公司电脑DNS被篡改
本帖最后由 一个梦而已 于 2021-1-22 10:44 编辑公司的电脑DNS被改成127.0.0.1,360阻止的信息如下:
时间 操作 说明 次数2021-01-20 11:32:35 [自动阻止] 修改 网络设置 防护 16 次详细描述:
注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\TCPIP\PARAMETERS\INTERFACES\{3201827E-70B7-4081-9587-8DD8C72FB229}\
注册表内容:127.0.0.1进程:C:\WINDOWS\System32\wbem\WmiPrvSE.exe
父进程: , (0)防护信息: RD|-1, -1, -1||
进程:C:\WINDOWS\System32\wbem\WmiPrvSE.exe
发现问题及时手动修改局域网DNS192.168.0.1备用8.8.8.8~!确定后在点开查看依旧是127.0.0.1,偶尔成功但是过一会又被改回127.0.0.1.
查看了单位路由配置都正常。情况已经从周一到周四了。
后来发现是组织IT给安装了这个东西。
果断给它卸载,OpenDNS是著名dns解析商OpenDNS发布的一个客户端软件,软件只有1M .非常很小,直接点击下一步安装运行就行了。
虽然界面是英文的,但是不需要任何设置,安装以后运行就可以使用了, 启动以后看本地连接的DNS中显示为127.0.0.1了,就是转接到opendns的解析了,当然你在系统右下角托盘退出这个软件,dns会恢复默认的电信服务器提供的自动解析地址(空白的)。
。
虚无空幻 发表于 2021-1-22 10:33
这个就简单了,他改127.0.0.1,一定会本地开53端口.看下哪个程序开的53端口,和关联程序就好了.
未必是病毒 ...
这是我们组织的IT搞的,我们在国内也不用不到onedrive,突然给我们装个这东西,一连4天同事不停的断网~ 版主不好意思,我一着急帖子发错位置了,您能帮我移动一下帖子到病毒样本区吗,实在抱歉 把WmiPrvSE.exe 发上来大家看看 没中毒的话,重装系统应该就好了
或者装了其他什么软件引起的
比如V、P、N之类的 127是个回环,应该广播风暴 看操作进程是WMI修改的 看下WMI启动项有没有可疑的
下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns 1.跑脚本循环检查,记录被修改时间
2.跑脚本循环记录当前的进程
查看被修改的时候,多了哪些进程,干掉,看还会不会被改 itismyborken 发表于 2021-1-22 09:42
1.跑脚本循环检查,记录被修改时间
2.跑脚本循环记录当前的进程
查看被修改的时候,多了哪些进程,干掉, ...
记录dns被修改的时候进程情况 查询下哪个进程占用了53端口