[Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

[Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được.

[Question] [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được.	10/12/2008 15:21:49 (+0700) \| #1 \| 161918

nlfb
Journalist

Joined: 09/07/2003 16:41:21
Messages: 1175
Location: HCM
Offline

Chào mọi người, hôm nay em ngồi phát hiện AVG thông báo không thể update được, nghĩ do DNS củ chuối của VN nữa nên em vào modem đổi DNS trỏ về của OpenDNS, thế nhưng repair lại IP trong máy tính thì phát hiện máy có cái DNS Server hơi bị lạ, trích lại từ lệnh ipconfig /all

DHCP Server . . . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : 85.255.116.76
85.255.112.197

Em đã vào card mạng thì thấy trong mục Preffered DNS đã được chọn sẵn là 85.255.116.76 (em không hề chọn cái này), thử chọn Optain và đóng lại, mở lên vẫn y như cũ, k có vấn đề gì thay đổi, nghi ngờ mình bị nhiễm phải một loại trojan làm đổi DNS Server em dùng Hijack this thì có vài key lạ:

O17 - HKLM\System\CCS\Services\Tcpip\..\{7CB320C4-1C30-446E-9416-3B6F75A45066}: NameServer = 85.255.116.76;85.255.112.197
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.76;85.255.112.197
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.76;85.255.112.197
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.76;85.255.112.197

Chuyển qua dùng SmitFraudFix v2.381 search thử thì báo

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

Description: Realtek RTL8169/8110 Family Gigabit Ethernet NIC - Packet Scheduler Miniport
DNS Server Search Order: 85.255.116.76;85.255.112.197

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7CB320C4-1C30-446E-9416-3B6F75A45066}: DhcpNameServer=208.67.222.222 208.67.220.220
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7CB320C4-1C30-446E-9416-3B6F75A45066}: NameServer=85.255.116.76;85.255.112.197
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7CB320C4-1C30-446E-9416-3B6F75A45066}: DhcpNameServer=208.67.222.222 208.67.220.220
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7CB320C4-1C30-446E-9416-3B6F75A45066}: NameServer=85.255.116.76;85.255.112.197
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7CB320C4-1C30-446E-9416-3B6F75A45066}: DhcpNameServer=208.67.222.222 208.67.220.220
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=208.67.222.222 208.67.220.220
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.76;85.255.112.197
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=208.67.222.222 208.67.220.220
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.76;85.255.112.197
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=208.67.222.222 208.67.220.220

Em đã thử đủ cả, quét virus bằng AVG, chạy SmitFraudFix, SDFix trên nền safe mode nhưng hầu như vẫn không được, tình trạng này vẫn tiếp diễn. Xin được truyền một số kinh nghiệm trong việc này. smilie

PS: Theo một nguồn em search ra được thì có trường hợp bị tương tự như em do cùng cài một cái game là World Of warcraft.

[Question] Re: [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được.	10/12/2008 22:47:41 (+0700) \| #2 \| 161925

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

nlfb thử post list các process đang chạy và autorun lên đây xem.
Vừa search qua thử cái DNS, đúng là của malware:
http://forums.majorgeeks.com/showthread.php?p=917983
http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Windows/XP/Q_23177638.html

[Question] Re: [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được.	10/12/2008 23:38:36 (+0700) \| #3 \| 161931

jforum3000
Member

Joined: 26/08/2007 02:53:39
Messages: 1172
Offline

Hôm nọ, mình cũng bị một con tương tự vậy, đã quét virus, spyware, tìm diệt các process tự chạy lúc khởi động, thậm chí repair lại Win mà cũng vẫn không hết.

[Question] Re: [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được.	10/12/2008 23:48:06 (+0700) \| #4 \| 161933

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Thông tin cung cấp đó chỉ biết là máy đó bị, còn log hijackthis thì thiếu như thế, nhìn vào chỉ biết được là máy bị dính. Thông tin đầy đủ đê.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...

[Question] Re: [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được.	11/12/2008 00:16:54 (+0700) \| #5 \| 161935

mrhoangha
Member

Joined: 31/07/2008 18:40:28
Messages: 484
Offline

Trường hợp này mình cũng đã gặp, sau khi nghe mô tả lỗi, hd dẫn người ta kiểm tra thì được kết quả trả về là : DNSTool . Không biết nó là cái gì nhưng sau khi gỡ nó ra thì mọi thứ bình thường.

[Question] Re: [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được.	11/12/2008 00:40:49 (+0700) \| #6 \| 161937

KiemKhach
Member

Joined: 12/02/2004 18:10:21
Messages: 24
Offline

Con virus này McAfee đã phát hiện và diệt được, tên của nó là DNSChanger.pi
Link : http://vil.nai.com/vil/content/v_143355.htm

- Với con virus này có thể cài chương trình diệt virus của McAfee để diệt.
- Có thể diệt bằng tay theo cách sau đây:
1. Turn off chế độ System restore.
2. Cài đặt và cập nhật phiên bản diệt virus mới nhất( hiện nay McAfee đã có phiên bản Virus Scan 8.7)
3. Chạy và quét toàn bộ hệ thống.
4. Khởi động lại máy và thay đổi lại các khóa trong registry mà con trojan này đã tạo ra.Cụ thể như sau:
- Nó thay đổi các khóa sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System: "[random].exe"
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer: "85.255.115.30,85.255.112.184"
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer:
"85.255.115.30,85.255.112.184"
- Sửa lại thành default như ban đầu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer: …..
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer:….
- Đồng thời nó cũng tạo thêm các khóa sau:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
sware = "%ProgramFiles%\WinMsg\SWARE.EXE"
bal = 43 3A 5C 50 72 6F 67 72 61 6D 20 46 69 6C 65 73 5C 57 69 6E 4D 73 67 5C 53 59 53 4D 4F 4E 4D 53 2E
45 58 45 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SelectiveAdmission]
UninstallString = ""%ProgramFiles%\SelectiveAdmission\Uninstall.exe""
InstallLocation = "%ProgramFiles%\SelectiveAdmission"
DisplayName = "SelectiveAdmission"
DisplayIcon = "%ProgramFiles%\SelectiveAdmission\Uninstall.exe,0"
NoModify = 0x00000001
NoRepair = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
PendingFileRenameOperations = 5C 3F 3F 5C 43 3A 5C 44 4F 43 55 4D 45 7E 31 5C 55 73 65 72 4E 61 6D 65
5C 4C 4F 43 41 4C 53 7E 31 5C 54 65 6D 70 5C 6E 73 72 33 2E 74 6D 70 5C 45 78 65 63 44 6F 73 2E 64 6C 6C
00 00 5C 3F 3F 5C 43 3A 5C 44 4F 43 55 4D 45 7E 31 5C 55 73 65 72 4E 61 6
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
PendingFileRenameOperations = 5C 3F 3F 5C 43 3A 5C 44 4F 43 55 4D 45 7E 31 5C 55 73 65 72 4E 61 6D 65
5C 4C 4F 43 41 4C 53 7E 31 5C 54 65 6D 70 5C 6E 73 72 33 2E 74 6D 70 5C 45 78 65 63 44 6F 73 2E 64 6C 6C
00 00 5C 3F 3F 5C 43 3A 5C 44 4F 43 55 4D 45 7E 31 5C 55 73 65 72 4E 61 6
[HKEY_CURRENT_USER\Software\SelectiveAdmission]
(Default) = "%ProgramFiles%\SelectiveAdmission"
Start Menu Folder = "SelectiveAdmission"
xóa các khóa này đi.
- Nó cũng thay đổi các khóa sau:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
NavigationFailure = "http://safe-strip-download.com/soft/in.cgi?5&group=sta"
NavigationCanceled = "http://safe-strip-download.com/soft/in.cgi?5&group=sta"
Default: NavigationFailure = "res://shdoclc.dll/navcancl.htm"
NavigationCanceled = "res://shdoclc.dll/navcancl.htm"
[HKEY_CURRENT_USER\Control Panel\Desktop]
Wallpaper = "%Temp%\sdw_wall.bmp"
Default:C:\Document and Settings\tên máy\Local Setting\Application Data\ Microsoft\ Wallpaper1.bmp
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = "http://safe-strip-download.com/soft/in.cgi?5&group=sta"
Default: Start Page = " res://shdoclc.dll/hardAdmin.htm "
Search Page = "http://safe-strip-download.com/soft/in.cgi?5&group=sta"
Default: Search Page= “http://www.microsoft.com/isapi/www.dll?prd=ie&ar=iesearch”
cần xóa các khóa này đi và đổi về mặc định nếu nó thay đổi
- Xóa các file sinh ra trong ổ đĩa:
%Temp%\hqcodec1236.exe
%Temp%\hqcodec1347.exe
%Temp%\megacodec1342.exe
5. Cần thay đổi lại về default cho DNS server và TCP/IP cho máy trong mục Connnection Network.

[Question] Re: [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được.	11/12/2008 05:34:43 (+0700) \| #7 \| 161951

nlfb
Journalist

Joined: 09/07/2003 16:41:21
Messages: 1175
Location: HCM
Offline

C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\FlashGet\FlashGet.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
E:\UniKey4\UniKey.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\Program Files\Kool\Kool.exe
C:\Program Files\Kool\KooH.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Documents and Settings\xuanthanh\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.garena.com/portal/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetdownloadmanager.com/welcome.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Flashget] "C:\Program Files\FlashGet\FlashGet.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [UniKey] E:\UniKey4\UniKey.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [VoxOx] C:\Program Files\VoxOx\voxox.exe
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Startup: KooH.lnk = C:\Program Files\Kool\KooH.exe
O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CB320C4-1C30-446E-9416-3B6F75A45066}: NameServer = 85.255.116.76;85.255.112.197
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.76;85.255.112.197
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.76;85.255.112.197
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.76;85.255.112.197
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

--
End of file - 6482 bytes

Đây là full log của Hijackthis, đã dùng rất nhiều tool như kể trên, thêm cả Antivir, Portable Kaspersky 7, quét đều không thấy gì, sửa key như bác kiemkhach thì sửa xong vào lại hiện lên, có lần sửa key được, vào refresh DNS nó hiện lên của openDNS thế nhưng dường như còn cái tập tin nào đấy can thiệp vào ngay smilie

[Question] Re: [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được.	11/12/2008 09:08:44 (+0700) \| #8 \| 161973

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

AVG thông báo không thể update được

Có thể Host file có vài dòng 127.0.0.1 cho một số trang web cập nhật chống malware, update thất bại.

CCS,Cs2,cs3

user nào cũng bị như nhau.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

You may also need to set the value of 'ProxyEnable' to equal '1' for proxy
enabled or '0' for disabled. Cái này cũng tham gia vào chuyện gây hại.

Kiểm tra thông tin như mr Levuhoang nói, bỏ cái dòng proxyEnable đó hoặc chỉnh như thông tin từ Microsoft. Ngoài ra còn 1 cái tool người ta hay sài(trong trường hợp không biết sài lệnh netsh) để reset winsock là WinsockxpFix.

Go to:

Users currently in here
1 Anonymous