Сам по себе меняется DNS, VM

[fff500]

Здравствуйте!

Сам по себе меняется ДНС. Галочка переставляется с выбранного мной "автоматически" тоже сама по себе.

Недавно обнаружил скрытый майнер 'WMWare', который грузил процессор до 100%. Удалил его при помощи Аваста. Нагрузка процессора нормализовалась. Возможно, изменение ДНС тоже связано с этим вирусом.

Логи приложил.

Спасибо.

CollectionLog-2020.10.16-01.45.zip

[SQ]

 

 

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O17 - HKLM\System\CCS\Services\Tcpip\..\{104fd97a-22ae-4419-9ea2-f0d033ffb874}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{104fd97a-22ae-4419-9ea2-f0d033ffb874}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{20a1c2fb-f241-424d-ba41-911680b92dd2}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{20a1c2fb-f241-424d-ba41-911680b92dd2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{2143a9ef-5df0-458e-9ec4-1b66761dbd3c}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{2143a9ef-5df0-458e-9ec4-1b66761dbd3c}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{59f2e12a-0c5b-4dfe-9612-b1425cc372f5}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{59f2e12a-0c5b-4dfe-9612-b1425cc372f5}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{691b4159-a2b3-4f5a-bd85-6b8c115eb6a8}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{691b4159-a2b3-4f5a-bd85-6b8c115eb6a8}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7995fc6b-77df-4387-91d2-baf5be64d5a5}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{7995fc6b-77df-4387-91d2-baf5be64d5a5}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8aa02f9b-13bd-417a-ab45-0b2580bbd67f}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{8aa02f9b-13bd-417a-ab45-0b2580bbd67f}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{b0c5a49f-0774-4ca9-b7fd-f19d719b15b8}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{b0c5a49f-0774-4ca9-b7fd-f19d719b15b8}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{ce19e497-2ec3-4fc7-a2fa-840e2873e9ae}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{ce19e497-2ec3-4fc7-a2fa-840e2873e9ae}: [NameServer] = 37.59.58.122

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.


Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[fff500]

Спасибо.

Сделал.

WINDOWS-K2AQFRK_2020-10-16_12-12-55_v4.11.1.7z

[SQ]

Здравствуйте,

Какие из следующих расширений в Chrome вы устанавливалим сами?
 

BANKID CRYPTOPLUGIN
MULTISEARCH
MOZBAR
HOTSPOT SHIELD FREE VPN PROXY - UNLIMITED VPN

Выполните скрипт в uVS:
 

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.129.31\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.129.31\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
;-------------------------------------------------------------
restart

Проверьте также настройки вашего роутера, убедитесь, чтобы днс-сервера были указанны согласно настроек вашего провайдера.

[fff500]

17.10.2020 в 02:16, SQ сказал:

Какие из следующих расширений в Chrome вы устанавливалим сами?
 

BANKID CRYPTOPLUGIN
MULTISEARCH
MOZBAR
HOTSPOT SHIELD FREE VPN PROXY - UNLIMITED VPN

 

 1, 4.

 

Папка ZOO_ не появилась.

 

Проверил. Убедился.

[SQ]

Уточните пожалуйста, что с проблемой?

[fff500]

Решилась проблема. Больше спасибо)

[SQ]

Рад, что все решилась.

 

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[fff500]

SecurityCheck.txt

[SQ]

Ознакомьтесь со следующими рекомендациями:

 

--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.26.2 v.2.26.2 Warning! Download Update
Node.js v.12.18.2 Warning! Download Update
TeamViewer v.15.7.6 Warning! Download Update
--------------------------------- [ IM ] ----------------------------------
Viber v.13.3.1.21 Warning! Download Update
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45770 Warning! Ad-supported P2P-client.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Creative Cloud v.5.2.0.436 Warning! Download Update
------------------------------- [ Browser ] -------------------------------
Google Chrome v.86.0.4240.75 Warning! Download Update
---------------------------- [ UnwantedApps ] -----------------------------
Ace Stream Media 3.1.32 v.3.1.32 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
NetShield Kit 1.3.18.0 v.1.3.18.0 << Hidden Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
----------------------------- [ End of Log ] ------------------------------