Перейти к содержанию
Правила раздела
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Что-то подменивает адрес DNS-сервера

grekh

Автор grekh
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

grekh Новичок

grekh

Опубликовано
Опубликовано

Доброго времени суток!

 

Сегодня решил порисовать и решил для ознакомления скачать не лицензионную версию ПО Adobe Photoshop CC 2019.

Во время установки пропало wifi соединение (точнее, вай-фай сеть есть, точки вижу, но подключался к трем разным - пишет "Нет соединения с Интернетом"). После успешной установки проблема так и не решилась.

Посмотрел свой файлик hosts... добавило кучу локальных ip (127.0.0.1) для самоактивации.

Почистил файлик. Затем проверил настройки IPv4 протокола и оказалось что флажок стоит не на автоматическом получении, а указан статический - мой локальный (127.0.0.1). Поставил флажок на автополучение, все заработало через пол минутки.

 

При перезапуске системы какой-то скрипт опять ставит флажок на статический и прописывает локальный адрес.

Ребята, помогите найти гадость, которая это делает. Заранее благодарен.

 

Систему просканировал с помощью Kaspersky Virus Removal Tool 2015

​Антивирусная утилита ничего не нашла. Логи прикрепил.

 

Примечание. Логи работы системы, уже после того, как вручную сменил адрес DNS на автополучение.

 

Строгое предупреждение от модератора Mark D. Pearlstone
Нарушение пункта 12 правил форума. Ссылка удалена.

CollectionLog-2019.02.15-17.36.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('bpboeqqq');
 QuarantineFile('C:\Users\Admin\AppData\Local\system32\system32.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\bpboeqqq.sys', '');
 DeleteFile('C:\Windows\system32\drivers\bpboeqqq.sys', '64');
 DeleteService('bpboeqqq');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\StartupApproved\Run: [system32] = C:\Users\Admin\AppData\Local\system32\system32.exe (2019/02/15)
O15 - Trusted Zone: http://hola.org
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{AB6111B4-1D51-450E-8B59-F3A0C44CEA1D}: [NameServer] = 127.0.0.1
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • evg-gaz
      зашифровали сервер
      Автор evg-gaz
      Зашифровали все файлы на сервереAddition.txtvirus.rarFRST.txt
    • GLADvanger
      Зашифровали файлы на сервере.
      Автор GLADvanger
      Добрый день!
      Зашифровали файлы добавили в каждому расширение .com
      При открытии любого документы с таким расширением вылезает окошко блокнота с текстом:
      Hi!
      All your files are encrypted!
      Your decryption ID: 8FKNMypGuRjkG2BXJeXToZ28gEGiD1Coc8C_Z00tqRU*tony@mailum.com
      We will solve your problem but you need to pay to get your files back
      Write us
      Our email - tony@mailum.com
       
      KVRT просканировал, нашел троян Trojan.Multi.Ifeodeb
       
      Логи в приерепленном
       
      FRST log.rar
    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • agrohim
      KSC не соединяет с сервером администрирования
      Автор agrohim
      Сервер администрирования Kaspersky Security Center не запускается

    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
×
×
  • Создать...