Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Trojan.DNSChanger

swider

Przez swider
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

swider

swider

Opublikowano
Opublikowano

Witam,

 

Piszę do Was z takim problemem. MBAM znalazł tytułowego trojana (DNSChanger), ale nie może go usunąć. Obecność wirusa charakteryzowała się niemożnością aktualizacji programów antywirusowych i wchodzeniem na niektóre strony www. Problem ten zażegnałem wpisując ręcznie DNS'y (wcześniej były przypisywane automatycznie). Niestety trojan dalej pokazuje się w logach OTL'a i wykrywa go MBAM.

 

Mój system to Windows 7 64bit (na moje nieszczęście)

Poniżej logi z OTL'a:

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Problem ten zażegnałem wpisując ręcznie DNS'y (wcześniej były przypisywane automatycznie). Niestety trojan dalej pokazuje się w logach OTL'a i wykrywa go MBAM.

 

Serwery DNS bez trudu zmienia się wprost z interfesu dostępnego w Windows (KLIK) i to jest najprostsza droga do likwidacji bez kombinowania. Mówisz, że to wykonałeś i potwierdzasz "problem zażegnałem". Co ja odczytuję: programy się już aktualizują. Natomiast:

 

To co jest w OTL oraz znajduje MBAM, to wartość DhcpNameServer a nie NameServer (KLIK), która ma parę IP, zły 85.255.115.67 oraz dobry 192.168.0.1. To oznacza infekcję relatywną do routera. Ten typ usuwa się z poziomu konfiguracji danego sprzętu: należy zalogować się do routera (w przeglądarce wklepując adres http://192.168.0.1) i tam właśnie wyresetować konfigurację DNS. Powinna być dostępna funkcja przełączenia na serwery dostawcy. Tu podaję przykład jak to wygląda w moim Belkin (DNS > opcja Automatic from ISP):

 

routerdns.th.png

 

Możliwa też metoda przez kompletny reset routera do ustawień fabrycznych.

 

Mój system to Windows 7 64bit (na moje nieszczęście)

 

Na czym polega "nieszczęście"?

 

 

 

.

Odnośnik do komentarza
swider

swider

Opublikowano
  • Autor
Opublikowano

Dziękuję serdecznie za zajęcie się moim problemem.
 

Powinna być dostępna funkcja przełączenia na serwery dostawcy. Tu podaję przykład jak to wygląda w moim Belkin (DNS > opcja Automatic from ISP):

Możliwa też metoda przez kompletny reset routera do ustawień fabrycznych.

 
Nie mogę znaleźć takiej opcji u siebie na routerze. Jedyne co zrobiłem to "usunąłem" te szkodliwe DNS'y i w tym momencie są same zera... ale chyba pomogło patrząc na logi z OTL. Poniżej zamieszczam zrzut z ekranu, z menu routera... i dodatkowo logi z OTL:

routerg.th.jpg
 

Na czym polega "nieszczęście"?

 
Z tego co mi wiadomo aplikacje do usuwania złośliwego oprogramowania nie działają do końca dobrze na systemach 64-bit.

PS.
Czy patrząc na logi, oprócz zaistniałego i zgłoszonego przeze mnie problemu, wszystko jest OK?

OTL.Txt

Extras.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie mogę znaleźć takiej opcji u siebie na routerze. Jedyne co zrobiłem to "usunąłem" te szkodliwe DNS'y i w tym momencie są same zera... ale chyba pomogło patrząc na logi z OTL. Poniżej zamieszczam zrzut z ekranu, z menu routera...

 

U Ciebie odpowiednikiem mojej funkcji jest ta pierwsza opcja "Dynamic IP Address". Jeśli jednak miałeś od zawsze ustawienie typu statycznego i dokładne dane od dostawcy, to tego się trzymaj. Wygląda na to, że problem jest rozwiązany.

 

 

Czy patrząc na logi, oprócz zaistniałego i zgłoszonego przeze mnie problemu, wszystko jest OK?

 

W logach nie widzę nic związanego z infekcją. Ale:

 

1. Ważne pytanie: czy do tego routera jest podpięta większa liczba komputerów? Jeśli tak, przypuszczalnie zostały poddane temu samemu działaniu, mogą być zainfekowane, a malware może wyresetować ustawienia routera powtórnie. I w takiej sytuacji musisz po kolei sprawdzić każdy z komputerów.

 

2. Ważny krok zabezpieczający: zmień login w routerze i nie używaj domyślnych formuł. Więcej szczegółów o zabezpieczaniu routera przed tym typem infekcji w artykule autorstwa snemelk: KLIK.

 

3. Końcowe komentarze do raportów:

  • Widzę obiekty od dodatkowo stosowanych narzędzi. Korzystanie ze SmitfraudFix oraz HijackThis na Windows 7 x64 bezsensowne. Hijacka wyrzuć i o nim zapomnij, zaś śmieci pozostawione po używaniu SmitfraudFix usuniesz opcją Sprzątanie w OTL.
  • W programie Autoruns możesz skasować w karcie Services odpadek !SASCORE po SUPERAntispyware oraz w karcie Logon wpis Adobe Reader Speed Launcher kierujący do starszej wersji na innym dysku niż systemowy.
  • Na koniec przeczyść sobie foldery Przywracania systemu: KLIK.
  • Wygląda na to, że korzystasz ze starej wersji Tlen. Do wertowania opracowanie o komunikatorach: KLIK.

Z tego co mi wiadomo aplikacje do usuwania złośliwego oprogramowania nie działają do końca dobrze na systemach 64-bit.

 

Owszem, są pewne funkcje zabezpieczające (np. HIPS), które są mocno redukowane, ze względu na zabezpieczenia w kernelu na x64. Brak solidnych narzędzi do detekcji rootkitów w wersji natywnie 64-bitowej.

Podobne ograniczenia tyczą jednak i malware. W zasadzie większość tego co teraz się pojawia na x64 to są infekcje 32-bitowe, czyli przechodzące przez emulację SysWow64 i w związku z tym nie mające identycznej wagi jak taka sama infekcja ale na systemie x86. Niestety mamy wyjątek, czyli rootkita w MBR potrafiącego obejść obostrzenia x64.

 

Z drugiej strony, samo usuwanie infekcji nie nastręcza raczej trudności, teraz większość programów ma natywne wersje x64, a do pomocy na forum jak widać posiadamy zestaw analizerów umiejący wyciągać dane również z części stricte 64-bitowej. Do rootkita w MBR także mamy aplikacje.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jedno pytanie tylko. Fakt, używam tlen'a w wersji 6, ale z tego co wiem to 7-ka jest przeznaczona na systemy 32-bit i jest jeszcze w fazie testów. Jest sens instalować?

 

A skąd wiesz, że ja Cię ciągnę do wersji Tlen 7? tongue.gif Odkierowałam do tematu bez sugestii licząc, że sam dojdziesz do wniosków podobnych do moich. Miałam na uwadze całkiem inne obiekty: WTW lub Miranda. To są aplikacje z natywnym wsparciem na x64, bez reklam, mogą być portable oraz obsługują najnowszą wersję protokołu Gadu 8/10 (czego nie można powiedzieć o Tlen 6). Obsługa której z sieci w Tlen 6 (czyli Tlen i GG) jest dla Ciebie nadrzędna? Jeśli Tlen to prędzej WTW niż Miranda, jeśli Gadu to wybór zależy od tego który program bardziej przypadnie Ci do gustu.

 

Wypróbuj je, to nic Cię nie będzie kosztować. Ja zaś wiem jak wygląda Tlen 6.....

Odnośnik do komentarza
swider

swider

Opublikowano
  • Autor
Opublikowano (edytowane)

A skąd wiesz, że ja Cię ciągnę do wersji Tlen 7? :P

Ok, moja wina, źle zinterpretowałem Twoje słowa :)

 

Odkierowałam do tematu bez sugestii licząc, że sam dojdziesz do wniosków podobnych do moich.

Właśnie studiuję ten temat.

 

Miałam na uwadze całkiem inne obiekty: WTW lub Miranda. To są aplikacje z natywnym wsparciem na x64, bez reklam, mogą być portable oraz obsługują najnowszą wersję protokołu Gadu 8/10 (czego nie można powiedzieć o Tlen 6). Obsługa której z sieci w Tlen 6 (czyli Tlen i GG) jest dla Ciebie nadrzędna? Jeśli Tlen to prędzej WTW niż Miranda, jeśli Gadu to wybór zależy od tego który program bardziej przypadnie Ci do gustu.

 

Wypróbuj je, to nic Cię nie będzie kosztować. Ja zaś wiem jak wygląda Tlen 6.....

Jasne, jasne... zainstaluje dzisiaj Mirandę i przetestuję :)

Edytowane przez picasso
Temat rozwiązany, nie widzę dodatkowych pytań, zamykam. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...