб-контенту всех клиентов, которые пользуются выведенным из строя DNS-сервером, но и помешать работе различных инфраструктурных сервисов, таких как защита от спама, обработка цифровых сертификатов (PKI) и безопасная междоменная маршрутизация (RPKI).
      Сами исследователи называют KeyTrap «самой серьезной из когда-либо обнаруженных атак на DNS-серверы». Интересно, что изъяны в логике проверки подписи, которые делают эту атаку возможной, обнаружены еще в одной из самых ранних версий спецификации DNSSEC, опубликованной в 1999 году. То есть данной уязвимости без малого четверть века.
      Предпосылки для KeyTrap содержатся еще в RFC-2035 — спецификации DNSSEC, опубликованной в 1999 году
       
      Посмотреть статью полностью
    • Teplovchik
      Произвольная смена адресов DNS процессом wmiprvse.exe
      От Teplovchik
      Проблема появилась после установки "народного" фотошопа.
      В настройках сетевого адаптера автоматически начали прописываться адреса DNS 8.8.8.8,8.8.4.4 из за чего пропадает интернет на компьютере.
      Поскольку компьютер подключен к роутеру со статическим ip все остальные устройства подключенные к роутеру продолжают работать в обычном режиме. Помогает изменение  настроек адаптера на компьютере на первоначальные путем установки значения на "Получить адрес DNS-сервера автоматически" в настройках адаптера во вкладке TCP/IPv4.
      Проверка Касперским на вирусы результатов не дала. Через Process Monitor был выявлен процесс который меняет запись в реестре на установку DNS NameServer REG_SZ 8.8.8.8,8.8.4.4 это файл wmiprvse.exe
      Приложение 1,3 - скрин с указанием процесса который внёс изменение в реестр.
      Приложение 2 -скрин реестра где появляется запись с адресом DNS.
      Фотошоп был удалён но проблема осталась. Обнуление значение в строчке реестра NameServer возвращают интернет, но через некоторое время (всегда по разному может через десять минут, может через несколько часов) запись опять появляется.
      Помогите решить проблему. По найденной информации wmiprvse.exe является системным файлом и удалить его просто нельзя.
      До этого поста размещал вопрос на офф. сайте касперского. https://forum.kaspersky.com/topic/произвольная-смена-адресов-dns-процессом-wmiprvseexe-38450/#comment-155188 От туда отправили сюда. 



      CollectionLog-2024.01.12-18.37.zip
×
×
  • Создать...