Trojan DNS Changer

[Zoozka]

Witam, mam win.8.1- 64bit i od kilku dni walczę z DNS Changerem. Wykrywa go tylko Malwarebytes Anti-Malware:

Trojan.DNSChanger, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS|DhcpNameServer, 91.212.124.159 8.8.8.8, Dobry: (), Zły: (91.212.124.159),Zastąpiono,[a7aaa651b9d081b5844c5e4eee1759a7]

Trojan.DNSChanger, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS\Interfaces\{673D3904-FC28-48A9-92DC-F21F62719D7C}|DhcpNameServer, 91.212.124.159 8.8.8.8, Dobry: (), Zły: (91.212.124.159),Zastąpiono,[d67b47b099f050e624ac76364cb94db3]

 

Ani AVG ani Stopzilla ani CCleaner ani ADWcleaner ani też inne dostępne mi narzędzia nic nie widzą. Malwerbytes niby znajduje trojana w danych w rejestrze i poddaje kwarantannie, następnie usuwa ale problem co chwila wraca a sam program wyświetla tylko "dymki zablokowano dostęp do podejrzanej strony IP 91.212.124.159", porty są różne. Resetowałam ustawienia routera- wszędzie hasła i wstawiłam bezpieczne DNSy 8.8.8.8 i 8.8.4.4. Co ciekawe dymki Malwarebytes występują tylko przy podpięciu laptopa do sieci kablem. Przez router laptop działa dobrze ale z kolej przy przeglądaniu internetu w komórce przez wifi czasem pojawiają się niechciane strony xxx.

 

Dodam tylko, że nie jestem super biegła w tematach podmiany plików w rejestrze, zaglądałam tam zgodnie ze ścieżką trojana ale nie widzę nic niepokojącego, dnsy na moje oko w porządku. W załączeniu logi.

 

Pomożecie? Blondynką nie jestem ale będę wdzięczna za prosty język podpowiedzi

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

MBAM nie potrafi tego zlikwidować, bo to nie jest infekcja na poziomie Windows. Wartości DhcpNameServer to ustawienia DNS pobierane z routera i jest tu infekcja w routerze. Nie pomogą żadne skanery / fixy / naprawy spod Windows, jest konieczne czyszczenie innego urządzenia. Widzę, że próbując naprawiać problem stosowałaś straszny archaizm Fixwareout - to aplikacja sprzed wielu lat i służy do usuwania infekcji, która już nie występuje w przyrodzie.

 

Resetowałam ustawienia routera- wszędzie hasła i wstawiłam bezpieczne DNSy 8.8.8.8 i 8.8.4.4. Co ciekawe dymki Malwarebytes występują tylko przy podpięciu laptopa do sieci kablem.

Czy był zamykany dostęp do panelu od strony internetu? Zmiana haseł nie wystarczy. Poza tym: czy jest jeszcze jakieś urządzenie poza routerem (modem)?

 

 

Do wdrożenia następujące operacje - tylko punkt numer 1 jest związany z usuwaniem infekcji, reszta to poboczne działania:

 

1. Zaloguj się do routera:

• Zmień ustawienia DNS na adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: ponownie zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Odinstaluj zbędny wątpliwy skaner STOPzilla. Następnie otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [LManager] => [X]
HKU\S-1-5-21-417449669-2771163209-2432074822-1002\Software\Classes\.exe: exefile => 
HKU\S-1-5-21-417449669-2771163209-2432074822-1002\Software\Classes\exefile: 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-417449669-2771163209-2432074822-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKU\S-1-5-21-417449669-2771163209-2432074822-1002\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKU\S-1-5-21-417449669-2771163209-2432074822-1002 -> {3E1EE27D-1E67-49BA-9995-5A1BA4FDB8BD} URL =
Task: {864523AE-FEC3-4A2F-99EE-640EFFF4AA56} - System32\Tasks\{46792F03-8174-4687-9447-6C85D7E0A35E} => pcalua.exe -a "C:\Program Files (x86)\WildGames\uninstall.exe" -d "C:\Program Files (x86)\WildGames"
S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X]
C:\fixwareout
C:\ProgramData\cisFF22.exe
C:\ProgramData\Temp
C:\Users\ZOOZKA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\724e6c6e1aea27c4\COMODO Antivirus.lnk
CMD: ipconfig /flushdns
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Start GeekBuddy.lnk" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AdobeAAMUpdater-1.0 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BtPreLoad /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ETDCtrl /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Creative Cloud" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RadioController /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v tvncontrol /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v PrivDogService /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ETDCtrl /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NTRedirect /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v CCleaner /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[Zoozka]

Dzięki,  zabrałam się za realizację wskazówek- od razu zonk- nie mogę zalogować się na router. Musiałam zrobić reset i ustawiać od nowa. Poustawiałam nowe hasła, łącznie z WPA/WPA2 - Personal(Recommended) do tego IP routera i DNSy. Nie wiem co zrobić z opcją DHCP Serwer. NA razie jest Enable i ustawione tam właściwe DNSY.

 

Zabezpieczyłam dostęp z zewnątrz- przez Security/Rrmote Management- mam tam domyślnie ustawiony port 80 i Remote Management IP Address: 0.0.0.0.. Do tego w Security/Local Management ustawiony MAC adres mojego komputera jako zarządzającego. Mam nadzieję, że jest to wystarczające ustawienie. Obawiam się trochę instalowania alternatywnego oprogramowania routera, wiec zapisałam ustawienia routera do pliku i spróbuję zauktualizować oprogramowanie routera.

Co do innych urządzeń mam switch tp-link tl-sf1005d (niezbędny, związany z kamerami dookoła domu).

[picasso]

Wydaje się, że wszystko zostało skonfigurowane jak należy - czy sprawdzałaś test online? Powinien zwrócić brak dostępu. Wykonaj resztę zadań pobocznych i zgłoś się tu z podsumowaniem czy problemy z komunikatami MBAM nadal występują.

[Zoozka]

Niestety muszę jeszcze powalczyć z ustawieniami- test wychodzi nagatywnie: Twoje urządzenie jest podatne na ataki z Internetu . skontaktuj się z producentem/dystrybutorem modemu.

[picasso]

Hmm, poniżej wdrożone ustawienie powinno być wystarczające do zamknięcia dostępu. Ustawienia się na pewno zapisały?

 

Zabezpieczyłam dostęp z zewnątrz- przez Security/Remote Management- mam tam domyślnie ustawiony port 80 i Remote Management IP Address: 0.0.0.0..

Z jakim dokładnie modelem routera mamy do czynienia?

[Zoozka]

router TP LINK TL-MR3220. Zapisałam do piku ustawienia, potem zaktualizowałam oprogramowanie- oczywiście router się zresetował ale wczytało plik z ustawieniami. Wyłączyłam DHCP ale nie pomaga. Test dalej negatywny. 

[wojsmol]

Zoozka Sprawdź wersję sprzętową routera według instrukcji obrazkowej dostępnej na tej stronie.

[Zoozka]

Stąd właśnie ściągałam aktualizację- na naklejce routera mam ver. 1.2- ściągnęłam więc dedykowaną akt.  TL-MR3220 V1.

[michaelll732]

Nie zapomnialas o tym Krok 2 http://www.tp-link.com.pl/article/?faqid=568

[picasso]

michaelll732

 

W modelu TP-LINK TL-MR3220 odpowiednikiem tej konfiguracji jest już wykonana edycja, czyli Security > Remote Management > IP ustawione na zera.

 

 

Zoozka

 

Rekonfiguracja powyższej opcji "Remote Management" powinna zamknąć dostęp typu zdalnego. Ale jeszcze można ograniczyć dostęp lokalny. Wg symulatora interfejsu jest też sekcja Security > Local Management i tu można ograniczyć poprzez przełączenie z "All the PCs on the LAN are allowed to access the Router's Web-Based Utility" na "Only the PCs listed can browse the built-in web pages to perform Administrator tasks" (trzeba wpisać adresy MAC).

Poza tym, możesz się skontaktować z producentem routera w celu wyjaśnienia kwestii. Ja nie widzę obecnie przyczyny dlaczego test online zwraca takie wyniki (przy założeniu, że edycje zaimportowane po upgradzie firmware się utrzymały).

 

Moim pytaniem jest: czy po przeprowadzonych działaniach MBAM nadal zgłasza zmienione DNS?

[Zoozka]

Jak pisałam wcześniej, zabezpieczyłam już dostęp do panelu routera MAC-em swojego komputera. Nic to nie dało. Dziś nie mogę się zalogować do routera, internet jest bo na kablu wszystko działa, tyle że jak włączam kabel do routera (WAN), to połączenie jest ograniczone, niby komputer usiłuje się połączyć z routerem, jednak po wpisaniu hasła lub wciśnięciu przycisku na routerze by załadował ustawienia znów połączenie ograniczone. Co ciekawe podpięcie kabla pod LAN powoduje, że internet jest.

Zresetowałam znowu router ale bez powodzenia, nawet na zresetowanym łącze jest ograniczone i nie mogę zalogować się na router. 

Posiedzę jeszcze dziś i jeśli nic się nie uda, poszukam fachowca- trochę mi będzie nieswojo, bo zawsze udawało mi się wszystko zrobić samej ale cóż... Może po prostu router jest walnięty... 

MBAM nadal wykrywa ale zgodnie z wytycznymi nie robiłam pkt.2 zanim nie uporam się z pkt.1

[Zoozka]

Router zresetowany i wreszcie udało się połączyć i przywrócić konfig. Walczę dalej z ustawieniami Czy póki nr 1 się nie uda nie powinnam robić nr2? Bo jeśli test zabezpieczeń pamięta wcześniejsze ustawienia...

 

 

W WAN Connection Type mam ustawiony dynamiczny IP. Może zmienić na statyczny, tyle że jak podam IP mojego laptopa, to pewnie drugi się nie będzie łączył. Myślałam jeszcze o ustawieniu wszystkich możliwych adresów MAC które będą mogły korzystać z wifi. Ale czy to coś zmieni w kwestii dostępu do panelu?

Nie jestem też pewna ustawień DHCP, czy powinno był włączone... jest tam pole Start IP Address: i End IP Address: oraz Default Gateway: gdzie jest wpisane IP mojego routera.

do tego dobre porty.

W menu DHCP list jest MAC mojego komputera i przyznane IP (takie same jak Start IP Address). Mniemam, że ta opcja odpowiada właśnie za przyznawanie dynamicznego IP.

 

 

Tak czy siak, dzięki wszystkim za usiłowanie pomocy

[picasso]

Zoozka, jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić wypowiedź, proszę stosuj funkcję Edytuj,, zamiast pisać post pod postem. Skleiłam powyższe odpowiedzi.

 

Wracając do problemu: nie wiem do końca jakie elementy bierze pod uwagę ten test online, choć wydawało mi się, że test jest wykonywany pod kątem właśnie owego "Remote". Moim zdaniem po wyczyszczeniu DNS, upgradzie firmware oraz wykonaniu edycji w Remote Management + Local Management w połączeniu ze zmianą haseł na niestandardowe nie ma co więcej konfigurować i nie wiem dlaczego to nie jest skuteczne w Twoim przypadku. Jeśli nadal jest problem z wynikami testu oraz MBAM uporczywie zgłaszającym próby podmiany DNS, to nasuwa się:

- Nowszy firmware może być "stary", tzn. i tak nie mieć zabezpieczenia. W takim przypadku można rozważać wymianę oprogramowania alternatywą w rodzaju DD-WRT lub OpenWrt.

- Kontakt z producentem routera / dostawcą sieciowym w celu wyjaśnienia tego faktu.

- Wymiana routera na bezpieczniejszy out-of-box model...