Сам по себе меняется DNS

[Max1214]

Недавно заметил что DNS сервер периодически меняется на 185.192.111.210 и дополнительный 37.59.58.122, даже когда ставлю автоматически. переставляется галочка и появляются эти адреса. Проверял через HiJackThis, нашел какие-то разделы в которыHiJackThis.logх записаны эти адреса, пофиксил их, однако проблема вновь появилась на следующий день. CureIt и adwcleaner ничего не нашли. В планировщике заданий отрубил подозрительные задания, но это тоже никак не помогло.

Так же нашел уже существующую похожую тему здесь, попробовал у себя но не помогло.

Изменено 11 октября, 2020 пользователем Max1214
Дополнить

[SQ]

 Здравствуйте,

Добро пожаловать на форум.

HiJackThis профиксить

O17 - DHCP DNS 1: 185.192.111.210
O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{02190251-8f74-4cfc-9135-4c79bc1c3a5a}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{02190251-8f74-4cfc-9135-4c79bc1c3a5a}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{043fdfb0-fc98-4e28-ac72-db2586f9acf2}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{043fdfb0-fc98-4e28-ac72-db2586f9acf2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{3160816B-456C-485A-8F78-9ADA03FFA5E7}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{3160816B-456C-485A-8F78-9ADA03FFA5E7}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E9C48BA-135F-41BB-B3FA-F826F0EF27CF}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E9C48BA-135F-41BB-B3FA-F826F0EF27CF}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{77ac020f-abde-440d-a28e-65e86a7bc1ea}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{77ac020f-abde-440d-a28e-65e86a7bc1ea}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{F809DEC7-A539-454C-AA03-6B49270E0770}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{F809DEC7-A539-454C-AA03-6B49270E0770}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{d8a74dfb-28cb-4f68-baad-3177db41f30b}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{d8a74dfb-28cb-4f68-baad-3177db41f30b}: [NameServer] = 37.59.58.122

 

 Знакома ли вам это?

O22 - Task: NetShield Kit scheduled Autoupdate - C:\Program Files (x86)\NetShield Kit\cli.exe -self-upgrade

 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files (x86)\NetShield Kit\cli.exe', '');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:
- Выполните в AVZ:
 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ загрузите этот архив через данную форму.

Пожалуйста приложите логи согласно правилам раздела -  «Порядок оформления запроса о помощи».

 

[Max1214]

Сделал, логи из автологера прикрепляю, карантин скинул, строку эту нашел, но не знаю к чему она относится

CollectionLog-2020.10.12-12.49.zip

Изменено 12 октября, 2020 пользователем Max1214

[Sandor]

В перечне установленных программ видна

Цитата

NetShield Kit 1.3.30.0

 

Ставили самостоятельно?

[Max1214]

Нет, это же блокировщик рекламы? У меня адблокер стоит в браузере

[Sandor]

Деинсталлируйте её.

Предположу, что

Цитата

Process Hacker 2.39 (r124)

тоже вы не ставили.

[Max1214]

Эту я поставил, правда после того как заметил эту проблему

 

Удалил обе, но только что снова поменялись настройки

[Sandor]

13 минут назад, Max1214 сказал:

Удалил обе

После удаления нужны новые логи. Но:

Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите CollectionLog.

[Max1214]

Вот новые логиCollectionLog-2020.10.12-14.05.zip

[Sandor]

Установлено несколько VPN:

Цитата

Avira Phantom VPN

Kaspersky Secure Connection

ProtonVPN

Radmin VPN 1.1.8

 

На время лечения деинсталлируйте все. Проверьте и сообщите.

[Max1214]

Удалил, по-моему это происходит при перезагрузке компа а потом с некоторой периодичностью вот логи

CollectionLog-2020.10.12-15.33.zip

[Sandor]

Посмотрим ещё такой лог:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[regist]

Вы из Нижнего Новогорода?

[Max1214]

Нет, я из Москвы. Я вчера проводил скан adwcleanerом вот вчерашние логи и сегодняшние 

AdwCleaner[S00].txt AdwCleaner[S05].txt

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.