Перейти к содержанию

Сам по себе меняется DNS, VM


Рекомендуемые сообщения

Здравствуйте!

Сам по себе меняется ДНС. Галочка переставляется с выбранного мной "автоматически" тоже сама по себе.

Недавно обнаружил скрытый майнер 'WMWare', который грузил процессор до 100%. Удалил его при помощи Аваста. Нагрузка процессора нормализовалась. Возможно, изменение ДНС тоже связано с этим вирусом.

Логи приложил.

Спасибо.

CollectionLog-2020.10.16-01.45.zip

Ссылка на сообщение
Поделиться на другие сайты

 

 

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O17 - HKLM\System\CCS\Services\Tcpip\..\{104fd97a-22ae-4419-9ea2-f0d033ffb874}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{104fd97a-22ae-4419-9ea2-f0d033ffb874}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{20a1c2fb-f241-424d-ba41-911680b92dd2}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{20a1c2fb-f241-424d-ba41-911680b92dd2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{2143a9ef-5df0-458e-9ec4-1b66761dbd3c}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{2143a9ef-5df0-458e-9ec4-1b66761dbd3c}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{59f2e12a-0c5b-4dfe-9612-b1425cc372f5}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{59f2e12a-0c5b-4dfe-9612-b1425cc372f5}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{691b4159-a2b3-4f5a-bd85-6b8c115eb6a8}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{691b4159-a2b3-4f5a-bd85-6b8c115eb6a8}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7995fc6b-77df-4387-91d2-baf5be64d5a5}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{7995fc6b-77df-4387-91d2-baf5be64d5a5}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8aa02f9b-13bd-417a-ab45-0b2580bbd67f}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{8aa02f9b-13bd-417a-ab45-0b2580bbd67f}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{b0c5a49f-0774-4ca9-b7fd-f19d719b15b8}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{b0c5a49f-0774-4ca9-b7fd-f19d719b15b8}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{ce19e497-2ec3-4fc7-a2fa-840e2873e9ae}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{ce19e497-2ec3-4fc7-a2fa-840e2873e9ae}: [NameServer] = 37.59.58.122

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.


Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Какие из следующих расширений в Chrome вы устанавливалим сами?
 

BANKID CRYPTOPLUGIN
MULTISEARCH
MOZBAR
HOTSPOT SHIELD FREE VPN PROXY - UNLIMITED VPN


Выполните скрипт в uVS:
 

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.129.31\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.129.31\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
;-------------------------------------------------------------
restart


Проверьте также настройки вашего роутера, убедитесь, чтобы днс-сервера были указанны согласно настроек вашего провайдера.

Ссылка на сообщение
Поделиться на другие сайты
17.10.2020 в 02:16, SQ сказал:

Какие из следующих расширений в Chrome вы устанавливалим сами?
 


BANKID CRYPTOPLUGIN
MULTISEARCH
MOZBAR
HOTSPOT SHIELD FREE VPN PROXY - UNLIMITED VPN

 

 1, 4.

 

Папка ZOO_ не появилась.

 

Проверил. Убедился.

Ссылка на сообщение
Поделиться на другие сайты

Рад, что все решилась.

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Ознакомьтесь со следующими рекомендациями:

 

--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.26.2 v.2.26.2 Warning! Download Update
Node.js v.12.18.2 Warning! Download Update
TeamViewer v.15.7.6 Warning! Download Update
--------------------------------- [ IM ] ----------------------------------
Viber v.13.3.1.21 Warning! Download Update
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45770 Warning! Ad-supported P2P-client.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Creative Cloud v.5.2.0.436 Warning! Download Update
------------------------------- [ Browser ] -------------------------------
Google Chrome v.86.0.4240.75 Warning! Download Update
---------------------------- [ UnwantedApps ] -----------------------------
Ace Stream Media 3.1.32 v.3.1.32 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
NetShield Kit 1.3.18.0 v.1.3.18.0 << Hidden Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
----------------------------- [ End of Log ] ------------------------------
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • hleb
      От hleb
      Как понял это обычный набор вирусов набранных из -за неосторожности.CollectionLog-2021.12.08-19.10.zip
    • _bezuss_
      От _bezuss_
      В защитнике Вигдовс в списке "разрешенные" трояны Trojan:script/Wacatac.B1ml, Trojan:win32/Wacatac.B1ml, Trojan:script/Casur.A!cl, никакие антивирусы их не видят!!!

    • tuvumba
      От tuvumba
      При борьбе с вирусом в соседнем разделе (https://forum.kasperskyclub.ru/topic/83139-winmonsys-windefenderexe-csrss) пришли к выводу, что необходимо установить хотфиксы для успешного излечения. Однако, служба Центра обновлений Windows отсутствует в списке служб, а при попытке включить центр обновлений windows через панель управления, выскакивает ошибка: Центр обновлений Windows в настоящее время не может выполнить поиск обновлений, поскольку эта служба не запущена. При попытке установить скачанные хотфиксы выскаивает ошибка 0х80070424. 

      После Repair с помощью Tweaking и перезагрузки в безопасный режим служба всё-таки появилась в списке, но отсутствует возможность ее запустить или же остановить, статус отключена. При попытке попробовать поставить тип запуска исполняемого на "Автоматический" выскакивает ошибка:

      Не удалось сбросить флажок отложенного автоматического запуска. Ошибка 1072: Данная служба была отмечена для удаления. 
       
    • mixa200z
      От mixa200z
      28.06.2021 залетел вирус  
      Каталоги 2018.zip FILES ENCRYPTED.txt
    • Jerry
      От Jerry
      Здравствуйте, в общем история такая. Играли с знакомым Pubg Mobile. Через некоторое время надоело ему, попросил меня скачать "хак" , в дискорде, там что-то от "Mokka" было такой чит хороший ,ну решил скачать , поиграть все дела, играть вроде ничего не мешает, спустя несколько дней, мне один чел сказал, что они собирают всю инфу со всех тех устройств, на котором поставлен файл. И после этого у меня начал пропадать файл hosts, ну только если самому создать, и то он пропадет, и так всегда. Что касается командной строки. Уже какой месяц, включаю пк, доходит до рабочего стола, и появляются 2 командные строки с кажется строками "Пользователя  администратор в системе не найдено или другая", просто особое внимание не обращал. Уже думал переустановить систему, но +1 жесткого диска нету что бы скинул туда все свои файлы, https://yapx.ru/v/MgR32 , вот ссылка на то , что у меня hosts нету! ! ПРОВЕРЯЛ DR.WEB CUREIT, MALWAREBYTES , устранял вирусы , ТОЛКУ НЕТ ! 
×
×
  • Создать...