Перейти к содержанию

Сам по себе меняется DNS


Рекомендуемые сообщения

Недавно заметил что DNS сервер периодически меняется на 185.192.111.210 и дополнительный 37.59.58.122, даже когда ставлю автоматически. переставляется галочка и появляются эти адреса. Проверял через HiJackThis, нашел какие-то разделы в которыHiJackThis.logх записаны эти адреса, пофиксил их, однако проблема вновь появилась на следующий день. CureIt и adwcleaner ничего не нашли. В планировщике заданий отрубил подозрительные задания, но это тоже никак не помогло.

Так же нашел уже существующую похожую тему здесь, попробовал у себя но не помогло.

Изменено пользователем Max1214
Дополнить
Ссылка на сообщение
Поделиться на другие сайты

 Здравствуйте,

Добро пожаловать на форум.

HiJackThis профиксить

O17 - DHCP DNS 1: 185.192.111.210
O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{02190251-8f74-4cfc-9135-4c79bc1c3a5a}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{02190251-8f74-4cfc-9135-4c79bc1c3a5a}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{043fdfb0-fc98-4e28-ac72-db2586f9acf2}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{043fdfb0-fc98-4e28-ac72-db2586f9acf2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{3160816B-456C-485A-8F78-9ADA03FFA5E7}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{3160816B-456C-485A-8F78-9ADA03FFA5E7}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E9C48BA-135F-41BB-B3FA-F826F0EF27CF}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E9C48BA-135F-41BB-B3FA-F826F0EF27CF}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{77ac020f-abde-440d-a28e-65e86a7bc1ea}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{77ac020f-abde-440d-a28e-65e86a7bc1ea}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{F809DEC7-A539-454C-AA03-6B49270E0770}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{F809DEC7-A539-454C-AA03-6B49270E0770}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{d8a74dfb-28cb-4f68-baad-3177db41f30b}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{d8a74dfb-28cb-4f68-baad-3177db41f30b}: [NameServer] = 37.59.58.122

 

 Знакома ли вам это?

O22 - Task: NetShield Kit scheduled Autoupdate - C:\Program Files (x86)\NetShield Kit\cli.exe -self-upgrade

 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files (x86)\NetShield Kit\cli.exe', '');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:
- Выполните в AVZ:
 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ загрузите этот архив через данную форму.

Пожалуйста приложите логи согласно правилам раздела -  «Порядок оформления запроса о помощи».

 

Ссылка на сообщение
Поделиться на другие сайты

Сделал, логи из автологера прикрепляю, карантин скинул, строку эту нашел, но не знаю к чему она относится

CollectionLog-2020.10.12-12.49.zip

Изменено пользователем Max1214
Ссылка на сообщение
Поделиться на другие сайты
13 минут назад, Max1214 сказал:

Удалил обе

После удаления нужны новые логи. Но:

Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

Установлено несколько VPN:

Цитата

Avira Phantom VPN

Kaspersky Secure Connection

ProtonVPN

Radmin VPN 1.1.8

 

На время лечения деинсталлируйте все. Проверьте и сообщите.

Ссылка на сообщение
Поделиться на другие сайты

Посмотрим ещё такой лог:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От fff500
      Здравствуйте!
      Сам по себе меняется ДНС. Галочка переставляется с выбранного мной "автоматически" тоже сама по себе.
      Недавно обнаружил скрытый майнер 'WMWare', который грузил процессор до 100%. Удалил его при помощи Аваста. Нагрузка процессора нормализовалась. Возможно, изменение ДНС тоже связано с этим вирусом.
      Логи приложил.
      Спасибо.
      CollectionLog-2020.10.16-01.45.zip
    • От SorcerOK
      Получилось выполнить только в безопасном режиме 
      CollectionLog-2020.10.08-20.57.zip
       
      В обычном режиме после загрузки сразу зависает, пробовал в безопасном установить malwarebytes - сразу перезагрузка, будто вирус прерывает установку.
       
      Получилось установить и выполнить проверку cureit - ничего не обнаружено
    • От PitBuLL
      KIS 20.0.14.1085 (l)
       
      Принесли флэшку.
      Подключаю в 20:24. Ни какой реакции от KIS 20.0.14.1085 (l). В отчете на 20:24: Проверка внешних устройств - Угроз не обнаружено.
      Открываю проводник, проверяю флэшку вручную в 20:25 - вирус! Удален. В отчете на 20:25: Проверка внешних устройств - Обнаружено объектов 1, нейтрализовано 1, не вылечено 0.
      Почему при подключении флэшки KIS не обнаружил вирус сразу? В отчете: Проверка внешних устройств - Угроз не обнаружено. И почему только при проверке флэшки в проводнике, самому - только тогда KIS обнаруживает вирус?
       
      Сриншоты из отчета:

       

       

       
    • От Adrian
      Здравствуйте! Грузился в диспетчере задач процесс VMware цп 100%, но не придавал особо значения, так как компьютер не смотря на 100% цп загрузку не тормозил и случайно обнаружил процесс что грузит и закрыл его, потом всё равно он появлялся, вчера по рекомендациям на вашем форуме в одной из веток устранил эту проблему с помощью Farbar Recovery Scan Tool, больше в диспетчере задач этот процесс не грузит, также и с папки C:\ProgramData\VMware\VMware Tools  тоже было удалено. DNS были dns1 185.192.111.210 и dns2 37.59.58.122. Поменял в ручную от гугла dns, но сегодня вновь поменялись на прежние. Помогите устранить проблему, чтобы DNS не менялись больше.
      CollectionLog-2020.08.09-11.09.zip
    • От fab6
      Здравствуйте! Вот и мы попались. Зловред залез через RDP. Успел наделать страшного. Буду крайне признателен за любую помощь.
      1Cv7.MD[flydragon@mailfence.com][sel4ru].rar 1SOPER.CDX[flydragon@mailfence.com][sel4ru].rar how_to_decrypt.rar
×
×
  • Создать...