Перейти к содержанию

Сам по себе меняется DNS, VM


Рекомендуемые сообщения

Здравствуйте!

Сам по себе меняется ДНС. Галочка переставляется с выбранного мной "автоматически" тоже сама по себе.

Недавно обнаружил скрытый майнер 'WMWare', который грузил процессор до 100%. Удалил его при помощи Аваста. Нагрузка процессора нормализовалась. Возможно, изменение ДНС тоже связано с этим вирусом.

Логи приложил.

Спасибо.

CollectionLog-2020.10.16-01.45.zip

Ссылка на сообщение
Поделиться на другие сайты

 

 

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O17 - HKLM\System\CCS\Services\Tcpip\..\{104fd97a-22ae-4419-9ea2-f0d033ffb874}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{104fd97a-22ae-4419-9ea2-f0d033ffb874}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{20a1c2fb-f241-424d-ba41-911680b92dd2}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{20a1c2fb-f241-424d-ba41-911680b92dd2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{2143a9ef-5df0-458e-9ec4-1b66761dbd3c}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{2143a9ef-5df0-458e-9ec4-1b66761dbd3c}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{59f2e12a-0c5b-4dfe-9612-b1425cc372f5}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{59f2e12a-0c5b-4dfe-9612-b1425cc372f5}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{691b4159-a2b3-4f5a-bd85-6b8c115eb6a8}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{691b4159-a2b3-4f5a-bd85-6b8c115eb6a8}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7995fc6b-77df-4387-91d2-baf5be64d5a5}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{7995fc6b-77df-4387-91d2-baf5be64d5a5}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8aa02f9b-13bd-417a-ab45-0b2580bbd67f}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{8aa02f9b-13bd-417a-ab45-0b2580bbd67f}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{b0c5a49f-0774-4ca9-b7fd-f19d719b15b8}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{b0c5a49f-0774-4ca9-b7fd-f19d719b15b8}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{ce19e497-2ec3-4fc7-a2fa-840e2873e9ae}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{ce19e497-2ec3-4fc7-a2fa-840e2873e9ae}: [NameServer] = 37.59.58.122

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.


Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Какие из следующих расширений в Chrome вы устанавливалим сами?
 

BANKID CRYPTOPLUGIN
MULTISEARCH
MOZBAR
HOTSPOT SHIELD FREE VPN PROXY - UNLIMITED VPN


Выполните скрипт в uVS:
 

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.129.31\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.129.31\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
;-------------------------------------------------------------
restart


Проверьте также настройки вашего роутера, убедитесь, чтобы днс-сервера были указанны согласно настроек вашего провайдера.

Ссылка на сообщение
Поделиться на другие сайты
17.10.2020 в 02:16, SQ сказал:

Какие из следующих расширений в Chrome вы устанавливалим сами?
 


BANKID CRYPTOPLUGIN
MULTISEARCH
MOZBAR
HOTSPOT SHIELD FREE VPN PROXY - UNLIMITED VPN

 

 1, 4.

 

Папка ZOO_ не появилась.

 

Проверил. Убедился.

Ссылка на сообщение
Поделиться на другие сайты

Рад, что все решилась.

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Ознакомьтесь со следующими рекомендациями:

 

--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.26.2 v.2.26.2 Warning! Download Update
Node.js v.12.18.2 Warning! Download Update
TeamViewer v.15.7.6 Warning! Download Update
--------------------------------- [ IM ] ----------------------------------
Viber v.13.3.1.21 Warning! Download Update
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45770 Warning! Ad-supported P2P-client.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Creative Cloud v.5.2.0.436 Warning! Download Update
------------------------------- [ Browser ] -------------------------------
Google Chrome v.86.0.4240.75 Warning! Download Update
---------------------------- [ UnwantedApps ] -----------------------------
Ace Stream Media 3.1.32 v.3.1.32 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
NetShield Kit 1.3.18.0 v.1.3.18.0 << Hidden Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
----------------------------- [ End of Log ] ------------------------------
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От ecstasy
      Доброго времени суток. Хотел поинтересоваться у знающих людей насчет одной темы. В общем, создавался установочный носитель с Ubuntu на ПК с Win10, но как позже выяснилось на этом ПК были вирусы (какие - я не знаю). Так вот, весь вопрос в том - мог ли вирус на этом ПК поразить установочные файлы Ubuntu? Т.е. может быть такое, что угрозы перешли с одной системы на другую, и вредят уже на на Ubuntu (дистрибутиве Линукс)? Или таким путём Линукс не заразить? Заранее спасибо за ответ тому, кто поможет😀!
    • От Michael Mikhail
      Здравствуйте,
      помогите разобраться с данным "предложением" (стоит ли входить?):

      Дополнительно.
    • От fegob
      Здравствуйте
      На почту пришло сообщение с вложением htm я нажал на нее посмотреть в режиме предосмотра, но вместо этого меня сразу перекинуло на  https://mail-attachment.googleusercontent.com/attachment/u/0/?........... и я увидел содержимое htm файла, там была большая точка. 
      Пароль на архив с вирусом: Kaspersky
      Virus.7z
    • От borodise
      Добрый день!
      При попытке установки  kis21.2.16.590ru_25433 не запускается процесс инсталляции
      В безопасном режиме окно запускается, но уведомляет о том, что установка в безопасном режиме невозможна
      kavremover предустановленных версий Kaspersky не нашел
      Отключение SmartScreen, защитника Windows не помогает
      Было обнаружено отсутствие доступа на forum,kasperskckub.ru
      После прогонки Dr.Web CureIt! выявлено изменение файла hosts, где ряд сайтов заменялись на 127.0.0.1. Dr.Web CureIt! исправил 
      В KVRT кнопка "начать проверку" недоступна
      Установка KIS так и не представляется возможным
      Заранее спасибо!
       
      CollectionLog-2020.12.01-16.32.zip
    • От triumf1975
      Здравствуйте, Всем. Поймали на одном из рабочих компьютеров [259461356@qq.com].[33938840-E437FFA7]. Окна выкупа не было, обнаружили только когда 1с7 не смогла отправить письмо через yandex. Файлы прикрепил. СПАСИБО.
      unload1c.rar Desktop.rar Addition.txt FRST.txt
×
×
  • Создать...