Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Trojan.DNS.changer


  • This topic is locked This topic is locked
2 replies to this topic

#1 slaw

slaw

  • Members
  • 3 posts
  • OFFLINE
  •  
  • Local time:01:39 AM

Posted 13 June 2009 - 02:28 PM

Hi,
From a few days I cannot update Windows Vista and Kaspersky. Something is changing DNS in my internet connection. Malwarebytes' Anti-Malware always finding Trojan DNS Changer in registry but after deleting and rebooting the system the Trojan is back. Advice me please what can I do.
I was tying update Kaspersky manually but I cannot connect with kasperskys server. The Antivirus Data base is out of date and it cannot find anything on my laptop.

There are my logs:
------------------------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:04, on 2009-06-13
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Acer\OrbiCam10\OrbiCam.exe
C:\Windows\System32\rundll32.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Sławek\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [AcerOrbicamRibbon] "C:\Program Files\Acer\OrbiCam10\OrbiCam.exe" /hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Startup: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Dodaj do listy blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Wyślij obraz do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Wyślij stronę do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoftGuard Service (SG_Service) - Unknown owner - C:\Program Files\Common Files\RbtProt\sgsrv.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 7092 bytes

-------------------------------------------------------------------------
Fullscan with malwarebytes

Malwarebytes' Anti-Malware 1.37
Wersja bazy definicji: 2182
Windows 6.0.6001 Service Pack 1

2009-06-13 07:34:36
mbam-log-2009-06-13 (07-34-36).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|)
Przeskanowane obiekty: 304793
Upłynęło: 54 minute(s), 55 second(s)

Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 0
Zainfekowane wartości rejestru: 0
Zainfekowane pliki rejestru: 6
Zainfekowane foldery: 0
Zainfekowane pliki: 0

Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:
(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:
(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.85 85.255.112.147 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e0499044-5029-4f41-8816-6335943b694f}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.85 85.255.112.147 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.85 85.255.112.147 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{e0499044-5029-4f41-8816-6335943b694f}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.85 85.255.112.147 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.85 85.255.112.147 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{e0499044-5029-4f41-8816-6335943b694f}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.85 85.255.112.147 -> Quarantined and deleted successfully.

Zainfekowane foldery:
(Nie wykryto groźnych plików)

Zainfekowane pliki:
(Nie wykryto groźnych plików)

Malwarebytes is In polish language. Hopefully is not confusing too much.


Nazwa hosta . . . . . . . . . . . : Slaw-Laptop
Sufiks podstawowej domeny DNS . . :
Typ węzła . . . . . . . . . . . . : Hybrydowy
Routing IP włączony . . . . . . . : Nie
Serwer WINS Proxy włączony. . . . : Nie

Karta bezprzewodowej sieci LAN Połączenie sieci bezprzewodowej:

Stan nośnika . . . . . . . . . . .: Nośnik odłączony
Sufiks DNS konkretnego połączenia :
Opis. . . . . . . . . . . . . . . : Intel® PRO/Wireless 3945ABG Network Con
nection
Adres fizyczny. . . . . . . . . . : 00-18-DE-55-14-18
DHCP włączone . . . . . . . . . . : Tak
Autokonfiguracja włączona . . . . : Tak

Karta Ethernet Połączenie lokalne:

Sufiks DNS konkretnego połączenia :
Opis. . . . . . . . . . . . . . . : Broadcom NetLink ™ Gigabit Ethernet
Adres fizyczny. . . . . . . . . . : 00-1B-38-72-5E-D0
DHCP włączone . . . . . . . . . . : Tak
Autokonfiguracja włączona . . . . : Tak
Adres IPv6 połączenia lokalnego . : fe80::d09b:3462:7e92:658%8(Preferowane)
Adres IPv4. . . . . . . . . . . . . : 192.168.1.101(Preferowane)
Maska podsieci. . . . . . . . . . : 255.255.255.0
Dzierżawa uzyskana. . . . . . . . : 13 czerwca 2009 19:48:40
Dzierżawa wygasa. . . . . . . . . : 14 czerwca 2009 19:48:40
Brama domyślna. . . . . . . . . . : 192.168.1.1
Serwer DHCP . . . . . . . . . . . : 192.168.1.1
Serwery DNS . . . . . . . . . . . : 85.255.116.85
85.255.112.147
NetBIOS przez Tcpip . . . . . . . : Włączony

Karta tunelowa Połączenie lokalne* 2:

Stan nośnika . . . . . . . . . . .: Nośnik odłączony
Sufiks DNS konkretnego połączenia :
Opis. . . . . . . . . . . . . . . : isatap.{E0499044-5029-4F41-8816-6335943B6
94F}
Adres fizyczny. . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP włączone . . . . . . . . . . : Nie
Autokonfiguracja włączona . . . . : Tak

Karta tunelowa Połączenie lokalne* 7:

Stan nośnika . . . . . . . . . . .: Nośnik odłączony
Sufiks DNS konkretnego połączenia :
Opis. . . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Adres fizyczny. . . . . . . . . . : 02-00-54-55-4E-01
DHCP włączone . . . . . . . . . . : Nie
Autokonfiguracja włączona . . . . : Tak

Karta tunelowa Połączenie lokalne* 11:

Stan nośnika . . . . . . . . . . .: Nośnik odłączony
Sufiks DNS konkretnego połączenia :
Opis. . . . . . . . . . . . . . . : isatap.{D7BFA567-C3E8-436B-8CBA-C3C1C7546
C5E}
Adres fizyczny. . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP włączone . . . . . . . . . . : Nie
Autokonfiguracja włączona . . . . : Tak

Karta tunelowa Połączenie lokalne* 12:

Stan nośnika . . . . . . . . . . .: Nośnik odłączony
Sufiks DNS konkretnego połączenia :
Opis. . . . . . . . . . . . . . . : isatap.{6FDB9FEA-1B5C-440F-8E3A-5FB3BB18F
BD4}
Adres fizyczny. . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP włączone . . . . . . . . . . : Nie
Autokonfiguracja włączona . . . . : Tak

Karta tunelowa Połączenie lokalne* 13:

Stan nośnika . . . . . . . . . . .: Nośnik odłączony
Sufiks DNS konkretnego połączenia :
Opis. . . . . . . . . . . . . . . : isatap.{2583C501-1F1E-4A1C-A71A-49DF0D462
E5A}
Adres fizyczny. . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP włączone . . . . . . . . . . : Nie
Autokonfiguracja włączona . . . . : Tak
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 85.255.116.85

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

Badanie google.com [74.125.45.100] z 32 bajtami danych:
Odpowiedź z 74.125.45.100: bajtów=32 czas=558ms TTL=47
Odpowiedź z 74.125.45.100: bajtów=32 czas=562ms TTL=47

Statystyka badania ping dla 74.125.45.100:
Pakiety: Wysłane = 2, Odebrane = 2, Utracone = 0 (0% straty),
Szacunkowy czas błądzenia pakietów w millisekundach:
Minimum = 558 ms, Maksimum = 562 ms, Czas średni = 560 ms
===========================================================================
Lista interfejsów
9 ...00 18 de 55 14 18 ...... Intel® PRO/Wireless 3945ABG Network Connection

8 ...00 1b 38 72 5e d0 ...... Broadcom NetLink ™ Gigabit Ethernet
1 ........................... Software Loopback Interface 1
21 ...00 00 00 00 00 00 00 e0 isatap.{E0499044-5029-4F41-8816-6335943B694F}
13 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface
20 ...00 00 00 00 00 00 00 e0 isatap.{D7BFA567-C3E8-436B-8CBA-C3C1C7546C5E}
18 ...00 00 00 00 00 00 00 e0 isatap.{6FDB9FEA-1B5C-440F-8E3A-5FB3BB18FBD4}
19 ...00 00 00 00 00 00 00 e0 isatap.{2583C501-1F1E-4A1C-A71A-49DF0D462E5A}
===========================================================================

Tabela tras IPv4
===========================================================================
Aktywne trasy:
Miejsce docelowe w sieci Maska sieci Brama Interfejs Metryka
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.101 20
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.0.0 255.255.0.0 On-link 192.168.1.101 30
169.254.255.255 255.255.255.255 On-link 192.168.1.101 276
192.168.1.0 255.255.255.0 On-link 192.168.1.101 276
192.168.1.101 255.255.255.255 On-link 192.168.1.101 276
192.168.1.255 255.255.255.255 On-link 192.168.1.101 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.101 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.101 276
===========================================================================
Trasy trwałe:
Brak

Tabela tras IPv6
===========================================================================
Aktywne trasy:
Jeśli Metryka Miejsce docelowe w sieci Brama
1 306 ::1/128 On-link
8 276 fe80::/64 On-link
8 276 fe80::d09b:3462:7e92:658/128
On-link
1 306 ff00::/8 On-link
8 276 ff00::/8 On-link
===========================================================================
Trasy trwałe:
Brak
------------------------------------------------------------------------------------------------------------------
I would be very grateful for help in this case.
Reagards

BC AdBot (Login to Remove)

 


#2 slaw

slaw
  • Topic Starter

  • Members
  • 3 posts
  • OFFLINE
  •  
  • Local time:01:39 AM

Posted 17 June 2009 - 05:17 PM

Hi again,
I think I have solved the problem. It was not my laptop. It was a router in my network. Some Trojan had to get In to and change DNS. All my connections was directed to server with Trojans.
I have changed DNS and password in the router. It looks like everything is ok now.

#3 Guest_The weatherman_*

Guest_The weatherman_*

  • Guests
  • OFFLINE
  •  

Posted 18 June 2009 - 04:58 PM

Thank you for letting us know slaw. :thumbup2:




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users