[Vista] Worm die via DNS redirect? - Windows clients

maandag 12 februari 2007 00:06

Acties:

Topicstarter

Ik heb in Vista uiteraard het verkeerde bestandje gedownload. Probleem is dat ik in Firefox bij www.vhl.local of ieder ander locaal domein wordt geredirect naar http:/64.28.178.4 Ieder normaal domein doet het wel. In de adresbalk blijft de oorspronkelijke URL staan, maar de site is een verwijssite naar porno met de volgende broncode:

code:

<html>
<head>
<title>Page not found</title>
<script>
document.write("<frameset><frame src=\"http://64.28.178.4/index.php\"></frameset>");
</script>
</head>
<body>
</body>
</html>

In IE (de nieuwste) doet hij dit vreemd genoeg niet ook. Wél wordt bij beide browsers een url zoals "bier" of "avondeten" automatisch naar voornoemde url geredirect itt tot voorheen waarbij je gewoon bij google uitkwam met die zoekterm.

virtualhijack rapporteert het volgende (systeemtijd wijkt af, da's gewild):

code:

Logfile of HijackThis v1.99.1
Scan saved at 9:28:32 PM, on 1/1/2002
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)

Running processes:
C:\Program Files (x86)\MSN Messenger\msnmsgr.exe
C:\Program Files (x86)\Winamp\winampa.exe
C:\Program Files (x86)\Java\jre1.6.0\bin\jusched.exe
C:\Program Files (x86)\Winamp\winamp.exe
C:\Program Files (x86)\Alcohol Soft\Alcohol 120\Alcohol.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\jarno\AppData\Local\Temp\Temp1_hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files (x86)\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files (x86)\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files (x86)\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0\bin\npjpi160.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{1BE19B53-6A71-4D4B-994C-0FAB5EF9098B}: NameServer = 85.255.114.18 85.255.112.148
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0AEC536-6AEA-4147-B074-37A1CCD63745}: NameServer = 85.255.114.18,85.255.112.148
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.18 85.255.112.148
O17 - HKLM\System\CS1\Services\Tcpip\..\{1BE19B53-6A71-4D4B-994C-0FAB5EF9098B}: NameServer = 85.255.114.18 85.255.112.148
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.18 85.255.112.148
O17 - HKLM\System\CS2\Services\Tcpip\..\{1BE19B53-6A71-4D4B-994C-0FAB5EF9098B}: NameServer = 85.255.114.18 85.255.112.148
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.18 85.255.112.148
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\MSNMES~1\MSGRAP~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Volgens google ben ik niet de enige die dit heeft Altavista link. Deze methode werkt in Vista niet, in veilige modus op manueel zetten (als enige gebruiker) en herstarten lukt en hij staat hierna nog op manueel. Het resultaat in IE/FF is echter het zelfde. Iemand ideeen hoe dit op te lossen?

maandag 12 februari 2007 00:21

Acties:

Autoreply

Topicstarter

En een update: Door in safe modus DNS compleet (disabled) uit te schakelen en vervolgens normaal op te starten gaat het probleem niet weg. De DNS client staat dan ook achteraf nog uit, ik snap er geen zak van

maandag 12 februari 2007 10:22

Acties:

elevator

Officieel moto fan :)

Had je UAC uit staan of heb je gewoon door geklikt op die worm?

maandag 12 februari 2007 10:26

Acties:

Autoreply

Topicstarter

elevator schreef op maandag 12 februari 2007 @ 10:22:
Had je UAC uit staan of heb je gewoon door geklikt op die worm?

Doorgeklikt. En ja, da's erg stom.

Maargoed, ik ben toch wel erg benieuwd hoe ik die rotzooi uitschakel.

[ Voor 14% gewijzigd door Autoreply op 12-02-2007 10:45 ]

maandag 12 februari 2007 11:00

Acties:

elevator

Officieel moto fan :)

En de DNS servers die gegeven staan in je hijackthis log zijn ook daadwerkelijk je eigen DNS servers?
Als je ping'ed naar iets .local is het dan ook het verkeerde adres?

maandag 12 februari 2007 11:09

Acties:

Autoreply

Topicstarter

elevator schreef op maandag 12 februari 2007 @ 11:00:
En de DNS servers die gegeven staan in je hijackthis log zijn ook daadwerkelijk je eigen DNS servers?
Als je ping'ed naar iets .local is het dan ook het verkeerde adres?

"Request timed out" (100% lost)

maandag 12 februari 2007 11:09

Acties:

elevator

Officieel moto fan :)

Ik stelde twee vragen en je geeft op beide geen antwoord. Knap

maandag 12 februari 2007 11:14

Acties:

Autoreply

Topicstarter

elevator schreef op maandag 12 februari 2007 @ 11:09:
Ik stelde twee vragen en je geeft op beide geen antwoord. Knap

Da's het resultaat van pingen naar de enige locale site die ik ken. Hij verwijst inderdaad wél door naar de "foute" IP.

Geen flauw idee hoe ik kan controleren of dat m'n eigen DNS-server is.

code:

Microsoft Windows [Version 6.0.6000]
Copyright (c) 2006 Microsoft Corporation.  All rights reserved.

C:\Users\jarno>ping www.vhl.local

Pinging www.vhl.local [64.28.177.78] with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 64.28.177.78:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

C:\Users\jarno>

In Firefox, about:config "network.proxy.no_proxies_on" wijzigen helpt ook niets alhoewel dat volgens dit topic wel zou moeten helpen...

[ Voor 66% gewijzigd door Autoreply op 12-02-2007 11:36 ]

maandag 12 februari 2007 14:06

Acties:

Verwijderd

code:

NameServer = 85.255.114.18 85.255.112.148

Name:    85.255.114.18-xbox.dedi.inhoster.com
Address:  85.255.114.18

Name:    85.255.112.148-xbox.dedi.inhoster.com
Address:  85.255.112.148

Een HTTP bezoek aan de betreffende IPs leidt naar http://www.domainserror.com/

quote: http://www.domainserror.com/
Let us introduce ourselves a little bit. Generally, we are a small company, which does its business in the area of pay-per-click systems, dealing with the conversion of different traffic. If you'd like to go into details, we are looking for the mistypes, which people perform while surfing the web. Like, for example, ww.google.com or any other non-existing address. Usually you receive some notification like 404 Error message in such cases, however, if you use our service you are going to receive another page, which is similar to the one, you were looking for.

Volgens die website kun je via add/remove in software hun soft verwijderen.
Misschien is het tijd om naast UAC ook wat anti-virus software te gaan draaien, wie weet wat voor rommel er nog meer op je pc staat.

maandag 12 februari 2007 14:12

Acties:

soulrider

Autoreply schreef op maandag 12 februari 2007 @ 11:14:
[...]

Da's het resultaat van pingen naar de enige locale site die ik ken. Hij verwijst inderdaad wél door naar de "foute" IP.

Geen flauw idee hoe ik kan controleren of dat m'n eigen DNS-server is.

de config. van je dns-servers vind je via een ipconfig /all in command line
of de properties van je network-connection (niet zeker hoe het zit onder vista)

(je eigen dns-servers zijn meestal je adsl/cabel-router en/of die van je isp)

maar met dergelijke dingen:
zorg voor een vista-compatible anti-spyware programma en laat die scannen
anders mag je opnieuw gaan installeren om veilig te zijn...

//edit:
doe ev. een ipconfig /flushdns (als vista deze commando's nog kent)

[ Voor 5% gewijzigd door soulrider op 12-02-2007 14:29 ]

maandag 12 februari 2007 15:33

Acties:

Autoreply

Topicstarter

Dit is de output van eerst /all en daarna /flushdns:

code:

Microsoft Windows [Version 6.0.6000]
Copyright (c) 2006 Microsoft Corporation.  All rights reserved.

C:\Users\jarno>ipconfig /all

Windows IP Configuration

   Host Name . . . . . . . . . . . . : jarno-home
   Primary Dns Suffix  . . . . . . . :
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : vhl.local

PPP adapter tud:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : tud
   Physical Address. . . . . . . . . :
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 145.94.75.84(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.255
   Default Gateway . . . . . . . . . : 0.0.0.0
   DNS Servers . . . . . . . . . . . : 85.255.114.18
                                       85.255.112.148
   NetBIOS over Tcpip. . . . . . . . : Disabled

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . : vhl.local
   Description . . . . . . . . . . . : NVIDIA nForce Networking Controller
   Physical Address. . . . . . . . . : 00-16-17-74-57-B3
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::a86b:50dc:c20c:2aa%8(Preferred)
   IPv4 Address. . . . . . . . . . . : 172.20.35.111(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.252.0
   Lease Obtained. . . . . . . . . . : Monday, February 12, 2007 12:15:48 AM
   Lease Expires . . . . . . . . . . : Friday, February 16, 2007 9:13:41 AM
   Default Gateway . . . . . . . . . :
   DHCP Server . . . . . . . . . . . : 172.20.32.3
   DHCPv6 IAID . . . . . . . . . . . : 201332247
   DNS Servers . . . . . . . . . . . : 85.255.114.18
                                       85.255.112.148
   Primary WINS Server . . . . . . . : 172.20.32.66
   Secondary WINS Server . . . . . . : 130.161.128.162
   NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter Local Area Connection* 6:

   Connection-specific DNS Suffix  . : vhl.local
   Description . . . . . . . . . . . : isatap.vhl.local
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::5efe:172.20.35.111%10(Preferred)
   Default Gateway . . . . . . . . . :
   DNS Servers . . . . . . . . . . . : 85.255.114.18
                                       85.255.112.148
   NetBIOS over Tcpip. . . . . . . . : Disabled

Tunnel adapter Local Area Connection* 7:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::200:5efe:145.94.75.84%15(Preferred)

   Default Gateway . . . . . . . . . :
   DNS Servers . . . . . . . . . . . : 85.255.114.18
                                       85.255.112.148
   NetBIOS over Tcpip. . . . . . . . : Disabled

Tunnel adapter Local Area Connection* 10:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Microsoft 6to4 Adapter
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   Temporary IPv6 Address. . . . . . : 2002:915e:4b54::915e:4b54(Preferred)
   Default Gateway . . . . . . . . . : 2002:c058:6301::c058:6301
   DNS Servers . . . . . . . . . . . : 85.255.114.18
                                       85.255.112.148
   NetBIOS over Tcpip. . . . . . . . : Disabled

Microsoft Windows [Version 6.0.6000]
Copyright (c) 2006 Microsoft Corporation.  All rights reserved.

C:\Users\jarno>ipconfig /flushdns
The requested operation requires elevation.

C:\Users\jarno>

Ben nu Hitman pro aan het downloaden, maar 's kijken of dat een beetje draait. Bij geinstalleerde programma's staat hij overigens niet.
Andere zooi staat er overigens niet op, de installatie is net 3 weken oud en alles handmatig zelf geinstalleerd. Dit was gewoon dom openen van spyware omdat ik een crack wilde hebben

maandag 12 februari 2007 16:00

Acties:

soulrider

check anders eens in de settings van je network-connections of je in de advanced settings van je tcp/ip-protocollen deze dns-servers handmatig kan verwijderen/aanpassen naar de juisten ...
of blanco laten en op automatisch zetten - je dhcp-server geeft dit namelijk normaal gezien door
- als de spyware het nadien niet 'corrigeert' natuurlijk

en die '... needs elevation' is vermoed ik de vraag het te runnen als admin.

runas administrator ipconfig /all ofzo
(runas /? voor juiste commando)