В работе Вирус поломал сертификаты

akok

Команда форума
Администратор
Сообщения
17,480
Реакции
13,383
Баллы
2,203
У вас опять DNS китайский, из-за перехвата трафика нет возможности подтвердить сертификат. Можете сами сменить DNS на google и перезагрузить компьютер? Поменяется ли DNS опять?
 

Perez

Новый пользователь
Сообщения
38
Реакции
0
Баллы
6
как это сделать?
 

akok

Команда форума
Администратор
Сообщения
17,480
Реакции
13,383
Баллы
2,203
Понял, тогда скриптом сделаем
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    BREG
    setdns DNS Server list\8.8.8.8,8.8.4.4
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.


    После подготовьте свежий лог UVS
 

Perez

Новый пользователь
Сообщения
38
Реакции
0
Баллы
6
Вылечил с помощью DNSjumper.
Спасибо Вам за наводку. Вы очень крутые ребята.
 

akok

Команда форума
Администратор
Сообщения
17,480
Реакции
13,383
Баллы
2,203
Завтра еще на свежую голову логи посмотрим, если все чисто будут финальные рекомендации по закрытию брешей в системе.
 

Perez

Новый пользователь
Сообщения
38
Реакции
0
Баллы
6
Для справки: HiJack не удалял этот ДНС. Он появлялся снова.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,303
Реакции
1,807
Баллы
563
Ещё чуть почистим:
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    BREG
    regt 28
    regt 29
    delref %SystemRoot%\TEMP\016609~1.EXE
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,303
Реакции
1,807
Баллы
563
Подытожим: проблема решена?
 

Perez

Новый пользователь
Сообщения
38
Реакции
0
Баллы
6
да! Спасибо за помощь в решении проблемы !
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,303
Реакции
1,807
Баллы
563
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,303
Реакции
1,807
Баллы
563
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.431.16299.0 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Security v.11.1.54.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u211-windows-x64.exe)^
Java SE Development Kit 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u211-windows-x64.exe)^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 66.0.3 (x64 ru) v.66.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
McAfee Security Scan Plus v.3.11.587.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
McAfee True Key v.5.0.150.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Web Viewer Pro v.4.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Последний блок желательно деинсталлировать.

Читайте Рекомендации после удаления вредоносного ПО
 
  • Like
Реакции: akok

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,323
Реакции
5,929
Баллы
998
Для справки: HiJack не удалял этот ДНС. Он появлялся снова.
он физически не может поменять настройки роутера, это должны делать вы сами. Собственно в справке к Хиджаку это указано.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,323
Реакции
5,929
Баллы
998
И свежий лог Хиджака сделайте, а то не понятно что у вас осталось в итоге прописано. Скорее всего проблему просто замаскировали, а не убрали.
И по поводу DNS советую позвонить в тех. поддержку провайдера и пусть они вам продиктуют свои DNS и объяснят как их прописать (или сами пусть пропишут) в роутере и уберите гугло DNS в настройках сетевого подключения в системе. Вместо гугло поставьте автоматическое получение DNS, если не понятно как это сделать также можете спросить у тех. поддержки провайдера.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,323
Реакции
5,929
Баллы
998
1) Пропишите в настройках роутера DNS провайдера (см. сообщение выше).

2) "Пофиксите" в HijackThis
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4a6ada67-ee9c-480f-9781-2dd995ec7549}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4a6ada67-ee9c-480f-9781-2dd995ec7549}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{a18da334-c705-43aa-8358-9a6c90ca6127}: [NameServer] = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{a18da334-c705-43aa-8358-9a6c90ca6127}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{a18da334-c705-43aa-8358-9a6c90ca6127}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{4A6ADA67-EE9C-480F-9781-2DD995EC7549}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{4A6ADA67-EE9C-480F-9781-2DD995EC7549}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A18DA334-C705-43AA-8358-9A6C90CA6127}: [NameServer] = 192.168.1.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A18DA334-C705-43AA-8358-9A6C90CA6127}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A18DA334-C705-43AA-8358-9A6C90CA6127}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)
3) Соберите свежий лог HijackThis.

Выполнять всё в указанной последовательности.
 

Perez

Новый пользователь
Сообщения
38
Реакции
0
Баллы
6
Провайдер сказал все убрать, оставить автоматически определять ДНС. Опять китайский айпи(
 

Вложения

Сверху Снизу