TrojanDNSchanger

[Serras]

Boa noite a todos.
Este é o meu primeiro passo neste Fórum e um dos motivos que levaram-me a registrar aqui é uma detecção feita no meu PC de um virus denominado TrojanDNSchanger, pelo programa Malwarebytes anti-malware. Este programa detecta o trojan e o elimina, mas em seguida ele volta.
O problema maior é que a minha Internet é via rádio e este trojan não é detectado quando esta rede está desligada. Quando uso a internet via conexão rede dial-up, ou seja, com uma placa de faxmodem, o trojan não é detectado.
Já alertei o administrador desta rede via rádio e o mesmo disse simplesmente que a rede dele não estava infectada e que esta infecção estava na minha máquina. Porém rodo o antivirus Norton Internet Security e ele não detecta nada. É só ligar a rede via rádio e o trojan está lá. Vivo como nunca.
Se alguém souber algo sobre isto que me ajude, por favor.
Obrigado.

[brunovic]

O Trojan.DNS Changer muda os valores de DNS do TCP / IP, que por sua vez irá redirecionar usuários para sites maliciosos.

Como disse que o trojan só é identificado quando se conecta a rede predial, é bem provável que a mesma esteja infectada. Mas pode checar manualmente.

1 - Navegue pelos os caminhos a seguir no Registro:

Código:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters "DhcpNameServer" HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters "DhcpNameServer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\%Random CLSID% "DhcpNameServer" HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ Interfaces \% Random% CLSID "DhcpNameServer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\%Random CLSID% "NameServer" HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ Interfaces \% Random% CLSID "NameServer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\%Random CLSID% "DhcpNameServer" HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ Interfaces \% Random% CLSID "DhcpNameServer"

2 - Procure por endereços IP's desconhecidos na parte de dados. Encontrando, Altere-os para endereços DNS válidos.

[eoneway]

Já tentou atualizar o seus Sistema Operacional? Windows. Tente também habilitar o firewall.

Abraços
Vivência em Tecnologia

[Serras]

Ok, meu amigo, fui até as chaves de registros e lá encontrei apenas dois IPs que pertencem a minha rede via rádio "Wirelles". Não encontrei nenhum outro IP. Comuniquei-me com o Administrador desta rede e o mesmo me disse que os IPs pertencem a rede.
O trojan detectado pelo Malwarebytes tem exatamente os dois IPs da minha rede. Segundo este Adm. O programa está vendo um virus falsopositivo, mas pesquisei na Google e lá eu vi que o TrojanDNSchanger existe e é malicioso, como você mesmo cita.
Outro detalhe é que a rede tem endereço atribuido por DHCP e os IPs que aparecem no Trojan pertencem ao rede mesmo.
Fiz vários procedimentos de limpeza na minha máquina, usando varios programas anti-virus, anti spaware e outras pragas, mas nenhum detecta este trojan, apenas o Malwarebytes.
Obrigado pela tua gentileza em me atender.
Abraços.

[Serras]

Já sim. Já fiz inclusive outros procedimentos. Aliás, formatei o HD e depois vi que era desnecessário pois este trojan apenas se manifesta quando a minha internet está ligada em uma rede via rádio (Wirelles)

[Lord Enigm@]

Você utiliza compartilhamento de arquivos e impressoras com outras máquinas em casa ou com alguém da rede?

[Serras]

Você utiliza compartilhamento de arquivos e impressoras com outras máquinas em casa ou com alguém da rede?

Não, não utilizo nenhum compartilhamento de arquivos com ninguém. Na minha cidade ainda são poucos os locais em que há condições de se ter o Velox, por isto aqui tem uma empresa que distribui Internet banda larga via rádio através de uma antena transmissora e as antenas receptoras que ficam nas casas. Ok? Na minha casa tem apenas esta máquina.
O trojanDNSchanger só é detectado quando a minha máquina está usando esta rede via rádio. Quando faço a conexão via modem dial-up, pelo telefone, ele não é detectado.

[Lord Enigm@]

Realmente é intrigante, pode ser falso positivo ou não. Para termos um norte, seria interessante você correr na máquina o soft hijack para sabermos se o problema está em sua máquina ou não. Claro, se mestre Marcos assim permitir os logs.

[Serras]

Realmente é intrigante, pode ser falso positivo ou não. Para termos um norte, seria interessante você correr na máquina o soft hijack para sabermos se o problema está em sua máquina ou não. Claro, se mestre Marcos assim permitir os logs.

Abaixo está o Log do HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:52:49, on 7/9/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PSIService.exe
C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe
C:\Documents and Settings\Joao Batista\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Joao Batista\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Joao Batista\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Joao Batista\Meus documentos\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Serra da Piedade, Caeté-MG - fotos de serradapiedade no 8P Fotolog
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: TraduzWeb - {2d43d3a0-ec29-11d2-8ade-0020182cecb3} - C:\Arquivos de programas\Kounen\TraduzTudo\2.0\bin\TWeb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Arquivos de programas\Real\RealPlayer\rpbrowserrecordplugin.dl l
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Arquivos de programas\Norton Internet Security\Engine\16.0.0.125\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Arquivos de programas\Norton Internet Security\Engine\16.0.0.125\IPSBHO.DLL
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.d ll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Arquivos de programas\Norton Internet Security\Engine\16.0.0.125\coIEPlg.dll
O3 - Toolbar: Tradu&zWeb - {2d43d3a4-ec29-11d2-8ade-0020182cecb3} - C:\Arquivos de programas\Kounen\TraduzTudo\2.0\bin\TWeb.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutorunsDisabled
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tradu&zir - about:<html notraduz><script language=javascript>external.menuArguments.navigat e('about:\<html%20notraduz\>\<!--(Menu)--\>\<script language=JavaScript\>history.back();history.forwar d();\</script\>\</html\>');</script></html>
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&MSN.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1250957558608
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1250976283031
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Arquivos de programas\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PSIService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

--
End of file - 6613 bytes

[Lord Enigm@]

O log está 100% limpo, nem uma vírgula fora do lugar. Você executou o log estando conectado no ato do acusamento do malware ou desconectado?. Caso tenha sido desconectado, seria interessante rodar o hijack estando com a máquina logada na rede e quando acusar pelo programa Malwarebytes. Mesmo assim, está parecendo ser um falso positivo.