Trojan DNS.changer


(Ids) #1

Proszę o pomoc w usunięciu trojana DNS.changer.

log z HijackThis jest tu:

http://wklej.org/id/294436fc9b

Dziękuję za pomoc.


(Leon$) #2

Log czysty

przeładowany autostart http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

pobierz Combofix http://www.searchengines.pl/index.php?showtopic=86306&st=0&p=395642entry395642 przeskanuj daj log

:slight_smile:


(Ids) #3

Dziękuję Ci bardzo.

Ale od razu wyjaśnienie: komputera używam w pracy i w domu. I o ile w domu (na neo) wszystko wydaje mi się ok, to w pracy (exatel o ile ma to znaczenie) mam wrażenie jest jakiś problem. Zaczęło się od problemów z wejściem na strony ...com.pl (przerzcało albo na google, albo na panienki) - w domu problem znikał. Później zauważyłem, że mam ustawione jakieś DNSy (a w zasadzie Spyware Doctor zauważył). DNSy sprawdziłem i nie były raczej Exatelowe. Spyware Doctor twierdził, że to DNS.changer, odcinał dostęp do jednego z DNS-ów (blokując przy tym net), zwracał info, że trojan zmienił wpisy DhcpNameServer w rejestrze (właśnie na te dziwne DNSy). Po naprawieniu problem nie znikał. Jeden z DNS to 85.255.112.141.

Tak czy inaczej załączam log z ComboFix (robiony na neo - czyli niby w korzystniejszych warunkach - o ile to może mieć znaczenie).

Link do loga: http://wklej.org/id/cf57795912

Załączam również aktualny log HijackThis: http://wklej.org/id/df0aa0b4d4

Autostart próbowałem przewietrzyć... w miarę moich możliwości :slight_smile:


(Ids) #4

Uzupełniając - załączam logi z pracy. Moim zdaniem się różnią, bo tylko w pracy Spyware Doctor blokuje mi połączenie, blokuje mi zmiany w rejestrze. Zmiany dotyczą wprowadzenia adresów DNSów.

Log z ComboFix: http://wklej.org/id/7bdd9c8144

Log HijackThis: http://www.wklej.org/id/330eafce4f

Będę wdzieczny za analizę i podpowiedzi.


(Leon$) #5

W logach nic szkodliwego nie widzę jedynie pusty wpis w rejestrze

otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

:slight_smile:


(Ids) #6

Dziękuję, ale nadal mam wrażenie, że problem pozostał.

Spyware Doctor za kazdym razem blokuje mi internet (ten w firmie) i pisze np. coś takiego:

Nazwa zagrozenia - Trojan-Downloader.Popuper

Szczególy - Site Guard zablokowal szkodliwa strone.

Poziom ryzyka - Wysokie

Infekcja - 85.255.112.141

OnGuard: zablokowano zdarzenie systemowe

Nazwa zagrozenia - Trojan-Downloader.Popuper

Szczególy - Spyware Doctor zablokowal próbe wykonania nastepujacej czynnosci przez aplikacje: zapisanie rejestr.

Poziom ryzyka - Wysokie

Infekcja - HKLM\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES{0C3B1391-33CE-471C-B5A1-DA65F1F3C902}

Jedynym rozwiązaniem, żeby odpalić net jest wtedy wklepanie na stałe DNSa lub wyłączenie Spyware Doctora...

Czy jest możliwe, że problem jest gdzieś np. na routerze, albo gdzies indziej (nie w moim komputerze)? Problem nie występuje w domu.


(Gutek) #7

Daj nowy log z HJT + Combo


(Ids) #8

nowe logi:

HijackThis: http://wklej.org/id/8f1b82c94b

Combo: http://wklej.org/id/13653bff0f

Logi przy wyłączonym Spyware Doctorze (inaczej blokuje mi internet) i bez zmienionego ręcznie DNSa.


(Gutek) #9

Już nic nie widać w logach


(Ids) #10

no nic, dzięki, choć problem pozostał.

Dzisiejszy wynik skanowania z Spyware Doctor:

2008-03-26 09:02:05:718 W tym komputerze wykryto infekcje 

Nazwa zagrozenia - Application.NirCmd

Typ - Registry Value

Poziom ryzyka - Informacja

Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow


2008-03-26 09:02:05:718 W tym komputerze wykryto infekcje 

Nazwa zagrozenia - Application.NirCmd

Typ - Registry Value

Poziom ryzyka - Informacja

Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs


2008-03-26 09:02:05:734 W tym komputerze wykryto infekcje 

Nazwa zagrozenia - Application.NirCmd

Typ - Registry Value

Poziom ryzyka - Informacja

Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, snapshot


2008-03-26 09:02:05:734 W tym komputerze wykryto infekcje 

Nazwa zagrozenia - Application.NirCmd

Typ - Registry Key

Poziom ryzyka - Informacja

Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware


2008-03-26 09:02:06:390 W tym komputerze wykryto infekcje 

Nazwa zagrozenia - Trojan.DNS_Changer

Typ - Registry Value

Poziom ryzyka - Wysokie

Infekcja - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\SERVICES\TCPIP\PARAMETERS, DhcpNameServer


2008-03-26 09:02:06:406 W tym komputerze wykryto infekcje 

Nazwa zagrozenia - Trojan.DNS_Changer

Typ - Registry Value

Poziom ryzyka - Wysokie

Infekcja - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\TCPIP\PARAMETERS, DhcpNameServer


2008-03-26 09:02:07:218 W tym komputerze wykryto infekcje 

Nazwa zagrozenia - Trojan.Generic

Typ - Registry Key

Poziom ryzyka - Srednie

Infekcja - HKEY_USERS\S-1-5-21-3165466919-766411903-2151957871-1006\Software\Wget

HJT: http://wklej.org/id/ea01f92d9a

Combo: http://wklej.org/id/626bbfca67


(Gutek) #11

Otwórz Notatnik i wklej w nim to:

Windows Registry Editor Version 5.00 


[-HKEY_LOCAL_MACHINE\SOFTWARE\swearware]


[-HKEY_USERS\S-1-5-21-3165466919-766411903-2151957871-1006\Software\Wget]

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.


(Ids) #12

fixa zrobiłem - niestety objawy bez zmian :frowning:

W domu działało od zawsze, ale zaraz po zalogowaniu do sieci w pracy Spyware Doctor wycina sieć i opisuje to tak:

2008-03-27 12:17:19:312 OnGuard: zablokowano zdarzenie systemowe 

Nazwa zagrozenia - Trojan-Downloader.Popuper

Szczególy - Spyware Doctor zablokowal próbe wykonania nastepujacej czynnosci przez aplikacje: zapisanie rejestr.

Poziom ryzyka - Wysokie

Infekcja - HKLM\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{0C3B1391-33CE-471C-B5A1-DA65F1F3C902}

HJT: http://wklej.org/id/138f113b6aCombo: http://www.wklej.org/id/4410885ac5Sieć zaczyna działać po recznej zmianie DNS-ów na operatorskie (lub po wyłączeniu Spyware Doctora, ale chyba nie o to chodzi). Z kolei szybki skan systemu przez Spyware Doctora daje takie wyniki:

2008-03-27 12:50:35:156 W tym komputerze wykryto infekcje 

Nazwa zagrozenia - Application.NirCmd

Typ - Registry Value

Poziom ryzyka - Informacja

Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow


2008-03-27 12:50:35:156 W tym komputerze wykryto infekcje 

Nazwa zagrozenia - Application.NirCmd

Typ - Registry Value

Poziom ryzyka - Informacja

Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs


2008-03-27 12:50:35:171 W tym komputerze wykryto infekcje 

Nazwa zagrozenia - Application.NirCmd

Typ - Registry Value

Poziom ryzyka - Informacja

Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, snapshot


2008-03-27 12:50:35:187 W tym komputerze wykryto infekcje 

Nazwa zagrozenia - Application.NirCmd

Typ - Registry Key

Poziom ryzyka - Informacja

Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware


2008-03-27 12:50:35:640 W tym komputerze wykryto infekcje 

Nazwa zagrozenia - Trojan.DNS_Changer

Typ - Registry Value

Poziom ryzyka - Wysokie

Infekcja - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\SERVICES\TCPIP\PARAMETERS, DhcpNameServer


2008-03-27 12:50:35:640 W tym komputerze wykryto infekcje 

Nazwa zagrozenia - Trojan.DNS_Changer

Typ - Registry Value

Poziom ryzyka - Wysokie

Infekcja - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\TCPIP\PARAMETERS, DhcpNameServer


2008-03-27 12:50:36:203 W tym komputerze wykryto infekcje 

Nazwa zagrozenia - Trojan.Generic

Typ - Registry Key

Poziom ryzyka - Srednie

Infekcja - HKEY_USERS\S-1-5-21-3165466919-766411903-2151957871-1006\Software\Wget