• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена При смене сети WiFi, меняется DNS на вредоносный.

Статус
В этой теме нельзя размещать новые ответы.

AKSU

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Здравствуйте.
У меня такая беда. Юзер искал любимую песню в инете, зашел на фишинговый сайт и нахватался троянов.
Я его вроде подлечил: ни один антивирус ничего не находит.
Сейчас происходит следующее: при смене сети WiFi на сетевушке этого ноута меняется DNS, с автоматического на заданный в ручную с какими-то левыми адресами. В браузере его в такие моменты периодически перебрасывает на другие адреса.
Тригером является именно смена WiFi. Так вот например при перезагрузке ноута, DNS не меняется.
Юзеру как-то можно помочь? У него много лицензионного специфического софта, который трудновато переустановить, иначе я бы ему уже давно переустановил винду (это заняло бы меньше времени, чем я уже на него убил).
Логи прикрепляю.
Заранее спасибо.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,407
Реакции
1,839
Баллы
563
Здравствуйте!

Vkontakte DJ - если не самостоятельно ставили, удалите.

К сети подключаетесь через роутер? Если да, одно устройство?

Дополнительно:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: AKSU

AKSU

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Здравствуйте.

Vkontakte DJ - если не самостоятельно ставили, удалите.
его и нет уже, это остатки в реестре по оставались. Его давно антивирус грохнул... Сейчас подчишу...

К сети подключаетесь через роутер? Если да, одно устройство?
Роутеры разные. Сети разные. Юзер курсирует между двумя офисами + дом. Но это не зараза которая поражает роутеры, если вы об этом. Тут болен явно только ноут.

О, а этот инструмент я еще не пробовал. Спасибо за наводку!

Так и есть! Результат проверки: обнаружен некий Trojan.DNSChanger, видимо он и есть причина всех бед. Я вот только не понял, он удалился или нет. Лог прилагаю.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,685
Реакции
13,479
Баллы
2,203
Если не удаляли, значит не удалился :)

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: AKSU

AKSU

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Удалил - удалилось. :) После перезагрузил - так попросила программка.

Запустил повторно. Ничего не нашлось. Видимо проблема решена. Огромное спасибо!
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,407
Реакции
1,839
Баллы
563
Еще такие логи соберите:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,685
Реакции
13,479
Баллы
2,203
Политики сами настраивали?
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-1007538345-648299644-2126029900-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
 
  • Like
Реакции: AKSU

akok

Команда форума
Администратор
Сообщения
17,685
Реакции
13,479
Баллы
2,203
Ваше?
2019-09-04 01:04 - 2019-09-09 14:50 - 000000000 ____D C:\ProgramData\GramLock
2019-09-04 00:42 - 2019-09-04 00:48 - 000000004 _____ C:\Users\Все пользователи\lock.dat
2019-09-04 00:42 - 2019-09-04 00:48 - 000000004 _____ C:\ProgramData\lock.dat
 
  • Like
Реакции: AKSU

AKSU

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Честно говоря, без понятия. Ноут - личный юзера. В домен не вводился, мое вмешательство минимальное. Разве что-то сам делал... Но врядли.
Там мною только одна политика прописывалась - принимать пустые пароли в Lanman, чтоб он в офисе мог на файлопомойку заходить без танцев с бубном. Но это было давно - с полгода назад.
А 2019-09-04 как раз совпадает по времени, когда он первый раз пожаловался, что вирусни нахватался.
Завтра постараюсь глянуть что там за политики.
Что с живностью? Ничего больше подозрения не вызывает?
 
Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,407
Реакции
1,839
Баллы
563
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    CHR HKU\S-1-5-21-1007538345-648299644-2126029900-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    2019-09-04 00:42 - 2019-09-04 00:48 - 000000004 _____ C:\ProgramData\lock.dat
    2019-09-04 00:42 - 2019-09-04 00:42 - 000000008 _____ C:\ProgramData\ts.dat
    2019-09-04 00:42 - 2019-09-04 00:42 - 000000004 _____ C:\ProgramData\irw.atsd
    Folder:C:\ProgramData\GramLock
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

AKSU

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Сделал.
 

Вложения

AKSU

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Огромное спасибо за помощь!
 

AKSU

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Я думаю решена. Даже те "левые" политики ему не мешали судя по всему...
Лог постараюсь завтра сделать - лишь бы не кинул по мне степлером. :) Говорит, что я его уже задолбал. :)
 

akok

Команда форума
Администратор
Сообщения
17,685
Реакции
13,479
Баллы
2,203
В логе будет список устаревшего ПО которое нужно обновить, юзер и сам справится.
 

AKSU

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Ок. Спасибо!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу