Невозможно использовать интернет из-за подозрения на вредоносное ПО DNS

Question

Я скачал midi-файл на свой ноутбук с Windows 8.1 прошлой ночью. С тех пор всякий раз, когда я открываю Chrome, я получаю стандартную ошибку «Веб-страница недоступна» для ВСЕХ сайтов, которые я пытаюсь посетить.

Firefox и Internet Explorer тоже не открывают НИКАКУЮ страницу. Я уверен, что вредоносные программы являются причиной, поскольку у меня были подобные инфекции раньше.

Я запустил сканирование, используя следующие инструменты, как в безопасном, так и в обычном режиме (используя последние подписи)
1) Malwarebytes Antimalware
2) Spybot
3) средство Microsoft Anti-Malware

Я даже запустил McAfee для поиска вирусов. Удивительно, но все инструменты удаления вредоносных программ и McAfee не смогли обнаружить даже один объект!
Я был очень удивлен, потому что в прошлый раз я решил проблему с помощью инструментов удаления вредоносных программ (которые обнаруживали объекты и удаляли их).

Однако, потратив часы на Google, я обнаружил, что проблему можно решить с помощью команды ipconfig /flushdns в cmd. Я попробовал это, и проблема была решена ВРЕМЕННО. Но если я закрою и перезапущу Chrome или оставлю Chrome бездействующим в течение некоторого времени, проблема снова появится.

Я попытался сбросить winsock и ip, используя следующие команды cmd без передышки -
netsh winsock reset
netsh winsock сбросить каталог
netsh int ipv4 reset reset.log
netsh int ipv6 reset reset.log
netsh int ip reset c:\resetlog.txt

Я даже запускал Avira DNS Repair Tool . Но в нем говорилось, что нет необходимости в ремонте, поскольку настройки DNS не были изменены вредоносным ПО DNS Changing.

Я был бы признателен за хорошее решение как можно скорее, поскольку я не могу использовать Интернет.

Заметка -
1) Подключаюсь к модему через вайфай. Я попытался подключиться, используя провод LAN, но это не имело значения
2) Нет проблем с подключением при подключении через оба режима.

Заранее спасибо!

РЕДАКТИРОВАТЬ

Это мой трассировочный маршрут к google.com.

Answer 1

Ваша проблема Анто звучит так же, как и у одного из моих пользователей месяц или два назад. Хотя это и не совсем то же самое, это достаточно для вас, чтобы попробовать и использовать методы, которые мы использовали для себя.

В ее случае Outlook подключился бы нормально в течение нескольких минут после открытия и затем выдал бы ей сообщение об ошибке сертификата о том, что возникла проблема с «сертификатом безопасности прокси-сервера». Открывая сертификат подробно, он задокументировал путь сертификата как ведущий к корневому сертификату, странно называемому DO_NOT_TRUST_FiddlerRoot.

Когда она просматривала Интернет через Internet Explorer, она получила веб-страницу, на которой было написано «Есть проблема с сертификатом безопасности этого сайта». Она должна была подтвердить сообщение, чтобы перейти на сайт. Это было для любого сайта, который она посетила.

Мы попробовали несколько вещей, включая удаление незнакомых программ, а также удаление вышеуказанного сертификата FIDDLER. В итоге мы обнаружили, что настройки прокси в IE были изменены на 127.0.0.1. После удаления этих настроек прокси эти симптомы исчезли. Однако, как и в вашем случае, эти настройки прокси вернулись после повторного открытия IE.

Мы выяснили, что параметром реестра для параметров прокси в IE является HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, а затем Proxy Server. Когда мы удалили настройки прокси из IE, мы увидели, что значение реестра обновлено. Точно так же, когда параметр нежелательного прокси-сервера возвращается в IE, это значение реестра будет обновляться.

Затем мы обратились к монитору процессов Sysinternal за помощью. Это фиксирует все, что происходит на компьютере (доступ к файлам и реестру). Мы могли бы использовать Process Monitor для проверки процесса внесения изменений в этот раздел реестра.

(Process Monitor довольно прост в использовании, но если вам нужно больше информации о нем, другие статьи под моим именем опишут его более полно)

Мы удалили настройки прокси и затем запустили Process Monitor примерно на полминуты, в течение которых вредоносная программа возвращала настройки прокси. Мы просмотрели трассировку Process Monitor и выполнили поиск по указанному выше разделу реестра и увидели, что он был изменен процессом под названием Browsersafeguard. Затем мы удалили Browsersafeguard и проблема исчезла.

Надеюсь, это поможет Анто. Симптомы достаточно схожи, чтобы вы могли попробовать и использовать методы, которые мы использовали для себя. Это должно помочь вам попытаться удалить вредоносное ПО без изменения DNS.

Удачи.

Answer 2

Если вы абсолютно уверены, что проблема связана с вредоносными программами и ничем иным, несмотря на то, что все авторитетные средства обнаружения вредоносных программ говорят об обратном, остается только два варианта:

1. Извлеките жесткий диск и подключите его к другой системе в качестве дополнительного диска. Затем используйте другую систему для поиска и удаления вредоносных программ.
2. Если вариант 1 не может обнаружить и / или устранить проблему, переформатируйте диск с помощью установочного носителя с заведомо исправной операционной системой. После этого не восстанавливайте резервные копии данных в системе. Все резервные копии из предыдущей установки следует выбросить, поскольку они, очевидно, заражены вредоносными программами, которые никто не может обнаружить.

Answer 3

Если вы ищете Anti-malware/bloatware, вот некоторые из них:

1. Суперанти шпионское ПО
2. Malware-байт
3. Combo Fix
4. Очиститель ADW
5. CCleaner Temp File Cleaner

Запустите Combo-Fix в конце.

Answer 4

Проверьте настройки прокси. В Internet Explorer > меню «Сервис» > « Свойства обозревателя» > вкладка «Подключения» > « Параметры локальной сети» убедитесь, что параметр « Использовать прокси-сервер для вашей локальной сети» не выбран.

В противном случае вам нужно установить, связана ли проблема с вашим веб-браузером (-ами) или с сетевыми проблемами (обе могут быть вызваны вредоносным ПО). Попробуйте установить соединение с сайтом Google без использования браузера. Вы можете сделать это с помощью telnet (как включить клиент Telnet в Windows 8), запустив эту команду из командной строки:

telnet www.google.com 80

Если вы сразу перешли на пустой экран, который вы успешно подключили (нажмите CTRL+], введите quit и нажмите enter, чтобы выйти). Это означает, что вам нужно сосредоточиться на своем веб-браузере (надстройки, настройки и т.д.)

Если он просто сидит и говорит « Подключение к www.google.com ....», то в конечном итоге возвращает « Не удалось открыть подключение к хосту» на порту 80: «Ошибка подключения», значит, проблема связана с сетью, а не с браузером.

Затем сравните настройки сети между вашим компьютером и известным рабочим аппаратом, оба подключены к одной и той же сети одинаковым образом (как с беспроводной, так и с проводной связью). Затем из командной строки запустите

ipconfig /all

на обоих компьютерах и сравните настройки, обращая особое внимание на шлюз по умолчанию, DHCP-сервер, DNS-серверы (должны быть идентичны) и адрес IPv4 (первые три числа ["октеты"], вероятно, должны совпадать, а последние цифры должны отличаться). Любые различия здесь могут быть ключами к вашей проблеме.

Вы также можете попробовать подключить компьютер напрямую к интернет-соединению. Возьмите кабель, подключенный к порту WAN вашего маршрутизатора, и подключите его к компьютеру. Если ваша проблема исчезнет (или даже изменится каким-то существенным образом), это говорит о том, что проблема в вашей локальной сети.

Я не сбрасываю со счетов ваше подозрение, что в основе вашей проблемы лежит вредоносное ПО. Поскольку ни в одном из ваших сканирований ничего не найдено, вы должны установить, что вредоносная программа сломала, чтобы узнать, где более конкретно искать причину, будь то вредоносная программа или что-то еще.

Если эти шаги не приблизят вас к решению, и ваши другие компьютеры будут нормально работать в той же сети, тогда я проголосую за переустановку ОС.

Answer 5

Попробуйте загрузить midi-файл, который, как вы уверены, вызвал проблему, на virustotal.com. Он покажет вам, какой тип инфекции у вас есть, затем очистите соответственно.

Answer 6

Проверьте файл HOSTS:

Windows Windows 7 и Windows 8 Блокнот должен быть запущен от имени администратора.

1. Right click Notepad and select Run as administrator

2. When Notepad opens Click File -> Open

    C:\Windows\System32\Drivers\etc\hosts

3. Click Open

Файл хостов DEFAULT находится ниже, сравните и измените. Вы можете просто заменить, но на всякий случай сделать резервную копию существующей или закомментировать строки в файле с символом решетки.

Для Windows 7 и 8

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handle within DNS itself.
#       127.0.0.1       localhost
#       ::1             localhost

Answer 7

Перезагрузите ваш роутер полностью. Это означает не просто включение и выключение питания, а использование кнопки сброса, как описано в руководстве.

Вполне вероятно, что настройки DNS-сервера на вашем маршрутизаторе были изменены. Это возможно, просто перейдя на вредоносный веб-сайт, когда маршрутизатор уязвим (ошибки, бэкдоры, вы называете это). На вашем компьютере не останется никаких следов (возможно, кроме истории просмотра), поэтому AV-сканер ничего не найдет.

Этот тип атаки изменяет DNS-серверы, которые запрашивает ваш маршрутизатор. Поскольку все компьютеры и устройства в вашей сети обычно используют службу пересылки DNS маршрутизатора, это влияет на все из них. DNS-сервер «плохого парня» будет затем отвечать IP-адресом сервера атаки «человек посередине», который захватывает ваши пароли и тому подобное.

Answer 8

Попробуйте перейти в "Сетевые подключения", затем щелкните правой кнопкой мыши на вашем беспроводном сетевом подключении и выберите "Свойства". Откроется диалоговое окно со списком. В этом списке выберите «Протокол Интернета версии 4 (TCP/IPV4)» и нажмите "Свойства". Убедитесь, что все настройки здесь установлены на "автоматический".

Вы также можете проверить расширенную кнопку в этом окне, которая открывает другое окно с вкладкой DNS.

Answer 9

Попробуйте использовать функцию «Восстановление системы» для восстановления вашего компьютера до момента появления нежелательных симптомов. Это удалит большинство видов вредоносных программ, а также отменит любые другие изменения, которые могли бы нарушить вашу функциональность DNS.

Answer 10

Ваш вирус / вредоносная программа может быть руткитом. Если это так, удаление лучше всего выполнить, удалив жесткий диск и переустановив Windows. Существуют средства обнаружения и удаления руткитов, но если у вас нет веских причин избегать переустановки ОС, у вас будет гораздо более высокая степень уверенности в том, что у вас чистая система, если вы все удалите и начнете все сначала.

Вы должны быть в состоянии сохранить ваши документы и другие важные данные на других носителях без передачи руткита, хотя было бы разумно сканировать их на наличие вирусов на другом компьютере, на котором отключен автозапуск (чтобы уменьшить вероятность передачи любой инфекции на второй компьютер). машина до сканирования).

Answer 11

Я был в такой же ситуации несколько месяцев назад. У меня дома 2 компьютера, оба работают на одной ОС / версии. Однажды один компьютер начал испытывать трудности с подключением к моей почте Gmail - Google сказал бы: "соединение не является доверенным". После первоначального анализа я заметил, что все сайты теперь находятся под контролем сертификата DO_NOT_TRUST_FIDDLER_ROOT. Когда я сравнил сертификат. с другим ПК такого не было. Я просмотрел количество рекомендаций, но ничего не помогло. Не желая переустанавливать ОС, я сделал это: скопировал все веб-сертификаты с "хорошего" ПК и заменил "плохие" на втором ПК. Только тогда все выстроится в очередь !! В БУДУЩЕМ Я РЕКОМЕНДУЮ СДЕЛАТЬ РЕЗЕРВНОЕ КОПИРОВАНИЕ ВСЕХ ВЕБ-СЕРТИФИКАТОВ ДО НАЧАЛА ПРОБЛЕМЫ.