[РЕШЕНО] VMware процесс цп грузил 100% и сами dns меняются

[Adrian]

13 минут назад, Sandor сказал:

Тема открыта по просьбе ТС (DNS по-прежнему меняется).

 

К сети подключаетесь через роутер? Если да, подключено одно устройство?

Через роутер, подключено к сети компьютер, ноутбук, телефон и телевизор через вай фай. Но в данный момент только компьютер и телефон подключен, так как телевизор и ноут выключены.

Изменено 10 августа, 2020 пользователем Adrian

[Sandor]

На других устройствах подобного нет?

 

В системе установлены:

Цитата

 

Proxifier version 3.42

NetShield Kit 1.3.27.0

NetShield Kit 1.3.28.1

NewMegaBot 1.01

 

 

Все эти программы вам знакомы?

[Adrian]

Эти незнакомы:

NetShield Kit 1.3.27.0

NetShield Kit 1.3.28.1

 

Proxifier version 3.42 пользуюсь постоянно для своих целей и NewMegaBot 1.01 тоже пользуюсь.

 

5 часов назад, Sandor сказал:

На других устройствах подобного нет?

 Не замечал

Изменено 10 августа, 2020 пользователем Adrian

[Sandor]

3 минуты назад, Adrian сказал:

Эти незнакомы:

Деинсталлируйте обе.

[Adrian]

5 часов назад, Sandor сказал:

Деинсталлируйте обе.

NetShield Kit 1.3.28.1 эту только нашёл через удаление программ и деинсталлировал. Другой версии не было.

 

Может в самом роутере нужно какие то ещё настройки сделать? В телефоне посмотрел wi-fi ip адрес прописан 192.168.1.10, dns прописан 8.8.8.8 и 8.8.4.4.

Только на компьютере днс меняются.

[Sandor]

"Пофиксите" в HijackThis (некоторых строк может не быть):

O17 - DHCP DNS 1: 185.192.111.210
O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{26b11a49-585f-4b43-a90c-9af3c3d7b25b}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{26b11a49-585f-4b43-a90c-9af3c3d7b25b}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{6bb4f047-2706-11e5-9bbe-806e6f6e6963}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{6bb4f047-2706-11e5-9bbe-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{81043844-f270-4a21-8635-810b6926a3af}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{81043844-f270-4a21-8635-810b6926a3af}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{be8a12c6-7502-4ad0-a7ab-908384611a70}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{be8a12c6-7502-4ad0-a7ab-908384611a70}: [NameServer] = 37.59.58.122

 

Перезагрузите компьютер вручную и проверьте. Результат сообщите.

[Adrian]

Пофиксил, перезагрузил, днс сбросились. 

[Sandor]

Понаблюдайте некоторое время и сообщите.

[Adrian]

Хорошо, обычно когда менял в ручную, то в течении часа или нескольких часов менялись обратно. Отпишу по результата спустя некоторое время.

 

Опять dns сменились на прежние

[Sandor]

Посмотрим так:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .
   
   

Подробнее читайте в руководстве Как подготовить лог UVS.
 

[Adrian]

 AutorunsVTchecker отсканировал, но никаких логов никуда не сохранилось.

Логи с uVS прикрепляю.

WIN-QP8RG7055QJ_2020-08-10_18-02-52_v4.1.9.7z

[Adrian]

Чтобы не делали всё равно меняются на прежние dns сервера и причина непонятна. Вроде уже всё очистил что только можно.

[Sandor]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
4. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   breg
   
   setdns DNS Server list\
   setdns Ethernet 2\4\{81043844-F270-4A21-8635-810B6926A3AF}\
   setdns Ethernet\4\{BE8A12C6-7502-4AD0-A7AB-908384611A70}\
   setdns Подключение по локальной сети* 1\4\{26B11A49-585F-4B43-A90C-9AF3C3D7B25B}\
   setdns DNS Server list\8.8.8.8,8.8.4.4
   setdns Ethernet 2\4\{81043844-F270-4A21-8635-810B6926A3AF}\8.8.8.8,8.8.4.4
   setdns Ethernet\4\{BE8A12C6-7502-4AD0-A7AB-908384611A70}\8.8.8.8,8.8.4.4
   ;---------command-block---------
   delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\ORBITUM\UPDATE\GOOGLEUPDATE.EXE
   bl E8D3D87300EBF45F013EFC4626E1D20C 6820864
   zoo %SystemDrive%\PROGRAM FILES (X86)\NETSHIELD KIT\NETSHIELDSVC.EXE
   delall %SystemDrive%\PROGRAM FILES (X86)\NETSHIELD KIT\NETSHIELDSVC.EXE
   delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\DOTNETBROWSER\DOTNETBROWSER.DMP.DIR
   delref %SystemRoot%\TEMP\5A646692-AF83-420E-A036-D4438D0F9529
   bl 25AC227008EEEA4E5B59E4BC9CAC05A8 287744
   zoo %SystemDrive%\PROGRAM FILES (X86)\NETSHIELD KIT\CLI.EXE
   delall %SystemDrive%\PROGRAM FILES (X86)\NETSHIELD KIT\CLI.EXE
   deldir %SystemDrive%\PROGRAM FILES (X86)\NETSHIELD KIT
   apply
   
   czoo
   deltmp
   restart

5. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."

6. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

7. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

8. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

 

Соберите повторно лог uVS. AutorunsVTChecker уже запускать не нужно.

Изменено 11 августа, 2020 пользователем Sandor

[Adrian]

Имя карантина:

2020.08.11_ZOO_2020-08-11_13-45-47_1c076b0ae30330b7dda1d7634522dbb3.7z

 

 

Лог образа прикрепляю.

WIN-QP8RG7055QJ_2020-08-11_14-00-53_v4.1.9.7z

[Sandor]

Лог выглядит лучше. Как внешне?