Fake "internet security essentials"

[boxxen]

Hej!

Behöver Tips

Efter sviterna av internet security essentials så har jag problem att återskapa/Reparera hosts filen i Win 7 64bit, har testat http://support.microsoft.com/kb/972034, även manuellt i felsäkert läge.

Program jag har använt för borttag av internet security essentials:

Superantispyware portable scanner, malwarebyte och ComboFix.

Fsecure rapporterar om hosts fil vid scanning, W32/Redirected hosts file.Även Hijack this klagar på hosts filen.

Scanning med malwarebyte och Superantispyware säger inget om problemet.

Datorn i övrigt går utmärkt och visar inga övriga spår av ohyra.

mvh

boxxen

[si3rra]

Har du öppnat och kollat vad det står i hosts filen?

(prova kopiera och klistra in den så kan vi se om det är något som inte borde vara där

[Cecilia]

Hej!

Vi får väl se hur det ser ut och har sett ut till att börja med. Jag vill därför se befintliga loggar för att se vad som har tagits bort. Klistra därför in innehållet i C:\ComboFix.txt och de loggar från MBAM och SUPERAntiSpyware där något hittades. I MBAM hittar man gamla loggar på fliken Loggar.

[boxxen]

Hej!

Tackar för snabba svar, sitter tyvärr ifrån datorn just nu, kommer med loggar och innehåll ur hosts filen senare i eftermiddag.

mvh

boxxen

[boxxen]

Hej

ur klipp ur hosts file text:

# localhost name resolution is handled within DNS itself.

# 127.0.0.1 localhost

# ::1 localhost

64.34.xxx.xx www.google.com

64.34.xxx.xx google.com

64.34.xxx.xx google.com.au

64.34.xxx.xx www.google.com.au

64.34.xxx.xx google.be

64.34.xxx.xx www.google.be

etc etc, dessa 64.34.xxx.xx försöker ja plocka bort, men de återskapas efter omstart.

hitter ej logg från superantispyware eller malwarebyte, kan bero på att jag avinstallerade dessa när jag trodde att kusten var klar.

För det var först efter installation av F-secure jag märkte att host filen var skadad.

dessförinnan så var det Microsoft eget AV program.

ComboFix.txt

hj logg.txt

[Cecilia]

Om hosts-filens innehåll återskapas så verkar det ju finnas skadliga program kvar i datorn.

Det är rätt bra att ha MBAM och SUPERAntiSpyware installerade i datorn för det är flera skadliga program som gör sitt bästa för att hindra installationen av dem.

Det är rätt vanligt med TDL-rootkits vid infektioner av "Internet Security Essentials". Spara TDSSKiller på Skrivbordet:

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

Högerklicka och välj Extrahera alla. Kom ihåg var du packar upp filen.

Stäng av dina vanliga program, men du kan lämna antivirusprogram och liknande igång.

Kör programmet TDSSKiller.exe som finns i mappen där du packade upp filerna.

Klicka på Start Scan.

Om några hot hittas så välj Cure och klicka på Continue. Om inte Cure finns så välj Skip. Välj INTE Quarantine eller Delete. Eventuellt behöver datorn startas om.

Klistra in innehållet i loggen som du hittar i C:\ med namnet TDSSKiller följt av version och tidpunkt.

[boxxen]

Hej!

här kommer logg Tds Killer logg

TDSSKiller.2.4.20.0_09.03.2011_18.46.50_log.txt

[Cecilia]

Bra, inget skadligt som hittades där i alla fall.

Kopiera alla rader i rutan:

Killall::
File::
c:\windows\system32\drivers\etc\hosts.ussclean.tmp
Folder::
c:\programdata\ISPYELE
c:\programdata\ISHOUFFVLQE
RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

och klistra in i Anteckningar. Kontrollera att det ser exakt likadant ut, t ex när det gäller radbrytningar.

Spara filen på Skrivbordet med namnet CFScript.

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut.

[boxxen]

Hej!

Combofix logg

ComboFix.txt

[Cecilia]

Se om du kan återställa hosts-filen nu med hjälp av http://support.microsoft.com/kb/972034

[boxxen]

Hej!

nä, ändras inte det är väl inte en behörighets fråga eller skrivskydd UAC eller nått sånt, ska prova även felsäkert läge

kan man ändra behörighet på system filer, för under windows/system32/drivers/etc/hosts tar man fram dolda mappar/filer så finns en hosts systemfil som är skrivskyddad, om det är det som spökar.

mvh

boxxen

Redigerad Mars 9, 2011 av boxxen

[Cecilia]

Högerklicka på Hosts-filen och välj Egenskaper. Där finns en ruta för skrivskydd som du kan avmarkera.

[boxxen]

okej, det är gjort och scanner hittar nu inga problem med hosts filen

kollade även på min andra maskin den har ingen "dold" host system fil, man kanske kan plocka bort den helt.

den är nu ser ja döpt till hosts.old men fortfarande som dold.

mvh

boxxen

Redigerad Mars 9, 2011 av boxxen

[Cecilia]

Det spelar ingen roll om filen är dold eller inte, men du ska ha en fil som heter hosts utan någon ändelse. Det är bra om filen är skrivskyddad för det gör att i alla fall de enklaste skadliga programmen inte kan skriva till den.

Nu återstår bara en sista städomgång:

1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade.

Börja med att skapa en ny systemåterställningspunkt:

XP:

Start - Program- Tillbehör - Systemverktyg - Systemåterställning

Välj att skapa en ny återställningspunkt och tryck på Nästa.

Vista och Windows 7:

Högerklick på Datorn - Egenskaper - Systemskydd

Tryck på Skapa.

Ta sedan bort alla gamla systemåterställningspunkter genom att köra diskrensningsprogrammet.

Högerklicka på C: i Den här datorn/Utforskaren och välj Egenskaper.

På fliken Allmänt finns det en knapp som heter Diskrensning. Välj den.

Efter några minuter kommer programmet upp och då väljer du en flik som heter Fler alternativ eller något likande. Tryck på den Rensa-knapp som tar bort alla systemåterställningspunkter utom den senaste.

2. Tryck Windows-tangenten + R

Kopiera och klistra in denna rad:

ComboFix /Uninstall

Observera att det är ett mellanrum före /

Klicka på OK.

ComboFix kommer då att avinstalleras.

Ta bort TDSSKiller och dess logg.

3. Spara TFC (Temporary File Cleaner) av OldTimer på Skrivbordet.

http://oldtimer.geekstogo.com/TFC.exe

Stäng alla program och fönster.

Kör TFC (om du har Vista eller Windows 7 så högerklicka på filen och välj Kör som administratör).

Klicka på Start-knappen för att starta städningen.

Det kan ta några minuter och låt datorn vara ifred under tiden.

När det är klart är det meningen att datorn ska startas om automatiskt. Om den inte gör det så startar du om datorn själv. Ta bort TFC-filen.

4. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://sites.google.com/site/ceblstockholm/home

[boxxen]

Hej!

Stort tack för all hjälp, nu verkar datorn vara i topp trimm igen.

mvh

boxxen