Невозможно использовать интернет из-за подозрения на вредоносное ПО DNS

Question

Невозможно использовать интернет из-за подозрения на вредоносное ПО DNS

Я скачал midi-файл на своем ноутбуке с Windows 8.1 прошлой ночью. С тех пор, когда я открываю Chrome, я получаю стандартную ошибку "Веб-страница недоступна" для ВСЕХ сайтов, которые я пытаюсь посетить.

Firefox и Internet Explorer тоже не открывают НИКАКУЮ страницу. Я почти уверен, что причиной являются вредоносные программы, так как у меня были подобные инфекции раньше.

Я запустил сканирование с использованием следующих инструментов как в безопасном режиме, так и в обычном режиме (используя последние подписи)
1) Malwarebytes Antimalware
2) Spybot
3) средство Microsoft Anti-Malware

Я даже запустил McAfee для поиска вирусов. Удивительно, но все инструменты удаления вредоносных программ и McAfee не смогли обнаружить даже один объект!
Я был очень удивлен, потому что в прошлый раз я решил проблему с помощью инструментов удаления вредоносных программ (которые обнаруживали объекты и удаляли их).

Однако, потратив часы на Google, я обнаружил, что проблему можно решить с помощью команды ipconfig / flushdns в cmd. Я попробовал это, и проблема была решена ВРЕМЕННО. Но если я закрою и перезапущу Chrome или оставлю Chrome бездействующим в течение некоторого времени, проблема снова появится.

Я попытался сбросить winsock и ip, используя следующие команды cmd без передышки -
netsh winsock reset
netsh каталог сброса winsock
netsh int ipv4 reset reset.log
netsh int ipv6 reset reset.log
netsh int ip reset c: \ resetlog.txt

Я даже запускал Avira DNS Repair Tool. Но в нем говорилось, что нет необходимости в ремонте, так как настройки DNS не были изменены вредоносным ПО DNS Changing.

Я был бы признателен за хорошее решение как можно скорее, поскольку я не могу использовать Интернет.

Заметка -
1) Я подключаюсь к модему, используя Wi-Fi. Я попытался подключиться, используя провод LAN позже, но это не имело значения.
2) Нет проблем с подключением при подключении через оба режима.

Заранее спасибо!

РЕДАКТИРОВАТЬ

Это мой трассировочный маршрут к google.com.

трасса трассы

-1

networking wireless-networking google-chrome dns malware

Источник

22 июл '14 в 14:51

11 ответов

Другие вопросы по тегам networking wireless-networking google-chrome dns malware

pulsarjune 25 июл '14 в 10:43 2014-07-25 10:43 · Answer 1 · 2014-07-25 10:43

Если вы ищете Anti-malware/bloatware, вот некоторые из них:

Запустите Combo-Fix в последнюю очередь.

3

Источник

pulsarjune 25 июл '14 в 10:43

user319647 30 июл '14 в 15:18 2014-07-30 15:18 · Answer 2 · 2014-07-30 15:18

Ваша проблема Анто звучит так же, как и у одного из моих пользователей месяц или два назад. Хотя это не совсем то же самое, это достаточно для вас, чтобы попробовать и использовать методы, которые мы использовали для себя.

В ее случае Outlook в течение нескольких минут после открытия нормально подключался, а затем выдавал ей сообщение об ошибке сертификата о том, что возникла проблема с "сертификатом безопасности прокси-сервера". Открывая сертификат подробно, он задокументировал путь сертификата как ведущий к корневому сертификату, который странным образом называется DO_NOT_TRUST_FiddlerRoot.

Когда она просматривала Интернет через Internet Explorer, она получила веб-страницу, на которой было написано "Есть проблема с сертификатом безопасности этого сайта". Она должна была подтвердить сообщение, чтобы перейти на сайт. Это было для любого сайта, который она посетила.

Мы попробовали несколько вещей, включая удаление незнакомых программ, а также удаление вышеуказанного сертификата FIDDLER. В конце мы обнаружили, что настройки прокси в IE были изменены на 127.0.0.1. После удаления этих настроек прокси эти симптомы исчезли. Однако, как и в вашем случае, эти настройки прокси вернулись после повторного открытия IE.

Мы выяснили, что параметром реестра для параметров прокси в IE является HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, а затем Proxy Server. Когда мы удалили настройки прокси из IE, мы увидели, что значение реестра обновлено. Аналогичным образом, когда параметр нежелательного прокси-сервера возвращается в IE, это значение реестра будет обновляться.

Затем мы обратились за помощью к монитору процессов Sysinternal. Это фиксирует все, что происходит на компьютере (доступ к файлам и реестру). Мы могли бы использовать Process Monitor для проверки процесса внесения изменений в этот раздел реестра.

(Process Monitor довольно прост в использовании, но если вам нужно больше информации о нем, другие статьи под моим именем опишут его более полно)

Мы удалили настройки прокси-сервера и затем запустили Process Monitor примерно на полминуты, в течение которого вредоносная программа возвращала настройки прокси-сервера. Мы посмотрели на трассировку Process Monitor и выполнили поиск по указанному выше разделу реестра и увидели, что он был изменен процессом под названием Browsersafeguard. Затем мы удалили Browsersafeguard и проблема исчезла.

Надеюсь, это поможет Анто. Симптомы достаточно схожи, чтобы вы могли попробовать и использовать методы, которые мы использовали для себя. Это должно помочь вам попытаться удалить вредоносное ПО без изменения DNS.

Удачи.

Logman 27 июл '14 в 14:02 2014-07-27 14:02 · Answer 3 · 2014-07-27 14:02

Проверьте файл HOSTS:

Windows Windows 7 и Windows 8 Блокнот должен быть запущен от имени администратора.

1. Right click Notepad and select Run as administrator

2. When Notepad opens Click File -> Open

    C:\Windows\System32\Drivers\etc\hosts

3. Click Open

Файл хостов DEFAULT находится ниже, сравните и измените. Вы можете просто заменить, но на всякий случай сделать резервную копию существующей или закомментировать строки в файле с символом решетки.

Для Windows 7 и 8

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handle within DNS itself.
#       127.0.0.1       localhost
#       ::1             localhost

AEonAX 27 июл '14 в 13:37 2014-07-27 13:37 · Answer 4 · 2014-07-27 13:37

Попробуйте загрузить midi-файл, который, как вы уверены, вызвал проблему, на http://virustotal.com/. Он покажет вам, какой тип инфекции у вас есть, а затем очистите соответственно.

3

Источник

AEonAX 27 июл '14 в 13:37

Iszi 30 июл '14 в 16:10 2014-07-30 16:10 · Answer 5 · 2014-07-30 16:10

Если вы абсолютно уверены, что проблема связана с вредоносными программами и ничем иным, несмотря на то, что все авторитетные средства обнаружения вредоносных программ говорят об обратном, остается только два варианта:

Извлеките жесткий диск и подключите его к другой системе в качестве дополнительного диска. Затем используйте другую систему для поиска и удаления вредоносных программ.
Если вариант 1 не может обнаружить и / или устранить проблему, переформатируйте диск с помощью установочного носителя с заведомо исправной операционной системой. После этого не восстанавливайте резервные копии данных в системе. Все резервные копии из предыдущей установки следует выбросить, поскольку они, очевидно, заражены вредоносными программами, которые никто не может обнаружить.

Twisty Impersonator 26 июл '14 в 16:17 2014-07-26 16:17 · Answer 6 · 2014-07-26 16:17

Проверьте настройки прокси. В Internet Explorer > меню "Сервис" > " Свойства обозревателя" > вкладка "Подключения" > " Параметры локальной сети" убедитесь, что параметр " Использовать прокси-сервер для вашей локальной сети" не выбран.

В противном случае вам необходимо установить, связана ли проблема с вашим веб-браузером (-ами) или с сетевыми проблемами (обе могут быть вызваны вредоносными программами). Попробуйте установить соединение с сайтом Google без использования браузера. Вы можете сделать это с помощью telnet (как включить клиент Telnet в Windows 8), выполнив эту команду из командной строки:

telnet www.google.com 80

Если вы сразу перешли на пустой экран, который вы успешно подключили (нажмите CTRL+], введите quit и нажмите enter, чтобы выйти). Это означает, что вам нужно сосредоточиться на своем веб-браузере (надстройки, настройки и т. Д.)

Если он просто сидит и говорит " Подключение к www.google.com....", то в конечном итоге возвращает " Не удалось открыть подключение к хосту" на порту 80: "Ошибка подключения", значит, проблема связана с сетью, а не с браузером.

Затем сравните настройки сети между вашим компьютером и известным рабочим аппаратом, оба подключены к одной и той же сети одинаково (как с беспроводной, так и с проводной связью). Затем из командной строки запустите

ipconfig /all

на обоих компьютерах и сравните настройки, обращая особое внимание на шлюз по умолчанию, DHCP-сервер, DNS-серверы (должны быть идентичны) и адрес IPv4 (первые три числа ["октеты"], вероятно, должны совпадать, а последние цифры должны отличаться). Любые различия здесь могут быть ключами к вашей проблеме.

Вы также можете попробовать подключить компьютер напрямую к интернет-соединению. Возьмите кабель, подключенный к порту WAN вашего маршрутизатора, и подключите его к компьютеру. Если ваша проблема исчезнет (или даже изменится каким-то существенным образом), это скажет вам, что проблема в вашей локальной сети.

Я не сбрасываю со счетов ваше подозрение, что в основе вашей проблемы лежит вредоносное ПО. Поскольку ни в одном из ваших сканирований ничего не найдено, вы должны установить, что вредоносная программа сломала, чтобы узнать, где более конкретно искать причину, будь то вредоносная программа или что-то еще.

Если эти шаги не приблизят вас к решению, и ваши другие компьютеры будут нормально работать в той же сети, тогда я проголосую за переустановку ОС.

Blaine 25 июл '14 в 09:48 2014-07-25 09:48 · Answer 7 · 2014-07-25 09:48

Попробуйте перейти в "Сетевые подключения", затем щелкните правой кнопкой мыши на вашем беспроводном сетевом подключении и выберите "Свойства". Откроется диалоговое окно со списком. В этом списке выберите "Протокол Интернета версии 4 (TCP/IPV4)" и нажмите "Свойства". Убедитесь, что все настройки здесь установлены на "автоматический".

Вы также можете проверить расширенную кнопку в этом окне, которая открывает другое окно с вкладкой DNS.

Daniel B 25 июл '14 в 11:34 2014-07-25 11:34 · Answer 8 · 2014-07-25 11:34

Перезагрузите ваш роутер полностью. Это означает не просто включение / выключение питания, а использование кнопки сброса, как описано в руководстве.

Вполне вероятно, что настройки DNS-сервера на вашем маршрутизаторе были изменены. Это возможно, просто перейдя на вредоносный веб-сайт, когда маршрутизатор уязвим (ошибки, бэкдоры, вы называете это). На вашем компьютере не останется никаких следов (возможно, кроме истории просмотра), поэтому AV-сканер ничего не найдет.

Этот тип атаки изменяет DNS-серверы, которые запрашивает ваш маршрутизатор. Поскольку все компьютеры и устройства в вашей сети обычно используют службу пересылки DNS маршрутизатора, это влияет на все из них. DNS-сервер "плохого парня" затем отвечает IP-адресом сервера "человек посередине", который захватывает ваши пароли и тому подобное.

Twisty Impersonator 26 июл '14 в 04:43 2014-07-26 04:43 · Answer 9 · 2014-07-26 04:43

Попробуйте использовать функцию "Восстановление системы" для восстановления вашего компьютера до момента появления нежелательных симптомов. Это удалит большинство видов вредоносных программ, а также отменит любые другие изменения, которые могли бы нарушить вашу функциональность DNS.

Twisty Impersonator 30 июл '14 в 12:36 2014-07-30 12:36 · Answer 10 · 2014-07-30 12:36

Ваш вирус / вредоносная программа может быть руткитом. Если это так, удаление лучше всего выполнить путем стирания жесткого диска и переустановки Windows. Существуют средства обнаружения и удаления руткитов, но если у вас нет веских причин избегать переустановки ОС, у вас будет гораздо более высокая степень уверенности в том, что у вас чистая система, если вы все удалите и начнете все сначала.

Вы должны иметь возможность сохранять свои документы и другие важные данные на других носителях без передачи руткита, хотя было бы разумно сканировать их на наличие вирусов на другом компьютере, на котором отключен автозапуск (чтобы снизить вероятность передачи любой инфекции второму компьютеру). машина до сканирования).

teamguest7 11 фев '15 в 18:01 2015-02-11 18:01 · Answer 11 · 2015-02-11 18:01

Я был в такой же ситуации несколько месяцев назад. У меня дома 2 компьютера, оба работают на одной ОС / версии. Однажды один компьютер начал испытывать трудности с подключением к моей почте - Google сказал бы: "соединение не является доверенным". После первоначального анализа я заметил, что все сайты теперь находятся под контролем сертификата DO_NOT_TRUST_FIDDLER_ROOT. Когда я сравнил сертификат. с другим ПК такого не было. Я прошел через ряд рекомендаций, но ничего не помогло. Не желая переустанавливать ОС, я сделал это: скопировал все веб-сертификаты с "хорошего" ПК и заменил "плохие" на втором ПК. Только тогда все выстроится в очередь!! В БУДУЩЕМ Я РЕКОМЕНДУЮ СДЕЛАТЬ РЕЗЕРВНОЕ КОПИРОВАНИЕ ВСЕХ ВЕБ-СЕРТИФИКАТОВ ДО НАЧАЛА ПРОБЛЕМЫ.