Proszę o pomoc w usunięciu trojana DNS.changer.
log z HijackThis jest tu:
http://wklej.org/id/294436fc9b
Dziękuję za pomoc.
Proszę o pomoc w usunięciu trojana DNS.changer.
log z HijackThis jest tu:
http://wklej.org/id/294436fc9b
Dziękuję za pomoc.
Log czysty
przeładowany autostart http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html
pobierz Combofix http://www.searchengines.pl/index.php?showtopic=86306&st=0&p=395642entry395642 przeskanuj daj log
Dziękuję Ci bardzo.
Ale od razu wyjaśnienie: komputera używam w pracy i w domu. I o ile w domu (na neo) wszystko wydaje mi się ok, to w pracy (exatel o ile ma to znaczenie) mam wrażenie jest jakiś problem. Zaczęło się od problemów z wejściem na strony …com.pl (przerzcało albo na google, albo na panienki) - w domu problem znikał. Później zauważyłem, że mam ustawione jakieś DNSy (a w zasadzie Spyware Doctor zauważył). DNSy sprawdziłem i nie były raczej Exatelowe. Spyware Doctor twierdził, że to DNS.changer, odcinał dostęp do jednego z DNS-ów (blokując przy tym net), zwracał info, że trojan zmienił wpisy DhcpNameServer w rejestrze (właśnie na te dziwne DNSy). Po naprawieniu problem nie znikał. Jeden z DNS to 85.255.112.141.
Tak czy inaczej załączam log z ComboFix (robiony na neo - czyli niby w korzystniejszych warunkach - o ile to może mieć znaczenie).
Link do loga: http://wklej.org/id/cf57795912
Załączam również aktualny log HijackThis: http://wklej.org/id/df0aa0b4d4
Autostart próbowałem przewietrzyć… w miarę moich możliwości
Uzupełniając - załączam logi z pracy. Moim zdaniem się różnią, bo tylko w pracy Spyware Doctor blokuje mi połączenie, blokuje mi zmiany w rejestrze. Zmiany dotyczą wprowadzenia adresów DNSów.
Log z ComboFix: http://wklej.org/id/7bdd9c8144
Log HijackThis: http://www.wklej.org/id/330eafce4f
Będę wdzieczny za analizę i podpowiedzi.
W logach nic szkodliwego nie widzę jedynie pusty wpis w rejestrze
otwórz notatnik i wklej
zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart
powstanie plik o takiej ikonie
w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart
Dziękuję, ale nadal mam wrażenie, że problem pozostał.
Spyware Doctor za kazdym razem blokuje mi internet (ten w firmie) i pisze np. coś takiego:
Nazwa zagrozenia - Trojan-Downloader.Popuper
Szczególy - Site Guard zablokowal szkodliwa strone.
Poziom ryzyka - Wysokie
Infekcja - 85.255.112.141
OnGuard: zablokowano zdarzenie systemowe
Nazwa zagrozenia - Trojan-Downloader.Popuper
Szczególy - Spyware Doctor zablokowal próbe wykonania nastepujacej czynnosci przez aplikacje: zapisanie rejestr.
Poziom ryzyka - Wysokie
Infekcja - HKLM\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES{0C3B1391-33CE-471C-B5A1-DA65F1F3C902}
Jedynym rozwiązaniem, żeby odpalić net jest wtedy wklepanie na stałe DNSa lub wyłączenie Spyware Doctora…
Czy jest możliwe, że problem jest gdzieś np. na routerze, albo gdzies indziej (nie w moim komputerze)? Problem nie występuje w domu.
Daj nowy log z HJT + Combo
nowe logi:
HijackThis: http://wklej.org/id/8f1b82c94b
Combo: http://wklej.org/id/13653bff0f
Logi przy wyłączonym Spyware Doctorze (inaczej blokuje mi internet) i bez zmienionego ręcznie DNSa.
Już nic nie widać w logach
no nic, dzięki, choć problem pozostał.
Dzisiejszy wynik skanowania z Spyware Doctor:
2008-03-26 09:02:05:718 W tym komputerze wykryto infekcje
Nazwa zagrozenia - Application.NirCmd
Typ - Registry Value
Poziom ryzyka - Informacja
Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow
2008-03-26 09:02:05:718 W tym komputerze wykryto infekcje
Nazwa zagrozenia - Application.NirCmd
Typ - Registry Value
Poziom ryzyka - Informacja
Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs
2008-03-26 09:02:05:734 W tym komputerze wykryto infekcje
Nazwa zagrozenia - Application.NirCmd
Typ - Registry Value
Poziom ryzyka - Informacja
Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, snapshot
2008-03-26 09:02:05:734 W tym komputerze wykryto infekcje
Nazwa zagrozenia - Application.NirCmd
Typ - Registry Key
Poziom ryzyka - Informacja
Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware
2008-03-26 09:02:06:390 W tym komputerze wykryto infekcje
Nazwa zagrozenia - Trojan.DNS_Changer
Typ - Registry Value
Poziom ryzyka - Wysokie
Infekcja - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
2008-03-26 09:02:06:406 W tym komputerze wykryto infekcje
Nazwa zagrozenia - Trojan.DNS_Changer
Typ - Registry Value
Poziom ryzyka - Wysokie
Infekcja - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
2008-03-26 09:02:07:218 W tym komputerze wykryto infekcje
Nazwa zagrozenia - Trojan.Generic
Typ - Registry Key
Poziom ryzyka - Srednie
Infekcja - HKEY_USERS\S-1-5-21-3165466919-766411903-2151957871-1006\Software\Wget
Otwórz Notatnik i wklej w nim to:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\swearware]
[-HKEY_USERS\S-1-5-21-3165466919-766411903-2151957871-1006\Software\Wget]
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.
fixa zrobiłem - niestety objawy bez zmian
W domu działało od zawsze, ale zaraz po zalogowaniu do sieci w pracy Spyware Doctor wycina sieć i opisuje to tak:
2008-03-27 12:17:19:312 OnGuard: zablokowano zdarzenie systemowe
Nazwa zagrozenia - Trojan-Downloader.Popuper
Szczególy - Spyware Doctor zablokowal próbe wykonania nastepujacej czynnosci przez aplikacje: zapisanie rejestr.
Poziom ryzyka - Wysokie
Infekcja - HKLM\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{0C3B1391-33CE-471C-B5A1-DA65F1F3C902}
HJT: http://wklej.org/id/138f113b6aCombo: http://www.wklej.org/id/4410885ac5Sieć zaczyna działać po recznej zmianie DNS-ów na operatorskie (lub po wyłączeniu Spyware Doctora, ale chyba nie o to chodzi). Z kolei szybki skan systemu przez Spyware Doctora daje takie wyniki:
2008-03-27 12:50:35:156 W tym komputerze wykryto infekcje
Nazwa zagrozenia - Application.NirCmd
Typ - Registry Value
Poziom ryzyka - Informacja
Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow
2008-03-27 12:50:35:156 W tym komputerze wykryto infekcje
Nazwa zagrozenia - Application.NirCmd
Typ - Registry Value
Poziom ryzyka - Informacja
Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs
2008-03-27 12:50:35:171 W tym komputerze wykryto infekcje
Nazwa zagrozenia - Application.NirCmd
Typ - Registry Value
Poziom ryzyka - Informacja
Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, snapshot
2008-03-27 12:50:35:187 W tym komputerze wykryto infekcje
Nazwa zagrozenia - Application.NirCmd
Typ - Registry Key
Poziom ryzyka - Informacja
Infekcja - HKEY_LOCAL_MACHINE\SOFTWARE\swearware
2008-03-27 12:50:35:640 W tym komputerze wykryto infekcje
Nazwa zagrozenia - Trojan.DNS_Changer
Typ - Registry Value
Poziom ryzyka - Wysokie
Infekcja - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
2008-03-27 12:50:35:640 W tym komputerze wykryto infekcje
Nazwa zagrozenia - Trojan.DNS_Changer
Typ - Registry Value
Poziom ryzyka - Wysokie
Infekcja - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\TCPIP\PARAMETERS, DhcpNameServer
2008-03-27 12:50:36:203 W tym komputerze wykryto infekcje
Nazwa zagrozenia - Trojan.Generic
Typ - Registry Key
Poziom ryzyka - Srednie
Infekcja - HKEY_USERS\S-1-5-21-3165466919-766411903-2151957871-1006\Software\Wget