Закрыто Вирус поломал сертификаты

Статус
В этой теме нельзя размещать новые ответы.
Прилагаю.
 

Вложения

  • DESKTOP-HJ8AFUB_2019-07-04_21-01-26_v4.1.6.7z
    779.6 KB · Просмотры: 1
У вас опять DNS китайский, из-за перехвата трафика нет возможности подтвердить сертификат. Можете сами сменить DNS на google и перезагрузить компьютер? Поменяется ли DNS опять?
 
Понял, тогда скриптом сделаем
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    BREG
    setdns DNS Server list\8.8.8.8,8.8.4.4
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.


    После подготовьте свежий лог UVS
 
Все по-прежнему(
 

Вложения

  • DESKTOP-HJ8AFUB_2019-07-04_22-18-29_v4.1.6.7z
    776.5 KB · Просмотры: 1
Вылечил с помощью DNSjumper.
Спасибо Вам за наводку. Вы очень крутые ребята.
 
Завтра еще на свежую голову логи посмотрим, если все чисто будут финальные рекомендации по закрытию брешей в системе.
 
Для справки: HiJack не удалял этот ДНС. Он появлялся снова.
 
Ещё чуть почистим:
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    BREG
    regt 28
    regt 29
    delref %SystemRoot%\TEMP\016609~1.EXE
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Подробнее читайте в этом руководстве.
 
Подытожим: проблема решена?
 
да! Спасибо за помощь в решении проблемы !
 
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Прикрепил
 

Вложения

  • SecurityCheck.txt
    11.5 KB · Просмотры: 2
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.431.16299.0 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Security v.11.1.54.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u211-windows-x64.exe)^
Java SE Development Kit 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u211-windows-x64.exe)^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 66.0.3 (x64 ru) v.66.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
McAfee Security Scan Plus v.3.11.587.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
McAfee True Key v.5.0.150.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Web Viewer Pro v.4.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Последний блок желательно деинсталлировать.

Читайте Рекомендации после удаления вредоносного ПО
 
  • Like
Реакции: akok
Для справки: HiJack не удалял этот ДНС. Он появлялся снова.
он физически не может поменять настройки роутера, это должны делать вы сами. Собственно в справке к Хиджаку это указано.
 
И свежий лог Хиджака сделайте, а то не понятно что у вас осталось в итоге прописано. Скорее всего проблему просто замаскировали, а не убрали.
И по поводу DNS советую позвонить в тех. поддержку провайдера и пусть они вам продиктуют свои DNS и объяснят как их прописать (или сами пусть пропишут) в роутере и уберите гугло DNS в настройках сетевого подключения в системе. Вместо гугло поставьте автоматическое получение DNS, если не понятно как это сделать также можете спросить у тех. поддержки провайдера.
 
Прилагаю
 

Вложения

  • HiJackThis.log
    15.7 KB · Просмотры: 4
1) Пропишите в настройках роутера DNS провайдера (см. сообщение выше).

2) "Пофиксите" в HijackThis
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4a6ada67-ee9c-480f-9781-2dd995ec7549}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4a6ada67-ee9c-480f-9781-2dd995ec7549}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{a18da334-c705-43aa-8358-9a6c90ca6127}: [NameServer] = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{a18da334-c705-43aa-8358-9a6c90ca6127}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{a18da334-c705-43aa-8358-9a6c90ca6127}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{4A6ADA67-EE9C-480F-9781-2DD995EC7549}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{4A6ADA67-EE9C-480F-9781-2DD995EC7549}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A18DA334-C705-43AA-8358-9A6C90CA6127}: [NameServer] = 192.168.1.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A18DA334-C705-43AA-8358-9A6C90CA6127}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A18DA334-C705-43AA-8358-9A6C90CA6127}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)

3) Соберите свежий лог HijackThis.

Выполнять всё в указанной последовательности.
 
Провайдер сказал все убрать, оставить автоматически определять ДНС. Опять китайский айпи(
 

Вложения

  • HiJackThis.log
    19.3 KB · Просмотры: 1
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу