swider Opublikowano 9 Października 2010 Zgłoś Udostępnij Opublikowano 9 Października 2010 Witam, Piszę do Was z takim problemem. MBAM znalazł tytułowego trojana (DNSChanger), ale nie może go usunąć. Obecność wirusa charakteryzowała się niemożnością aktualizacji programów antywirusowych i wchodzeniem na niektóre strony www. Problem ten zażegnałem wpisując ręcznie DNS'y (wcześniej były przypisywane automatycznie). Niestety trojan dalej pokazuje się w logach OTL'a i wykrywa go MBAM. Mój system to Windows 7 64bit (na moje nieszczęście) Poniżej logi z OTL'a: OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 9 Października 2010 Zgłoś Udostępnij Opublikowano 9 Października 2010 Prosze wkleić raport z MBAM. Odnośnik do komentarza
swider Opublikowano 9 Października 2010 Autor Zgłoś Udostępnij Opublikowano 9 Października 2010 Napiszę tylko, że w logach z OTL widać ukraińskiego DNS'a ( 85.255.115.67) w linijce: O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 85.255.115.67 192.168.0.1W raporcie MBAM widać zapis, że trojan został pomyslnie poddany kwarantannie lub usunięty niestety tak nie jest:mbam-log-2010-10-09 (17-39-27).txt Odnośnik do komentarza
Landuss Opublikowano 9 Października 2010 Zgłoś Udostępnij Opublikowano 9 Października 2010 Wiem, że widać. To może przez OTL pójdzie. Wklej taki skrypt w OTL: :OTL O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 85.255.115.67 192.168.0.1 :Commands [emptytemp] [emptyflash] Klikasz w Wykonaj skrypt. Nowe logi do oceny. Odnośnik do komentarza
swider Opublikowano 9 Października 2010 Autor Zgłoś Udostępnij Opublikowano 9 Października 2010 Niestety wykonanie skryptu nic nie dało. PS. Może jeszcze napiszę co robiłem do tej pory bo to ważne... tak więc: 1. usuwać przy pomocy MBAM, 2. opróżniać cache DNS, 3. usuwać przy pomocy OTL, 4. zmieniać ten wpis w Rejestrze przy pomocy Fix.Reg. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Października 2010 Zgłoś Udostępnij Opublikowano 12 Października 2010 Problem ten zażegnałem wpisując ręcznie DNS'y (wcześniej były przypisywane automatycznie). Niestety trojan dalej pokazuje się w logach OTL'a i wykrywa go MBAM. Serwery DNS bez trudu zmienia się wprost z interfesu dostępnego w Windows (KLIK) i to jest najprostsza droga do likwidacji bez kombinowania. Mówisz, że to wykonałeś i potwierdzasz "problem zażegnałem". Co ja odczytuję: programy się już aktualizują. Natomiast: To co jest w OTL oraz znajduje MBAM, to wartość DhcpNameServer a nie NameServer (KLIK), która ma parę IP, zły 85.255.115.67 oraz dobry 192.168.0.1. To oznacza infekcję relatywną do routera. Ten typ usuwa się z poziomu konfiguracji danego sprzętu: należy zalogować się do routera (w przeglądarce wklepując adres http://192.168.0.1) i tam właśnie wyresetować konfigurację DNS. Powinna być dostępna funkcja przełączenia na serwery dostawcy. Tu podaję przykład jak to wygląda w moim Belkin (DNS > opcja Automatic from ISP): Możliwa też metoda przez kompletny reset routera do ustawień fabrycznych. Mój system to Windows 7 64bit (na moje nieszczęście) Na czym polega "nieszczęście"? . Odnośnik do komentarza
swider Opublikowano 12 Października 2010 Autor Zgłoś Udostępnij Opublikowano 12 Października 2010 Dziękuję serdecznie za zajęcie się moim problemem. Powinna być dostępna funkcja przełączenia na serwery dostawcy. Tu podaję przykład jak to wygląda w moim Belkin (DNS > opcja Automatic from ISP):Możliwa też metoda przez kompletny reset routera do ustawień fabrycznych. Nie mogę znaleźć takiej opcji u siebie na routerze. Jedyne co zrobiłem to "usunąłem" te szkodliwe DNS'y i w tym momencie są same zera... ale chyba pomogło patrząc na logi z OTL. Poniżej zamieszczam zrzut z ekranu, z menu routera... i dodatkowo logi z OTL: Na czym polega "nieszczęście"? Z tego co mi wiadomo aplikacje do usuwania złośliwego oprogramowania nie działają do końca dobrze na systemach 64-bit.PS.Czy patrząc na logi, oprócz zaistniałego i zgłoszonego przeze mnie problemu, wszystko jest OK? OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 12 Października 2010 Zgłoś Udostępnij Opublikowano 12 Października 2010 Nie mogę znaleźć takiej opcji u siebie na routerze. Jedyne co zrobiłem to "usunąłem" te szkodliwe DNS'y i w tym momencie są same zera... ale chyba pomogło patrząc na logi z OTL. Poniżej zamieszczam zrzut z ekranu, z menu routera... U Ciebie odpowiednikiem mojej funkcji jest ta pierwsza opcja "Dynamic IP Address". Jeśli jednak miałeś od zawsze ustawienie typu statycznego i dokładne dane od dostawcy, to tego się trzymaj. Wygląda na to, że problem jest rozwiązany. Czy patrząc na logi, oprócz zaistniałego i zgłoszonego przeze mnie problemu, wszystko jest OK? W logach nie widzę nic związanego z infekcją. Ale: 1. Ważne pytanie: czy do tego routera jest podpięta większa liczba komputerów? Jeśli tak, przypuszczalnie zostały poddane temu samemu działaniu, mogą być zainfekowane, a malware może wyresetować ustawienia routera powtórnie. I w takiej sytuacji musisz po kolei sprawdzić każdy z komputerów. 2. Ważny krok zabezpieczający: zmień login w routerze i nie używaj domyślnych formuł. Więcej szczegółów o zabezpieczaniu routera przed tym typem infekcji w artykule autorstwa snemelk: KLIK. 3. Końcowe komentarze do raportów: Widzę obiekty od dodatkowo stosowanych narzędzi. Korzystanie ze SmitfraudFix oraz HijackThis na Windows 7 x64 bezsensowne. Hijacka wyrzuć i o nim zapomnij, zaś śmieci pozostawione po używaniu SmitfraudFix usuniesz opcją Sprzątanie w OTL. W programie Autoruns możesz skasować w karcie Services odpadek !SASCORE po SUPERAntispyware oraz w karcie Logon wpis Adobe Reader Speed Launcher kierujący do starszej wersji na innym dysku niż systemowy. Na koniec przeczyść sobie foldery Przywracania systemu: KLIK. Wygląda na to, że korzystasz ze starej wersji Tlen. Do wertowania opracowanie o komunikatorach: KLIK. Z tego co mi wiadomo aplikacje do usuwania złośliwego oprogramowania nie działają do końca dobrze na systemach 64-bit. Owszem, są pewne funkcje zabezpieczające (np. HIPS), które są mocno redukowane, ze względu na zabezpieczenia w kernelu na x64. Brak solidnych narzędzi do detekcji rootkitów w wersji natywnie 64-bitowej. Podobne ograniczenia tyczą jednak i malware. W zasadzie większość tego co teraz się pojawia na x64 to są infekcje 32-bitowe, czyli przechodzące przez emulację SysWow64 i w związku z tym nie mające identycznej wagi jak taka sama infekcja ale na systemie x86. Niestety mamy wyjątek, czyli rootkita w MBR potrafiącego obejść obostrzenia x64. Z drugiej strony, samo usuwanie infekcji nie nastręcza raczej trudności, teraz większość programów ma natywne wersje x64, a do pomocy na forum jak widać posiadamy zestaw analizerów umiejący wyciągać dane również z części stricte 64-bitowej. Do rootkita w MBR także mamy aplikacje. . Odnośnik do komentarza
swider Opublikowano 13 Października 2010 Autor Zgłoś Udostępnij Opublikowano 13 Października 2010 Wszystko zrobione wg instrukcji. Dziękuję ślicznie raz jeszcze za nieocenioną pomoc.Jedno pytanie tylko. Fakt, używam tlen'a w wersji 6, ale z tego co wiem to 7-ka jest przeznaczona na systemy 32-bit i jest jeszcze w fazie testów. Jest sens instalować? Odnośnik do komentarza
picasso Opublikowano 13 Października 2010 Zgłoś Udostępnij Opublikowano 13 Października 2010 Jedno pytanie tylko. Fakt, używam tlen'a w wersji 6, ale z tego co wiem to 7-ka jest przeznaczona na systemy 32-bit i jest jeszcze w fazie testów. Jest sens instalować? A skąd wiesz, że ja Cię ciągnę do wersji Tlen 7? Odkierowałam do tematu bez sugestii licząc, że sam dojdziesz do wniosków podobnych do moich. Miałam na uwadze całkiem inne obiekty: WTW lub Miranda. To są aplikacje z natywnym wsparciem na x64, bez reklam, mogą być portable oraz obsługują najnowszą wersję protokołu Gadu 8/10 (czego nie można powiedzieć o Tlen 6). Obsługa której z sieci w Tlen 6 (czyli Tlen i GG) jest dla Ciebie nadrzędna? Jeśli Tlen to prędzej WTW niż Miranda, jeśli Gadu to wybór zależy od tego który program bardziej przypadnie Ci do gustu. Wypróbuj je, to nic Cię nie będzie kosztować. Ja zaś wiem jak wygląda Tlen 6..... Odnośnik do komentarza
swider Opublikowano 13 Października 2010 Autor Zgłoś Udostępnij Opublikowano 13 Października 2010 (edytowane) A skąd wiesz, że ja Cię ciągnę do wersji Tlen 7? Ok, moja wina, źle zinterpretowałem Twoje słowa Odkierowałam do tematu bez sugestii licząc, że sam dojdziesz do wniosków podobnych do moich. Właśnie studiuję ten temat. Miałam na uwadze całkiem inne obiekty: WTW lub Miranda. To są aplikacje z natywnym wsparciem na x64, bez reklam, mogą być portable oraz obsługują najnowszą wersję protokołu Gadu 8/10 (czego nie można powiedzieć o Tlen 6). Obsługa której z sieci w Tlen 6 (czyli Tlen i GG) jest dla Ciebie nadrzędna? Jeśli Tlen to prędzej WTW niż Miranda, jeśli Gadu to wybór zależy od tego który program bardziej przypadnie Ci do gustu. Wypróbuj je, to nic Cię nie będzie kosztować. Ja zaś wiem jak wygląda Tlen 6..... Jasne, jasne... zainstaluje dzisiaj Mirandę i przetestuję Edytowane 16 Października 2010 przez picasso Temat rozwiązany, nie widzę dodatkowych pytań, zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi