Hej!
Behöver Tips
Efter sviterna av internet security essentials så har jag problem att återskapa/Reparera hosts filen i Win 7 64bit, har testat http://support.microsoft.com/kb/972034, även manuellt i felsäkert läge.
Program jag har använt för borttag av internet security essentials:
Superantispyware portable scanner, malwarebyte och ComboFix.
Fsecure rapporterar om hosts fil vid scanning, W32/Redirected hosts file.Även Hijack this klagar på hosts filen.
Scanning med malwarebyte och Superantispyware säger inget om problemet.
Datorn i övrigt går utmärkt och visar inga övriga spår av ohyra.
mvh
boxxen
14 svar i den här tråden
#2
si3rra
-
- Hedersmedlem
-
- 2 636 inlägg
=^..^=
Skrivet 09 mars 2011 - 09:35
Har du öppnat och kollat vad det står i hosts filen?
(prova kopiera och klistra in den så kan vi se om det är något som inte borde vara där
(prova kopiera och klistra in den så kan vi se om det är något som inte borde vara där
#3
Cecilia
-
- Hedersmedlem
-
- 3 435 inlägg
Skrivet 09 mars 2011 - 09:38
Hej!
Vi får väl se hur det ser ut och har sett ut till att börja med. Jag vill därför se befintliga loggar för att se vad som har tagits bort. Klistra därför in innehållet i C:\ComboFix.txt och de loggar från MBAM och SUPERAntiSpyware där något hittades. I MBAM hittar man gamla loggar på fliken Loggar.
Vi får väl se hur det ser ut och har sett ut till att börja med. Jag vill därför se befintliga loggar för att se vad som har tagits bort. Klistra därför in innehållet i C:\ComboFix.txt och de loggar från MBAM och SUPERAntiSpyware där något hittades. I MBAM hittar man gamla loggar på fliken Loggar.
#4
boxxen
-
- Medlem
-
- 370 inlägg
Skrivet 09 mars 2011 - 09:46
Hej!
Tackar för snabba svar, sitter tyvärr ifrån datorn just nu, kommer med loggar och innehåll ur hosts filen senare i eftermiddag.
mvh
boxxen
Tackar för snabba svar, sitter tyvärr ifrån datorn just nu, kommer med loggar och innehåll ur hosts filen senare i eftermiddag.
mvh
boxxen
#5
boxxen
-
- Medlem
-
- 370 inlägg
Skrivet 09 mars 2011 - 13:03
Hej
ur klipp ur hosts file text:
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
64.34.xxx.xx www.google.com
64.34.xxx.xx google.com
64.34.xxx.xx google.com.au
64.34.xxx.xx www.google.com.au
64.34.xxx.xx google.be
64.34.xxx.xx www.google.be
etc etc, dessa 64.34.xxx.xx försöker ja plocka bort, men de återskapas efter omstart.
hitter ej logg från superantispyware eller malwarebyte, kan bero på att jag avinstallerade dessa när jag trodde att kusten var klar.
För det var först efter installation av F-secure jag märkte att host filen var skadad.
dessförinnan så var det Microsoft eget AV program.
ur klipp ur hosts file text:
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
64.34.xxx.xx www.google.com
64.34.xxx.xx google.com
64.34.xxx.xx google.com.au
64.34.xxx.xx www.google.com.au
64.34.xxx.xx google.be
64.34.xxx.xx www.google.be
etc etc, dessa 64.34.xxx.xx försöker ja plocka bort, men de återskapas efter omstart.
hitter ej logg från superantispyware eller malwarebyte, kan bero på att jag avinstallerade dessa när jag trodde att kusten var klar.
För det var först efter installation av F-secure jag märkte att host filen var skadad.
dessförinnan så var det Microsoft eget AV program.
Bifogade fil(er)
-
hj logg.txt 10,43K
6 Antal nedladdningar
-
ComboFix.txt 40,99K
5 Antal nedladdningar
#6
Cecilia
-
- Hedersmedlem
-
- 3 435 inlägg
Skrivet 09 mars 2011 - 13:44
Om hosts-filens innehåll återskapas så verkar det ju finnas skadliga program kvar i datorn.
Det är rätt bra att ha MBAM och SUPERAntiSpyware installerade i datorn för det är flera skadliga program som gör sitt bästa för att hindra installationen av dem.
Det är rätt vanligt med TDL-rootkits vid infektioner av "Internet Security Essentials". Spara TDSSKiller på Skrivbordet:
http://support.kaspe.../tdsskiller.zip
Högerklicka och välj Extrahera alla. Kom ihåg var du packar upp filen.
Stäng av dina vanliga program, men du kan lämna antivirusprogram och liknande igång.
Kör programmet TDSSKiller.exe som finns i mappen där du packade upp filerna.
Klicka på Start Scan.
Om några hot hittas så välj Cure och klicka på Continue. Om inte Cure finns så välj Skip. Välj INTE Quarantine eller Delete. Eventuellt behöver datorn startas om.
Klistra in innehållet i loggen som du hittar i C:\ med namnet TDSSKiller följt av version och tidpunkt.
Det är rätt bra att ha MBAM och SUPERAntiSpyware installerade i datorn för det är flera skadliga program som gör sitt bästa för att hindra installationen av dem.
Det är rätt vanligt med TDL-rootkits vid infektioner av "Internet Security Essentials". Spara TDSSKiller på Skrivbordet:
http://support.kaspe.../tdsskiller.zip
Högerklicka och välj Extrahera alla. Kom ihåg var du packar upp filen.
Stäng av dina vanliga program, men du kan lämna antivirusprogram och liknande igång.
Kör programmet TDSSKiller.exe som finns i mappen där du packade upp filerna.
Klicka på Start Scan.
Om några hot hittas så välj Cure och klicka på Continue. Om inte Cure finns så välj Skip. Välj INTE Quarantine eller Delete. Eventuellt behöver datorn startas om.
Klistra in innehållet i loggen som du hittar i C:\ med namnet TDSSKiller följt av version och tidpunkt.
#7
boxxen
-
- Medlem
-
- 370 inlägg
Skrivet 09 mars 2011 - 18:52
Hej!
här kommer logg Tds Killer logg
här kommer logg Tds Killer logg
Bifogade fil(er)
-
TDSSKiller.2.4.20.0_09.03.2011_18.46.50_log.txt 64,19K
2 Antal nedladdningar
#8
Cecilia
-
- Hedersmedlem
-
- 3 435 inlägg
Skrivet 09 mars 2011 - 19:25
Bra, inget skadligt som hittades där i alla fall.
Kopiera alla rader i rutan:
Spara filen på Skrivbordet med namnet CFScript.
Förbered datorn på samma sätt som tidigare för ComboFix.
Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.
Klistra in loggen som kommer ut.
Kopiera alla rader i rutan:
Killall::
File::
c:\windows\system32\drivers\etc\hosts.ussclean.tmp
Folder::
c:\programdata\ISPYELE
c:\programdata\ISHOUFFVLQE
RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
och klistra in i Anteckningar. Kontrollera att det ser exakt likadant ut, t ex när det gäller radbrytningar.Spara filen på Skrivbordet med namnet CFScript.
Förbered datorn på samma sätt som tidigare för ComboFix.
Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.
Klistra in loggen som kommer ut.
#10
Cecilia
-
- Hedersmedlem
-
- 3 435 inlägg
Skrivet 09 mars 2011 - 20:57
Se om du kan återställa hosts-filen nu med hjälp av http://support.microsoft.com/kb/972034
#11
boxxen
-
- Medlem
-
- 370 inlägg
Skrivet 09 mars 2011 - 22:19
Hej!
nä, ändras inte det är väl inte en behörighets fråga eller skrivskydd UAC eller nått sånt, ska prova även felsäkert läge
kan man ändra behörighet på system filer, för under windows/system32/drivers/etc/hosts tar man fram dolda mappar/filer så finns en hosts systemfil som är skrivskyddad, om det är det som spökar.
mvh
boxxen
nä, ändras inte det är väl inte en behörighets fråga eller skrivskydd UAC eller nått sånt, ska prova även felsäkert läge
kan man ändra behörighet på system filer, för under windows/system32/drivers/etc/hosts tar man fram dolda mappar/filer så finns en hosts systemfil som är skrivskyddad, om det är det som spökar.
mvh
boxxen
Det här inlägget har redigerats av boxxen: 09 mars 2011 - 22:47
#12
Cecilia
-
- Hedersmedlem
-
- 3 435 inlägg
Skrivet 09 mars 2011 - 23:04
Högerklicka på Hosts-filen och välj Egenskaper. Där finns en ruta för skrivskydd som du kan avmarkera.
#13
boxxen
-
- Medlem
-
- 370 inlägg
Skrivet 09 mars 2011 - 23:10
okej, det är gjort och scanner hittar nu inga problem med hosts filen
kollade även på min andra maskin den har ingen "dold" host system fil, man kanske kan plocka bort den helt.
den är nu ser ja döpt till hosts.old men fortfarande som dold.
mvh
boxxen
kollade även på min andra maskin den har ingen "dold" host system fil, man kanske kan plocka bort den helt.
den är nu ser ja döpt till hosts.old men fortfarande som dold.
mvh
boxxen
Det här inlägget har redigerats av boxxen: 09 mars 2011 - 23:18
#14
Cecilia
-
- Hedersmedlem
-
- 3 435 inlägg
Skrivet 09 mars 2011 - 23:37
Det spelar ingen roll om filen är dold eller inte, men du ska ha en fil som heter hosts utan någon ändelse. Det är bra om filen är skrivskyddad för det gör att i alla fall de enklaste skadliga programmen inte kan skriva till den.
Nu återstår bara en sista städomgång:
1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade.
Börja med att skapa en ny systemåterställningspunkt:
XP:
Start - Program- Tillbehör - Systemverktyg - Systemåterställning
Välj att skapa en ny återställningspunkt och tryck på Nästa.
Vista och Windows 7:
Högerklick på Datorn - Egenskaper - Systemskydd
Tryck på Skapa.
Ta sedan bort alla gamla systemåterställningspunkter genom att köra diskrensningsprogrammet.
Högerklicka på C: i Den här datorn/Utforskaren och välj Egenskaper.
På fliken Allmänt finns det en knapp som heter Diskrensning. Välj den.
Efter några minuter kommer programmet upp och då väljer du en flik som heter Fler alternativ eller något likande. Tryck på den Rensa-knapp som tar bort alla systemåterställningspunkter utom den senaste.
2. Tryck Windows-tangenten + R
Kopiera och klistra in denna rad:
ComboFix /Uninstall
Observera att det är ett mellanrum före /
Klicka på OK.
ComboFix kommer då att avinstalleras.
Ta bort TDSSKiller och dess logg.
3. Spara TFC (Temporary File Cleaner) av OldTimer på Skrivbordet.
http://oldtimer.geekstogo.com/TFC.exe
Stäng alla program och fönster.
Kör TFC (om du har Vista eller Windows 7 så högerklicka på filen och välj Kör som administratör).
Klicka på Start-knappen för att starta städningen.
Det kan ta några minuter och låt datorn vara ifred under tiden.
När det är klart är det meningen att datorn ska startas om automatiskt. Om den inte gör det så startar du om datorn själv. Ta bort TFC-filen.
4. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://sites.google....lstockholm/home
Nu återstår bara en sista städomgång:
1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade.
Börja med att skapa en ny systemåterställningspunkt:
XP:
Start - Program- Tillbehör - Systemverktyg - Systemåterställning
Välj att skapa en ny återställningspunkt och tryck på Nästa.
Vista och Windows 7:
Högerklick på Datorn - Egenskaper - Systemskydd
Tryck på Skapa.
Ta sedan bort alla gamla systemåterställningspunkter genom att köra diskrensningsprogrammet.
Högerklicka på C: i Den här datorn/Utforskaren och välj Egenskaper.
På fliken Allmänt finns det en knapp som heter Diskrensning. Välj den.
Efter några minuter kommer programmet upp och då väljer du en flik som heter Fler alternativ eller något likande. Tryck på den Rensa-knapp som tar bort alla systemåterställningspunkter utom den senaste.
2. Tryck Windows-tangenten + R
Kopiera och klistra in denna rad:
ComboFix /Uninstall
Observera att det är ett mellanrum före /
Klicka på OK.
ComboFix kommer då att avinstalleras.
Ta bort TDSSKiller och dess logg.
3. Spara TFC (Temporary File Cleaner) av OldTimer på Skrivbordet.
http://oldtimer.geekstogo.com/TFC.exe
Stäng alla program och fönster.
Kör TFC (om du har Vista eller Windows 7 så högerklicka på filen och välj Kör som administratör).
Klicka på Start-knappen för att starta städningen.
Det kan ta några minuter och låt datorn vara ifred under tiden.
När det är klart är det meningen att datorn ska startas om automatiskt. Om den inte gör det så startar du om datorn själv. Ta bort TFC-filen.
4. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://sites.google....lstockholm/home
#15
boxxen
-
- Medlem
-
- 370 inlägg
Skrivet 10 mars 2011 - 00:23
Hej!
Stort tack för all hjälp, nu verkar datorn vara i topp trimm igen.
mvh
boxxen
Stort tack för all hjälp, nu verkar datorn vara i topp trimm igen.
mvh
boxxen
