Как восстановить Интернет после изменения вирусом настроек DNS. Вот это поворот

Напоролся на тут на интересный вирус, который не встречал еще до этого. Собственно познакомился с ним на стадии того, что клиент, вернувшись из командировки, не смог войти с ноута в инет, так что пришлось подъехать посмотреть.

Машинка Windows 7, стоит NOd32, но Comodo я ему ставить не стал, так как оперативки на ноуте маловато. В инет он оказывается входил, ибо скайп подключался, но вот с бродилкой были какие то проблемы. Глянул ipconfig /all , так и есть – DNS почему то стоит 127.0.0.1 . Зашел в настройки сетки- действительно прописан руками.

Человек естественно клялся и божился, что ничего не трогал, но мы то этих клиентов знаем. В итоге сменил на автоматическую выдачу DNS, перегрузил- все работает. Ну и забыл.

Вечером звонок, снова не могу войти- ну по телефону попросил его провести несколько манипуляций, опять DNS сброшен и в настройках в поле DNS ручками прописан 127.0.0.1

Объяснил как исправить и на следующий день, уже вооружившись флехой, поперся смотреть что там происходит
Оказалось вирь, выцепляемый HackJack’ом и Dr.Web CureIT!
пишется в реестр многочисленная настройка DNS, который и сбрасывает ручные- выглядит запись примерно так, только продублирована 5-6 раз для разных классов:
HKLM\System\CCS\Services\Tcpip\..: NameServer = 127.0.0.1

а также автостарт пары рандомных файлов из темпов юзверя. Так что все поотрубал через HackJack, после чего отсканил машинку CureIT!, которая и отловила зверька. Сам что то тормазнул, так как трепался с клиентом за жизнь, и не записал классификацию по Dr.Web, но как я понимаю по классификации Касперского – это Trojan-Downloader.Win32.Injecter.lfi

После удаления зловредов и чистки следов их присутствия стоит перетряхнуть стек TCP/IP либо обнулением параметров, либо удалением интерфейса, так как на паре компов была замечена не понятный глюк, что после исправления настройка все равно сбрасывалась, не смотря на то, что в системе уже не было следов присутствия пакости.

Совсем свежачок, появившийся в конце мая.

Отзывов: 14 на «Вирус меняет настройки DNS на 127.0.0.1»

Спасибо, работаю в техподдержке, штук 20 абонентов уже отзвонилось с такой проблемой.

А если вирус блокировал доступ к контекстному меню и отключил кнопки на изменение настроек?

Спасибо за пост…поймал эту гадость на ноут…причем ни касперыч ни др.веб немогли отловить..спасло только формат диск с комплит…а вот на стационарнике, поймав его еще раз, уже смог отловить без жестких мер…еще раз спасибо!

Знакомый принес комп – та же фигня 127.0.0.1.
HackJack’ ловит – но исправить не может и Dr.Web CureIT не излечил даже із LiveCD… находит файлы – удаляет, а через 10 сек они снова на месте. Вирус оказался не убиваем утилитой.

Удалил так –
Рецепт Лечения:
1. программа Starter – запускаем и ищем svchost.exe которий находиться вне папки system32.
в моес случае был в – C:\Documents and Settings\PERSIO\Application Data….
(P/S. обычно там кокой-то левый ярлык напротив “левого” процесса)
2. Запоминаем маршрут – ищем файл (я искал в TotalComander 7.56 с включенной функцией – “показать скрытые файлы”)- так-как он скрытий
3. В программе Starter убиваем-удаляем сам процесс
4. удаляем в TotalComander найденый нами ранее файл svchost.exe

5. (для гарантии поставил бесплатный АВАСТ и в настройках включил -”сканировать при запуске”)

Здравствуйте! Только что поборол такой же зловред у клиента. DrWeb ничего не нашел. Скачал adwcleaner нашел и обезвредил за пару минут. + прошелся ccleaner отключил все подозрительные процессы в автозапуске и отключил подозрительные запланированные задачи. Вручную очистил папки drivercache, dllcache, prefetch+ очистка диска и реестра средствами ccleaner. Все Good!! Всем удачи!

Чтобы защититься от трояна Trojan.Rbrute, поражающих модемы/маршрутизаторы фирмы TP-link нужно выполнять несколько простых условий. Вирус распространяется перебором сканированием IP-адресов по n-ому диапазону, после чего начинается подбор пароля методом brutforce. Атаке подвержены практически все популярные модели роутеров Tp-link. Пробираясь в настройки устройства троян меняет адреса DNS провайдера на адреса злоумышленников.

Ваш роутер заражен, если:

При попытке выйти на любой сайт, будь-то remont-sro.ru или сервис Gmail.com открывается сайт загрузки фейкового Google Chrome или другие подозрительные ресурсы. Изначально редирект работал только для запросов пользователя, содержащие слова Facebook или Google, но теперь троян реагирует на любой из них. Индикация на модеме остается прежней, «Интернет» горит стабильно, компьютер показывает, что подключение выполнено, авторизация пройдена, но сам интернет не работает, а лишь перебрасывает на рекламные и/или фейковые страницы загрузок

Пункт 1. Reset. Перенастройка модема
Инструкцию подготовил специалист ГТП ЦОО Корчагина Мария

Если вы не можете зайти в настройки модема через 192.168.1.1, то попробуйте сделать это через адрес 192.168.42.1

На данной странице настройки указаны только для услуги Интернет. Для настройки IP-TV и WI-FI скачайте полный мануалы

Русская версия - http://yadi.sk/d/JC6l6FPVRbU9P

Английская версия - http://yadi.sk/d/j6Ly7bA4RbU8r

1. Чтобы правильно сбросить настройки на модеме следует зажать иголкой/пастой/зубочисткой кнопку Reset в небольшом углублении. Держим от 5 до 15 секунд до исчезновения индикации на устройстве. Лампочки должны погаснуть так, как после обычной перезагрузки роутера

2. Для настройки модем следует подключать кабелем в любой LAN-порт, не проводите настройку посредством Wi-Fi соединения.

3. Зайдите через браузер Internet Explorer в интерфейс роутера, по адресу: 192.168.1.1. Откроется диалоговое окно. В полях «Имя пользователя» и «Пароль» введите соответственно admin/admin. Откроется стартовая страница роутера (см. ниже)

На этой странице вы увидите, какие настройки уже существуют:

4. Перед тем как приступить к настройке маршрутизатора, необходимо удалить все ранее созданные настройки, для этого нужно перейти в раздел «Настройка интерфейса» -> «Интернет» , выбираем «Виртуальный канал» - PVC0, внизу страницы нажимаем кнопку «удалить». Так проделываем с каждым виртуальным каналом (их всего 8).

В итоге вот, что должно получиться (снова перейдите в раздел «Состояние» ):

5. Теперь перейдите в раздел «Настройка интерфейса» , затем выберете подраздел «Интернет» (см. скриншоте ниже). Указываем параметры как на скриншоте ниже (пользователь и пароль: rtk), затем сохраняем все параметры, нажав кнопку «Сохранить».
На этом настройка в режим PPPoE закончилась.

Пункт 2. Смена пароля на вход в маршрутизатор

Для того чтобы сменить пароль, перейдите в раздел «Эксплуатация устройства» , затем «Администрирование» , где собственно и меняется пароль на вход в маршрутизатор (придумать сложный пароль) (см. скриншот ниже). После чего нажать кнопку «Сохранить»

Пункт 2.5 Список паролей, которые не рекомендуется ставить на вход в маршрутизатор

111111
12345
123456
12345678
abc123
admin
Administrator
password
qwerty
root
tadpassword
trustno1
consumer
dragon
gizmodo
iqrquksm
letmein

Все эти пароли вирус уже «знает» и подбор пароля займет 1 секунду. Пароль следует ставить не только из одних цифр или букв. ОБЯЗАТЕЛЬНО должны присутствовать спец.символы (решетки. звездочки, проценты, кавычки) и буквы различного регистра (заглавные и строчные). Чем больше и разнообразней пароль, тем дольше его придется «брутить» (если вообще удастся).

Пункт 3. Ограничиваем доступ к модему к WAN-порту.

1. Заходим в настройки модема и ищем меню «Управление доступом» и выставляем параметры, как на скрине ниже:

2. В результате должна добавиться строка с параметрами (см. рисунок ниже):

Тоже самое для АНГЛИЙСКОЙ версии:

Пункт 4. Настройка LAN (DHCP + DNS)

Предназначен для того, чтобы защищать вашу домашнюю сеть от вирусов, мошенников и хакерских атак. После нехитрой настройки вы сможете надежно экранировать свой роутер и все устройства при выходе в Интернет.

Мы привыкли, что DNS-сервер - это что-то на стороне провайдера или хостинга. Он помогает Интернету работать: преобразует имена сайтов в IP-адреса и обратно, чтобы мы могли их открывать, пользуясь осмысленными адресами: www.сайт , а не91.109.202.65. Между тем, компания Яндекс предлагает «бытовое» применение для DNS.

При желании вы можете подключить свой домашний роутер, ПК или любое другое устройство к одному из бесплатных DNS-серверов Яндекса. Тогда он будет не только преобразовывать для вас адреса сайтов, но и фильтровать трафик, чтобы защищать ваш домашний ПК и смартфоны от угроз извне и нежелательного контента.

Яндекс.DNS: как это работает?

У компании Яндекс более 80 DNS-серверов по всей России, Европе и СНГ. В последнее время щедрый Яндекс предлагает бесплатно пользоваться своими DNS-адресами. Все, что для этого нужно - настроить соединение с ними на маршрутизаторе, ПК или мобильном девайсе.

У Яндекса есть три бесплатных DNS - «Базовый», «Безопасный» и «Семейный». Прописав адрес любого из них на роутере или любом устройстве, с которого вы выходите в сеть, вы получите живой «щит» между вами и Интернетом. Они различаются по функциональности.

«Базовый» DNS работает в самом простом режиме, как обычный DNS-сервер. К нему есть смысл подключиться, если вы хотите, например, убрать ограничения своего подключения по скорости соединения и трафику.

«Безопасный» DNS не позволит вредоносным программам просочиться на ваш компьютер. Если вы подключитесь к нему, Яндекс будет блокировать попытки вирусов проникнуть на ваше устройство за счет собственного антивируса с использованием сигнатур Sophos. Кроме того, если у вас на компьютере уже давно тайно «живет» вирус, Яндекс перекроет ему кислород, не позволяя соединяться с серверами злоумышленников для рассылки спама, взлома паролей или проведения атак.

Наконец, «Семейный» DNS имеет ту же функциональность, что и «безопасный», но при еще и этом блокирует сайты и рекламу с эротическим контентом, чтобы ее не посмотрели ваши дети. Кстати, блокирует на убой: даже если вы сами захотите тайком побаловаться нехорошим контентом, ничего не выйдет - настройки исключений нет. И очень строго выбирает контент для блокирования: так, известная энциклопедия отечественных мемов для Яндекса - все равно что порнография.

Как настроить Яндекс.DNS на компьютере с Windows?

Нажмите ОК и переподключитесь к сети.

Как настроить Яндекс.DNS на роутере?

Если у вас есть WiFi-роутер, через который к Интернету подключаются все ваши устройства - компьютеры, ноутбуки, планшеты, смартфоны, смарт-телевизоры и прочее - то разумнее будет настроить DNS для всей сети разом.

Если ваш маршрутизатор выпущен производителем Asus , D-Link , Zyxel , Netis или Upvel , то вы можете скачать для него целую прошивку с предустановленным Яндекс.DNS. Для этого поищите производителя своего WiFi-роутера в списке внизу страницы сервиса. По нажатию на его название откроется подробная инструкция по настройке, где также есть ссылки на прошивки.

Если же у вас маршрутизатор другой фирмы, нажмите на ссылку У меня другой роутер и следуйте указаниям.

Как настроить Яндекс.DNS на смартфоне или планшете?

Инструкции по настройке различных девайсов на Android и iOS можно найти на главной странице Яндекс.DNS. Нажмите на Устройство и выберите тип вашего устройства и его операционную систему, а дальше следуйте инструкции.

Аналогичным образом можно настроить Яндекс.DNS для компьютеров под Linux или Mac OS.

Другие варианты

Яндекс - не пионер в области бесплатных DNS. В качестве альтернативы вы также можете попробовать

Dns Unlocker — это вирус, который относится к подклассу adware. Эта программа без вашего подтверждения ставится на ваш ПК, а затем устанавливает в браузер различные объявления рекламного характера. Из-за нахождения вредоносного ПО в системном реестре, избавление от Dns Unlocker – процесс довольно сложный. Эта вредоносная программа поступает в компьютер в большинстве случаев при закачке с подозрительных сайтов различных торрентов, нелегальных патчей для компьютерных игр, бесплатного софта и других бесплатных файлов. Создатели данных ресурсов осуществляют монетизацию контента путем заворачивания вируса в загрузочный файл. Загрузчик – это специальный софт, который передает пользователю желаемый контент, при этом параллельно может установить рекламные вирусы, которые прописывают разнообразные редиректы, меняют стартовую страницу, добавляют объявления в браузерах и многое другое. К таким программам и относится Dns Unlocker.

Как удалить Dns Unlocker

Чтобы удалить Dns Unlocker с ПК, надо найти и удалить все расширения в браузерах с именем Dns Unlocker, все связанные с этим вирусом ключи реестра и все вирусные файлы с жесткого диска.
В большинстве случаев при обычном избавлении от вредоносного дополнения из браузера вирус уходит только до перезапуска браузера. Вирус сам себя восстанавливает. Можно удалить его с помощью меню “Установка и удаление программ”, поудалять дополнения в браузере, отыскать вредоносные файлы программы и удалить вирус физически. Работа окажется бесполезной. Надо очистить все ветки реестра, а именно ключи, которые связаны с вирусом, но делать эту операцию должны только хорошо подготовленные пользователи. При малейшей оплошности, которую вы допустите в реестре, надо будет переустанавливать ОС или она будет работать, но ошибки будут вылазить на постоянной основе. В этой связи мы настоятельно рекомендуем осуществлять самостоятельную очистку реестра только довольно продвинутым пользователям, причем очистку реестра вы выполняете на свой страх и риск. Поэтому мы советуем автоматическое избавление от Dns Unlocker с помощью универсальной утилиты Spyhunter 4, производства Enigma software.

Удалить Dns Unlocker автоматически

Почему именно spyhunter?

• Удалит все дополнения в браузерах с названием Dns Unlocker.
• Очистит все ключи реестра, которые находятся в связи со Dns Unlocker и уничтожит лишь их. Реестр компьютера не будет поврежден, операционная система начнет работать как раньше.
• Данная программа уничтожит вирус Dns Unlocker с компьютера.
• Оптимизирует работу компьютера, он станет функционировать быстрее.
• Обеспечивает компьютер защитой от новых вирусов.
• Очистит прочие нежелательные программы и вирусы с ПК.

Инструкция по ручному удалению Dns Unlocker

Повторим, что без нужного опыта лучше не вычищать реестр. Каждая операционная система имеет собственные различия. Не важно, что основные ключи реестра, папки, файлы в большинстве своем схожи, наличие какой-нибудь программы, имеющей имя ключа реестра Dns Unlocker (это частое явление), и, собственно, удаление приведет к уничтожению ОС.

Шаг 1. Создание точки восстановления.

Обязательно делаем точку восстановления. Без точки восстановления при крахе системы восстановить ее вы уже не сможете.