<![CDATA[Latest posts for the topic "[Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được."]]> /hvaonline/posts/list/28.html JForum - http://www.jforum.net [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được. ipconfig /all
DHCP Server . . . . . . . . . . . : 192.168.1.1 DNS Servers . . . . . . . . . . . : 85.255.116.76 85.255.112.197 
Em đã vào card mạng thì thấy trong mục Preffered DNS đã được chọn sẵn là 85.255.116.76 (em không hề chọn cái này), thử chọn Optain và đóng lại, mở lên vẫn y như cũ, k có vấn đề gì thay đổi, nghi ngờ mình bị nhiễm phải một loại trojan làm đổi DNS Server em dùng Hijack this thì có vài key lạ:
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CB320C4-1C30-446E-9416-3B6F75A45066}: NameServer = 85.255.116.76;85.255.112.197 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.76;85.255.112.197 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.76;85.255.112.197 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.76;85.255.112.197 
Chuyển qua dùng SmitFraudFix v2.381 search thử thì báo
»»»»»»»»»»»»»»»»»»»»»»»» DNS Your computer may be victim of a DNS Hijack: 85.255.x.x detected ! Description: Realtek RTL8169/8110 Family Gigabit Ethernet NIC - Packet Scheduler Miniport DNS Server Search Order: 85.255.116.76;85.255.112.197 HKLM\SYSTEM\CCS\Services\Tcpip\..\{7CB320C4-1C30-446E-9416-3B6F75A45066}: DhcpNameServer=208.67.222.222 208.67.220.220 HKLM\SYSTEM\CCS\Services\Tcpip\..\{7CB320C4-1C30-446E-9416-3B6F75A45066}: NameServer=85.255.116.76;85.255.112.197 HKLM\SYSTEM\CS2\Services\Tcpip\..\{7CB320C4-1C30-446E-9416-3B6F75A45066}: DhcpNameServer=208.67.222.222 208.67.220.220 HKLM\SYSTEM\CS2\Services\Tcpip\..\{7CB320C4-1C30-446E-9416-3B6F75A45066}: NameServer=85.255.116.76;85.255.112.197 HKLM\SYSTEM\CS3\Services\Tcpip\..\{7CB320C4-1C30-446E-9416-3B6F75A45066}: DhcpNameServer=208.67.222.222 208.67.220.220 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=208.67.222.222 208.67.220.220 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.76;85.255.112.197 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=208.67.222.222 208.67.220.220 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.76;85.255.112.197 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=208.67.222.222 208.67.220.220 
Em đã thử đủ cả, quét virus bằng AVG, chạy SmitFraudFix, SDFix trên nền safe mode nhưng hầu như vẫn không được, tình trạng này vẫn tiếp diễn. Xin được truyền một số kinh nghiệm trong việc này. :) PS: Theo một nguồn em search ra được thì có trường hợp bị tương tự như em do cùng cài một cái game là World Of warcraft.]]>
/hvaonline/posts/list/26631.html#161918 /hvaonline/posts/list/26631.html#161918 GMT
Re: [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được. /hvaonline/posts/list/26631.html#161925 /hvaonline/posts/list/26631.html#161925 GMT Re: [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được. /hvaonline/posts/list/26631.html#161931 /hvaonline/posts/list/26631.html#161931 GMT Re: [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được. /hvaonline/posts/list/26631.html#161933 /hvaonline/posts/list/26631.html#161933 GMT Re: [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được. /hvaonline/posts/list/26631.html#161935 /hvaonline/posts/list/26631.html#161935 GMT Re: [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được. DNSChanger.pi Link : http://vil.nai.com/vil/content/v_143355.htm - Với con virus này có thể cài chương trình diệt virus của McAfee để diệt. - Có thể diệt bằng tay theo cách sau đây: 1. Turn off chế độ System restore. 2. Cài đặt và cập nhật phiên bản diệt virus mới nhất( hiện nay McAfee đã có phiên bản Virus Scan 8.7) 3. Chạy và quét toàn bộ hệ thống. 4. Khởi động lại máy và thay đổi lại các khóa trong registry mà con trojan này đã tạo ra.Cụ thể như sau: - Nó thay đổi các khóa sau: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System: "[random].exe" HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer: "85.255.115.30,85.255.112.184" HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer: "85.255.115.30,85.255.112.184" - Sửa lại thành default như ban đầu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer: ….. HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer:…. - Đồng thời nó cũng tạo thêm các khóa sau: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] sware = "%ProgramFiles%\WinMsg\SWARE.EXE" bal = 43 3A 5C 50 72 6F 67 72 61 6D 20 46 69 6C 65 73 5C 57 69 6E 4D 73 67 5C 53 59 53 4D 4F 4E 4D 53 2E 45 58 45 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SelectiveAdmission] UninstallString = ""%ProgramFiles%\SelectiveAdmission\Uninstall.exe"" InstallLocation = "%ProgramFiles%\SelectiveAdmission" DisplayName = "SelectiveAdmission" DisplayIcon = "%ProgramFiles%\SelectiveAdmission\Uninstall.exe,0" NoModify = 0x00000001 NoRepair = 0x00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager] PendingFileRenameOperations = 5C 3F 3F 5C 43 3A 5C 44 4F 43 55 4D 45 7E 31 5C 55 73 65 72 4E 61 6D 65 5C 4C 4F 43 41 4C 53 7E 31 5C 54 65 6D 70 5C 6E 73 72 33 2E 74 6D 70 5C 45 78 65 63 44 6F 73 2E 64 6C 6C 00 00 5C 3F 3F 5C 43 3A 5C 44 4F 43 55 4D 45 7E 31 5C 55 73 65 72 4E 61 6 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] PendingFileRenameOperations = 5C 3F 3F 5C 43 3A 5C 44 4F 43 55 4D 45 7E 31 5C 55 73 65 72 4E 61 6D 65 5C 4C 4F 43 41 4C 53 7E 31 5C 54 65 6D 70 5C 6E 73 72 33 2E 74 6D 70 5C 45 78 65 63 44 6F 73 2E 64 6C 6C 00 00 5C 3F 3F 5C 43 3A 5C 44 4F 43 55 4D 45 7E 31 5C 55 73 65 72 4E 61 6 [HKEY_CURRENT_USER\Software\SelectiveAdmission] (Default) = "%ProgramFiles%\SelectiveAdmission" Start Menu Folder = "SelectiveAdmission" xóa các khóa này đi. - Nó cũng thay đổi các khóa sau: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] NavigationFailure = "http://safe-strip-download.com/soft/in.cgi?5&group=sta" NavigationCanceled = "http://safe-strip-download.com/soft/in.cgi?5&group=sta" Default: NavigationFailure = "res://shdoclc.dll/navcancl.htm" NavigationCanceled = "res://shdoclc.dll/navcancl.htm" [HKEY_CURRENT_USER\Control Panel\Desktop] Wallpaper = "%Temp%\sdw_wall.bmp" Default:C:\Document and Settings\tên máy\Local Setting\Application Data\ Microsoft\ Wallpaper1.bmp [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Start Page = "http://safe-strip-download.com/soft/in.cgi?5&group=sta" Default: Start Page = " res://shdoclc.dll/hardAdmin.htm " Search Page = "http://safe-strip-download.com/soft/in.cgi?5&group=sta" Default: Search Page= “http://www.microsoft.com/isapi/www.dll?prd=ie&ar=iesearch” cần xóa các khóa này đi và đổi về mặc định nếu nó thay đổi - Xóa các file sinh ra trong ổ đĩa: %Temp%\hqcodec1236.exe %Temp%\hqcodec1347.exe %Temp%\megacodec1342.exe 5. Cần thay đổi lại về default cho DNS server và TCP/IP cho máy trong mục Connnection Network. ]]> /hvaonline/posts/list/26631.html#161937 /hvaonline/posts/list/26631.html#161937 GMT Re: [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được. C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\FlashGet\FlashGet.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Internet Download Manager\IDMan.exe E:\UniKey4\UniKey.exe C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe C:\Program Files\Palm\HOTSYNC.EXE C:\Program Files\Kool\Kool.exe C:\Program Files\Kool\KooH.exe C:\Program Files\Internet Download Manager\IEMonitor.exe C:\Documents and Settings\xuanthanh\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.garena.com/portal/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetdownloadmanager.com/welcome.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Flashget] "C:\Program Files\FlashGet\FlashGet.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot O4 - HKCU\..\Run: [UniKey] E:\UniKey4\UniKey.exe O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKCU\..\Run: [VoxOx] C:\Program Files\VoxOx\voxox.exe O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE O4 - Startup: KooH.lnk = C:\Program Files\Kool\KooH.exe O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O13 - Gopher Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{7CB320C4-1C30-446E-9416-3B6F75A45066}: NameServer = 85.255.116.76;85.255.112.197 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.76;85.255.112.197 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.76;85.255.112.197 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.76;85.255.112.197 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- End of file - 6482 bytes  Đây là full log của Hijackthis, đã dùng rất nhiều tool như kể trên, thêm cả Antivir, Portable Kaspersky 7, quét đều không thấy gì, sửa key như bác kiemkhach thì sửa xong vào lại hiện lên, có lần sửa key được, vào refresh DNS nó hiện lên của openDNS thế nhưng dường như còn cái tập tin nào đấy can thiệp vào ngay :(]]> /hvaonline/posts/list/26631.html#161951 /hvaonline/posts/list/26631.html#161951 GMT Re: [Hỏi]-Nghi ngờ bị dính trojan làm đổi DNS trên PC, gỡ không được. AVG thông báo không thể update được  Có thể Host file có vài dòng 127.0.0.1 cho một số trang web cập nhật chống malware, update thất bại.
CCS,Cs2,cs3 
user nào cũng bị như nhau.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local  
You may also need to set the value of 'ProxyEnable' to equal '1' for proxy enabled or '0' for disabled. Cái này cũng tham gia vào chuyện gây hại. Kiểm tra thông tin như mr Levuhoang nói, bỏ cái dòng proxyEnable đó hoặc chỉnh như thông tin từ Microsoft. Ngoài ra còn 1 cái tool người ta hay sài(trong trường hợp không biết sài lệnh netsh) để reset winsock là WinsockxpFix. ]]>
/hvaonline/posts/list/26631.html#161973 /hvaonline/posts/list/26631.html#161973 GMT