Перейти к содержанию

[РЕШЕНО] VMware процесс цп грузил 100% и сами dns меняются


Рекомендуемые сообщения

13 минут назад, Sandor сказал:

Тема открыта по просьбе ТС (DNS по-прежнему меняется).

 

К сети подключаетесь через роутер? Если да, подключено одно устройство?

Через роутер, подключено к сети компьютер, ноутбук, телефон и телевизор через вай фай. Но в данный момент только компьютер и телефон подключен, так как телевизор и ноут выключены.

Изменено пользователем Adrian
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 35
  • Created
  • Последний ответ

Top Posters In This Topic

  • Adrian

    19

  • Sandor

    17

Top Posters In This Topic

На других устройствах подобного нет?

 

В системе установлены:

Цитата

 

Proxifier version 3.42

NetShield Kit 1.3.27.0

NetShield Kit 1.3.28.1

NewMegaBot 1.01

 

 

Все эти программы вам знакомы?

Ссылка на сообщение
Поделиться на другие сайты

Эти незнакомы:

NetShield Kit 1.3.27.0

NetShield Kit 1.3.28.1

 

Proxifier version 3.42 пользуюсь постоянно для своих целей и NewMegaBot 1.01 тоже пользуюсь.

 

5 часов назад, Sandor сказал:

На других устройствах подобного нет?

 Не замечал

Изменено пользователем Adrian
Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, Sandor сказал:

Деинсталлируйте обе.

NetShield Kit 1.3.28.1 эту только нашёл через удаление программ и деинсталлировал. Другой версии не было.

 

Может в самом роутере нужно какие то ещё настройки сделать? В телефоне посмотрел wi-fi ip адрес прописан 192.168.1.10, dns прописан 8.8.8.8 и 8.8.4.4.

Только на компьютере днс меняются.

Ссылка на сообщение
Поделиться на другие сайты

"Пофиксите" в HijackThis (некоторых строк может не быть):

O17 - DHCP DNS 1: 185.192.111.210
O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{26b11a49-585f-4b43-a90c-9af3c3d7b25b}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{26b11a49-585f-4b43-a90c-9af3c3d7b25b}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{6bb4f047-2706-11e5-9bbe-806e6f6e6963}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{6bb4f047-2706-11e5-9bbe-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{81043844-f270-4a21-8635-810b6926a3af}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{81043844-f270-4a21-8635-810b6926a3af}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{be8a12c6-7502-4ad0-a7ab-908384611a70}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{be8a12c6-7502-4ad0-a7ab-908384611a70}: [NameServer] = 37.59.58.122

 

Перезагрузите компьютер вручную и проверьте. Результат сообщите.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, обычно когда менял в ручную, то в течении часа или нескольких часов менялись обратно. Отпишу по результата спустя некоторое время.

 

Опять dns сменились на прежние

Ссылка на сообщение
Поделиться на другие сайты

Посмотрим так:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .


Подробнее читайте в руководстве Как подготовить лог UVS.
 
Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
  4. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    breg
    
    setdns DNS Server list\
    setdns Ethernet 2\4\{81043844-F270-4A21-8635-810B6926A3AF}\
    setdns Ethernet\4\{BE8A12C6-7502-4AD0-A7AB-908384611A70}\
    setdns Подключение по локальной сети* 1\4\{26B11A49-585F-4B43-A90C-9AF3C3D7B25B}\
    setdns DNS Server list\8.8.8.8,8.8.4.4
    setdns Ethernet 2\4\{81043844-F270-4A21-8635-810B6926A3AF}\8.8.8.8,8.8.4.4
    setdns Ethernet\4\{BE8A12C6-7502-4AD0-A7AB-908384611A70}\8.8.8.8,8.8.4.4
    ;---------command-block---------
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\ORBITUM\UPDATE\GOOGLEUPDATE.EXE
    bl E8D3D87300EBF45F013EFC4626E1D20C 6820864
    zoo %SystemDrive%\PROGRAM FILES (X86)\NETSHIELD KIT\NETSHIELDSVC.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\NETSHIELD KIT\NETSHIELDSVC.EXE
    delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\DOTNETBROWSER\DOTNETBROWSER.DMP.DIR
    delref %SystemRoot%\TEMP\5A646692-AF83-420E-A036-D4438D0F9529
    bl 25AC227008EEEA4E5B59E4BC9CAC05A8 287744
    zoo %SystemDrive%\PROGRAM FILES (X86)\NETSHIELD KIT\CLI.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\NETSHIELD KIT\CLI.EXE
    deldir %SystemDrive%\PROGRAM FILES (X86)\NETSHIELD KIT
    apply
    
    czoo
    deltmp
    restart
  5. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."

  6. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

  7. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  8. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Подробнее читайте в этом руководстве.

 

Соберите повторно лог uVS. AutorunsVTChecker уже запускать не нужно.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Dan4es
      От Dan4es
      Добрый день.
       
      KSC 14.0.0.10902 разрешает имена ПК в неверные IP. На хосте на котором установлен сервер делал ipconfig /flushdns - не помогло. DNS стоит на контроллере домена Windows srv 19. В чем может быть причина такого поведения?
       
    • Galem333
      От Galem333
      Допустим, возьмём Vmware Workstation Pro, и будем мы запускать в ней вредоносное ПО. Из мер безопасности приняты (отсутствие общих папок), всё, гостевые дополнения установлены, Интернет включен. Также вопрос к любителям побаловаться на виртуальной машине: бывало ли у вас такое, что вирус выбирался из виртуальной среды и наносил урон основной системе?
    • ska79
      От ska79
      Правильно ли я понимаю что автоматическое получение dns возможно только если ip адрес тоже выставлен назначатться автоматически?

    • ska79
      От ska79
      Хочу попробовать сделать на базе старого смартфона свой dns сервер (в локальной сети) как это организовать? В сети ничего не нашёл 
    • Teplovchik
      От Teplovchik
      Проблема появилась после установки "народного" фотошопа.
      В настройках сетевого адаптера автоматически начали прописываться адреса DNS 8.8.8.8,8.8.4.4 из за чего пропадает интернет на компьютере.
      Поскольку компьютер подключен к роутеру со статическим ip все остальные устройства подключенные к роутеру продолжают работать в обычном режиме. Помогает изменение  настроек адаптера на компьютере на первоначальные путем установки значения на "Получить адрес DNS-сервера автоматически" в настройках адаптера во вкладке TCP/IPv4.
      Проверка Касперским на вирусы результатов не дала. Через Process Monitor был выявлен процесс который меняет запись в реестре на установку DNS NameServer REG_SZ 8.8.8.8,8.8.4.4 это файл wmiprvse.exe
      Приложение 1,3 - скрин с указанием процесса который внёс изменение в реестр.
      Приложение 2 -скрин реестра где появляется запись с адресом DNS.
      Фотошоп был удалён но проблема осталась. Обнуление значение в строчке реестра NameServer возвращают интернет, но через некоторое время (всегда по разному может через десять минут, может через несколько часов) запись опять появляется.
      Помогите решить проблему. По найденной информации wmiprvse.exe является системным файлом и удалить его просто нельзя.
      До этого поста размещал вопрос на офф. сайте касперского. https://forum.kaspersky.com/topic/произвольная-смена-адресов-dns-процессом-wmiprvseexe-38450/#comment-155188 От туда отправили сюда. 



      CollectionLog-2024.01.12-18.37.zip

×
×
  • Создать...