Questão Não é possível usar a internet devido a suspeita de malware de DNS


Eu baixei um arquivo midi no meu laptop Windows 8.1 na noite passada. Desde então, sempre que eu abro o chrome, recebo um erro padrão de "Página da Web não disponível" para TODOS os sites que tento visitar.

O Firefox e o Internet Explorer também não abrem qualquer página. Tenho certeza de que os malwares são a causa, já que tive infecções semelhantes antes.

Executei as digitalizações usando as seguintes ferramentas no modo de segurança e no modo normal (usando as assinaturas mais recentes)
1) Antimalware Malwarebytes
2) Spybot
3) Ferramenta Microsoft Anti-Malware

Eu até fiz uma varredura da McAfee em busca de vírus. Surpreendentemente, todas as ferramentas de remoção de malware e o McAfee não conseguiram detectar nem mesmo um único objeto!
Fiquei bastante surpreso porque, da última vez, resolvi o problema usando as ferramentas de remoção de malware (que detectavam e excluíam objetos).

No entanto, depois de passar horas no google, descobri que o problema pode ser resolvido executando o ipconfig / flushdns comando em cmd. Eu tentei e o problema foi resolvido temporariamente. Mas se eu fechar e reiniciar o Chrome ou se eu deixar o cromo inativo por algum tempo, o problema reaparecerá novamente.

Eu tentei redefinir winsock e ip usando os seguintes comandos cmd sem descanso -
netsh winsock redefinir
netsh winsock redefinir catálogo
netsh int ipv4 redefinir reset.log
netsh int ipv6 redefinir reset.log
netsh int ip redefinir c: \ resetlog.txt

Eu até corri o Avira DNS Repair Tool . Mas ele disse que não havia necessidade de reparos, já que as configurações de DNS não foram alteradas pelo DNS.

Eu apreciaria uma boa solução o mais rápido possível, já que não posso usar a internet.

Nota -
1) Eu conecto ao modem usando wifi. Tentei conectar usando o fio da LAN mais tarde, mas não fazia diferença.
2) NÃO há problemas de conectividade durante a conexão por ambos os modos.

Desde já, obrigado!

EDITAR

Esta é minha rota de rastreamento para google.com

trace route


0


origem


Vamos fingir por um tempo que você não pegou o malware desse arquivo midi (que é altamente improvável), e apenas soluciona problemas como se não fosse ... Então - esta é sua máquina pessoal, ou uma máquina de trabalho? Ele se comporta da mesma maneira quando inicializado no modo de segurança com rede? Que tal no modo normal como um usuário diferente? - Ƭᴇcʜιᴇ007


Respostas:


Se vocês são absolutamente certo O problema deve ser com malware e nada mais, apesar de todas as ferramentas de detecção de malware respeitáveis, caso contrário, há apenas duas opções restantes:

  1. Remova o disco rígido e conecte-o a outro sistema como secundário dirigir. Em seguida, use o outro sistema para procurar e remover o malware.
  2. Se a opção 1 falhar em detectar e / ou remover seu problema, reformate a unidade usando uma mídia de instalação do SO em bom estado. Depois disto, não restaure nenhum dado de backup no sistema. Todos os backups da instalação anterior devem ser descartados, pois obviamente estão infectados com malware que ninguém pode detectar.

4



Eu vou com este se todo o resto falhar .... será o meu último recurso .. - Anto Oswin


Se o Anti-malware / bloatware é o que você está vendo, aqui estão alguns:

  1. Spyware Superanti
  2. Malware-bytes
  3. Correção Combinada
  4. Limpador de ADW
  5. CCleaner Limpador de arquivos temporários

Corre Correção de combinação no último.


3



Eu limpei todos os meus arquivos temporários manualmente. Combo Fix não é compatível com o Windows 8. Eu já verifiquei para spywares usando o spybot. - Anto Oswin
@AntoOswin - Combo Fix funciona com o Windows 8 do que você está falando? - Ramhound


Seu problema Anto soa semelhante ao que um dos meus usuários tinha cerca de um mês ou dois atrás. Embora não seja exatamente o mesmo, é semelhante o suficiente para você tentar usar as técnicas que usamos para você.

No caso dela, o Outlook se conectaria bem por alguns minutos após a abertura e, em seguida, forneceria a ela uma mensagem de erro de certificado informando que havia um problema com o "certificado de segurança do servidor proxy". Abrindo o certificado em detalhes, ele documentou o caminho do certificado como levando a um certificado raiz chamado estranhamente DO_NOT_TRUST_FiddlerRoot.

Quando ela navegou na Internet pelo Internet Explorer, ela recebeu uma página dizendo "Há um problema com o certificado de segurança deste site". Ela teve que reconhecer a mensagem para continuar no site. Isso foi para qualquer site que ela visitou.

Tentamos várias coisas que incluem a remoção de programas desconhecidos e a remoção do certificado FIDDLER acima. No final, descobrimos que as configurações de proxy do IE foram alteradas para 127.0.0.1. Ao remover essas configurações de proxy, esses sintomas desapareceram. No entanto, como no seu caso, essas configurações de proxy retornaram ao reabrir o IE.

Achamos que a configuração do registro para as configurações de proxy do IE era HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Configurações da Internet e, em seguida, Servidor Proxy. Quando removemos as configurações de proxy do IE, pudemos ver esse valor de registro atualizado. Da mesma forma, quando a configuração de proxy indesejado é retornada para o IE, esse valor do registro é atualizado.

Depois, recorremos ao Process Monitor da Sysinternal para obter ajuda. Isso captura um rastreio de tudo (acesso a arquivos e registro) que acontece em uma máquina. Poderíamos usar o Process Monitor para verificar qual era o processo que estava corrigindo essa chave de registro.

(O Process Monitor é bastante fácil de usar, mas se você precisar ver mais informações sobre ele, os outros artigos em meu nome irão descrevê-lo com mais detalhes)

Removemos as configurações de proxy e depois executamos o Process Monitor por cerca de meio minuto que o malware levou para retornar as configurações de proxy. Analisamos o rastreio do Process Monitor e fizemos uma pesquisa na chave de registro acima e percebemos que ela estava sendo modificada por um processo chamado Browsersafeguard. Em seguida, removemos o Browsersafeguard e o problema desapareceu.

Então, espero que ajude Anto. Os sintomas são semelhantes o suficiente para você tentar usar as técnicas que usamos para si mesmo. Isso deve ajudá-lo a tentar remover o malware sem alterar o DNS.

Boa sorte.


3



Eu também sugeri ao @AntoOswin antes que ele checasse suas configurações de proxy. Sua experiência confirma a possibilidade de que essa sugestão permaneça relevante. - Twisty Impersonator
Nenhuma das respostas para esta questão resolveu o meu problema. No entanto, esta resposta pode ajudar alguém que tenha um ataque de malware DNS diferente do meu. Assim recompensado. - Anto Oswin


Verifique suas configurações de proxy. Dentro Internet Explorer>Menu de ferramentas>opções de Internet>Guia Conexões>Configurações de lan certificar-se de que Use um servidor proxy para sua LAN não está selecionado.

Caso contrário, você precisa estabelecer se o problema está no seu navegador (s) ou em um problema de rede (ambos que podem ser causados ​​por malware). Tente estabelecer uma conexão do site do Google sem usar um navegador. Você pode fazer isso com telnet (como ativar o cliente Telnet no Windows 8) executando este comando a partir de um prompt de comando:

telnet www.google.com 80

Se você for levado imediatamente para uma tela em branco, conectou-se com sucesso (pressione CTRL +] então digite Sair e pressione entrar sair). Isso significa que você precisa se concentrar no seu navegador (suplementos, configurações etc.)

Se apenas fica lá dizendo Conectando a www.google.com.br .... então, eventualmente, retorna Não foi possível abrir a conexão com o host, na porta 80: Falha na conexão então o seu problema é um problema de rede, não um problema do navegador.

Em seguida, compare as configurações de rede entre o computador e uma máquina conhecida, ambas conectadas à mesma rede da mesma maneira (sem fio ou com fio). Em seguida, a partir de uma execução do Prompt de Comando

ipconfig /all

em ambos os computadores e compare as configurações, prestando atenção especial ao Gateway Padrão, Servidor DHCP, Servidores DNS (deve ser idêntico) e endereço IPv4 (os primeiros três números ["octetos"] provavelmente devem coincidir e o último número diferir). Quaisquer diferenças aqui podem ser pistas para o seu problema.

Você também pode tentar conectar sua máquina diretamente à sua conexão com a Internet. Pegue o cabo atualmente conectado à porta WAN do seu roteador e conecte-o ao seu computador. Se o seu problema desaparecer (ou até mudar de alguma forma material), isso indica que o problema está na sua rede local.

Eu não estou descontando sua suspeita de que o malware está na raiz do seu problema. Como nenhum dos seus scans encontrou nada, você deve estabelecer o que O malware foi quebrado para saber onde procurar mais especificamente a causa, seja malware ou outra coisa.

Se essas etapas não chegarem mais perto de uma solução e seus outros computadores estiverem funcionando bem na mesma rede, irei colocar meu voto no chapéu para a reinstalação do sistema operacional.


2



C: \ WINDOWS \ system32> telnet www.google.com 80 Conectando a www.google.com ... Não foi possível abrir a conexão com o host, na porta 80: Falha na conexão - Anto Oswin
ESTÁ BEM. Que tal comparar o IPCONFIG com o seu sistema com os outros na rede? - Twisty Impersonator
E você também deve tentar se conectar diretamente à sua Internet sem passar pelo seu roteador. Isso nos informará se o problema está no seu computador ou em algo dentro da sua rede. - Twisty Impersonator
@AntoOswin, já tentou ligar o seu computador diretamente à sua ligação à Internet, fora da sua rede local? - Twisty Impersonator
Minha conexão de rede é tal que eu posso conectar meu laptop à internet somente via roteador (porque nada mais tem uma porta lan) .... - Anto Oswin


Tente fazer o upload do arquivo midi com certeza você causou o problema virustotal.com. Ele mostrará o tipo de infecção que você tem e, em seguida, limpará de acordo.


2



Eu apaguei o arquivo midi assim que os sintomas começaram a aparecer. - Anto Oswin
@AntoOswin Se você puder encontrá-lo novamente, você pode apontar VIrusTotal para o URL. - Iszi


Verifique o seu arquivo HOSTS:

Windows Windows 7 e Windows 8 O bloco de notas deve ser executado como administrador.

1. Right click Notepad and select Run as administrator

2. When Notepad opens Click File -> Open

    C:\Windows\System32\Drivers\etc\hosts

3. Click Open

O arquivo de hosts padrão está abaixo, compare e modifique. Você poderia apenas substituir, mas backup existente primeiro apenas no caso ou comentar as linhas no arquivo com o caractere de libra.

Para o Windows 7 e 8

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handle within DNS itself.
#       127.0.0.1       localhost
#       ::1             localhost

2



Esta é uma cópia IDENTICAL do arquivo hosts no meu sistema, exceto que a minha começa com 'Copyright (c) 1993-2009 Microsoft Corp.' - Anto Oswin


Redefinir seu roteador completamente. Isso significa não apenas ligar e desligar a energia, mas usar o botão de reset, conforme detalhado no manual.

É muito provável que as configurações do servidor DNS no seu roteador tenham sido manipuladas. Isto é possível simplesmente navegando para um site malicioso quando o roteador está vulnerável (bugs, backdoors, you name it). Nenhum rastro (exceto no histórico de navegação talvez) permanecerá no seu computador, portanto nenhum scanner AV encontrará nada.

Esse tipo de ataque altera os servidores DNS que seu roteador consultaria. Como todos os computadores e dispositivos da sua rede geralmente usam o serviço de encaminhamento de DNS do roteador, todos eles são afetados. O servidor DNS do "malfeitor" então responderia com o endereço IP de um servidor de ataque man-in-the-middle que pega suas senhas e coisas do tipo.


1



Fiz uma reinicialização completa do sistema do roteador como você disse. Sem descanso. Acho que já mencionei que outros dispositivos conectados à mesma rede e roteador não têm problema. Eu não acho que haja algum problema com o roteador. - Anto Oswin
Bem, você está com sorte então. Um roteador vulnerável sem atualização disponível precisaria ser substituído, afinal. ;) - Daniel B
Então você quer que eu substitua o meu roteador? - Anto Oswin
Não. Não parece ser afetado, afinal. - Daniel B


Tente ir para "Conexões de Rede", clique com o botão direito na conexão de rede sem fio e clique em Propriedades. Isto irá abrir uma caixa de diálogo com uma lista. Nesta lista, selecione "Protocolo da Internet Versão 4 (TCP / IPV4)" e clique em Propriedades. Certifique-se de que todas as configurações aqui estão definidas para "automático".

Você também pode querer verificar o botão avançado nesta janela que abre outra janela que tem uma guia DNS.


0



Minhas configurações de DNS originais (antes do problema) foram definidas como automáticas. Agora só funciona quando eu o defino como manual e defino o DNS para o 8.8.8.8 do google. Eu verifiquei a janela avançada. Confira todas as opções. Sem descanso. - Anto Oswin
@AntoOswin - Você verificou se os servidores DNS da Internet estão realmente funcionando? - Ramhound
@Ramhound Sim, o DNS do meu ISP está funcionando bem no meu PC com Windows 7 e no meu Windows Phone. - Anto Oswin
@AntoOswin - Você verificou que ambos os computadores estão usando os mesmos endereços IP do DNS? Isso pode ser verificado fazendo ipconfig /all - Ramhound


Tente usar a Restauração do sistema para restaure seu computador para um ponto no tempo antes de os sintomas indesejáveis ​​aparecerem. Isso removerá a maioria das formas de malware e também reverterá quaisquer outras alterações que possam ter quebrado a funcionalidade do DNS.


0



Eu verifiquei essa opção. Não havia pontos de restauração armazenados antes dos sintomas. Eu não poderei fazer uma restauração do sistema. - Anto Oswin
@Twisty - Por que você postou 3 respostas diferentes para essa pergunta? - Ramhound
Porque resolver o problema com a Restauração do Sistema não é de forma alguma semelhante a resolvê-lo, tratando o sistema como infectado por um rootkit que, por sua vez, é diferente da solução de problemas do ambiente de rede dos OPs. Caso uma dessas respostas seja correta, será muito útil que os telespectadores do futuro tenham uma resposta a considerar, que não fornece três soluções incompatíveis para o problema. Por fim, estou tentando ajudar o @AntoOswin com o que parece ser um problema complicado, que requer uma bateria de táticas para resolver. - Twisty Impersonator


Seu vírus / malware pode realmente ser um rootkit. Se assim for, a remoção seria melhor, apagando o seu disco rígido e reinstalar o Windows. Existem ferramentas de detecção e remoção de rootkits, mas, a menos que você tenha uma razão convincente para evitar a reinstalação do sistema operacional, você terá um nível muito mais alto de confiança de que terá um sistema limpo se apagar tudo e começar tudo de novo.

Você deve ser capaz de salvar seus documentos e outros dados importantes em outras mídias sem transferir o rootkit, embora seja prudente analisá-los em busca de vírus em outra máquina que tenha desativado a Reprodução Automática (para ajudar a reduzir a probabilidade de transferir qualquer infecção para o segundo máquina antes da digitalização).


0