boxxen Posted March 9, 2011 Share Posted March 9, 2011 Hej! Behöver Tips Efter sviterna av internet security essentials så har jag problem att återskapa/Reparera hosts filen i Win 7 64bit, har testat http://support.microsoft.com/kb/972034, även manuellt i felsäkert läge. Program jag har använt för borttag av internet security essentials: Superantispyware portable scanner, malwarebyte och ComboFix. Fsecure rapporterar om hosts fil vid scanning, W32/Redirected hosts file.Även Hijack this klagar på hosts filen. Scanning med malwarebyte och Superantispyware säger inget om problemet. Datorn i övrigt går utmärkt och visar inga övriga spår av ohyra. mvh boxxen Quote Link to comment Share on other sites More sharing options...
si3rra Posted March 9, 2011 Share Posted March 9, 2011 Har du öppnat och kollat vad det står i hosts filen? (prova kopiera och klistra in den så kan vi se om det är något som inte borde vara där Quote Link to comment Share on other sites More sharing options...
Cecilia Posted March 9, 2011 Share Posted March 9, 2011 Hej! Vi får väl se hur det ser ut och har sett ut till att börja med. Jag vill därför se befintliga loggar för att se vad som har tagits bort. Klistra därför in innehållet i C:\ComboFix.txt och de loggar från MBAM och SUPERAntiSpyware där något hittades. I MBAM hittar man gamla loggar på fliken Loggar. Quote Link to comment Share on other sites More sharing options...
boxxen Posted March 9, 2011 Author Share Posted March 9, 2011 Hej! Tackar för snabba svar, sitter tyvärr ifrån datorn just nu, kommer med loggar och innehåll ur hosts filen senare i eftermiddag. mvh boxxen Quote Link to comment Share on other sites More sharing options...
boxxen Posted March 9, 2011 Author Share Posted March 9, 2011 Hej ur klipp ur hosts file text: # localhost name resolution is handled within DNS itself. # 127.0.0.1 localhost # ::1 localhost 64.34.xxx.xx www.google.com 64.34.xxx.xx google.com 64.34.xxx.xx google.com.au 64.34.xxx.xx www.google.com.au 64.34.xxx.xx google.be 64.34.xxx.xx www.google.be etc etc, dessa 64.34.xxx.xx försöker ja plocka bort, men de återskapas efter omstart. hitter ej logg från superantispyware eller malwarebyte, kan bero på att jag avinstallerade dessa när jag trodde att kusten var klar. För det var först efter installation av F-secure jag märkte att host filen var skadad. dessförinnan så var det Microsoft eget AV program. ComboFix.txt hj logg.txt Quote Link to comment Share on other sites More sharing options...
Cecilia Posted March 9, 2011 Share Posted March 9, 2011 Om hosts-filens innehåll återskapas så verkar det ju finnas skadliga program kvar i datorn. Det är rätt bra att ha MBAM och SUPERAntiSpyware installerade i datorn för det är flera skadliga program som gör sitt bästa för att hindra installationen av dem. Det är rätt vanligt med TDL-rootkits vid infektioner av "Internet Security Essentials". Spara TDSSKiller på Skrivbordet: http://support.kaspersky.com/downloads/utils/tdsskiller.zip Högerklicka och välj Extrahera alla. Kom ihåg var du packar upp filen. Stäng av dina vanliga program, men du kan lämna antivirusprogram och liknande igång. Kör programmet TDSSKiller.exe som finns i mappen där du packade upp filerna. Klicka på Start Scan. Om några hot hittas så välj Cure och klicka på Continue. Om inte Cure finns så välj Skip. Välj INTE Quarantine eller Delete. Eventuellt behöver datorn startas om. Klistra in innehållet i loggen som du hittar i C:\ med namnet TDSSKiller följt av version och tidpunkt. Quote Link to comment Share on other sites More sharing options...
boxxen Posted March 9, 2011 Author Share Posted March 9, 2011 Hej! här kommer logg Tds Killer logg TDSSKiller.2.4.20.0_09.03.2011_18.46.50_log.txt Quote Link to comment Share on other sites More sharing options...
Cecilia Posted March 9, 2011 Share Posted March 9, 2011 Bra, inget skadligt som hittades där i alla fall. Kopiera alla rader i rutan: Killall:: File:: c:\windows\system32\drivers\etc\hosts.ussclean.tmp Folder:: c:\programdata\ISPYELE c:\programdata\ISHOUFFVLQE RegLock:: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] och klistra in i Anteckningar. Kontrollera att det ser exakt likadant ut, t ex när det gäller radbrytningar. Spara filen på Skrivbordet med namnet CFScript. Förbered datorn på samma sätt som tidigare för ComboFix. Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt. Klistra in loggen som kommer ut. Quote Link to comment Share on other sites More sharing options...
boxxen Posted March 9, 2011 Author Share Posted March 9, 2011 Hej! Combofix logg ComboFix.txt Quote Link to comment Share on other sites More sharing options...
Cecilia Posted March 9, 2011 Share Posted March 9, 2011 Se om du kan återställa hosts-filen nu med hjälp av http://support.microsoft.com/kb/972034 Quote Link to comment Share on other sites More sharing options...
boxxen Posted March 9, 2011 Author Share Posted March 9, 2011 (edited) Hej! nä, ändras inte det är väl inte en behörighets fråga eller skrivskydd UAC eller nått sånt, ska prova även felsäkert läge kan man ändra behörighet på system filer, för under windows/system32/drivers/etc/hosts tar man fram dolda mappar/filer så finns en hosts systemfil som är skrivskyddad, om det är det som spökar. mvh boxxen Edited March 9, 2011 by boxxen Quote Link to comment Share on other sites More sharing options...
Cecilia Posted March 9, 2011 Share Posted March 9, 2011 Högerklicka på Hosts-filen och välj Egenskaper. Där finns en ruta för skrivskydd som du kan avmarkera. Quote Link to comment Share on other sites More sharing options...
boxxen Posted March 9, 2011 Author Share Posted March 9, 2011 (edited) okej, det är gjort och scanner hittar nu inga problem med hosts filen kollade även på min andra maskin den har ingen "dold" host system fil, man kanske kan plocka bort den helt. den är nu ser ja döpt till hosts.old men fortfarande som dold. mvh boxxen Edited March 9, 2011 by boxxen Quote Link to comment Share on other sites More sharing options...
Cecilia Posted March 9, 2011 Share Posted March 9, 2011 Det spelar ingen roll om filen är dold eller inte, men du ska ha en fil som heter hosts utan någon ändelse. Det är bra om filen är skrivskyddad för det gör att i alla fall de enklaste skadliga programmen inte kan skriva till den. Nu återstår bara en sista städomgång: 1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade. Börja med att skapa en ny systemåterställningspunkt: XP: Start - Program- Tillbehör - Systemverktyg - Systemåterställning Välj att skapa en ny återställningspunkt och tryck på Nästa. Vista och Windows 7: Högerklick på Datorn - Egenskaper - Systemskydd Tryck på Skapa. Ta sedan bort alla gamla systemåterställningspunkter genom att köra diskrensningsprogrammet. Högerklicka på C: i Den här datorn/Utforskaren och välj Egenskaper. På fliken Allmänt finns det en knapp som heter Diskrensning. Välj den. Efter några minuter kommer programmet upp och då väljer du en flik som heter Fler alternativ eller något likande. Tryck på den Rensa-knapp som tar bort alla systemåterställningspunkter utom den senaste. 2. Tryck Windows-tangenten + R Kopiera och klistra in denna rad: ComboFix /Uninstall Observera att det är ett mellanrum före / Klicka på OK. ComboFix kommer då att avinstalleras. Ta bort TDSSKiller och dess logg. 3. Spara TFC (Temporary File Cleaner) av OldTimer på Skrivbordet. http://oldtimer.geekstogo.com/TFC.exe Stäng alla program och fönster. Kör TFC (om du har Vista eller Windows 7 så högerklicka på filen och välj Kör som administratör). Klicka på Start-knappen för att starta städningen. Det kan ta några minuter och låt datorn vara ifred under tiden. När det är klart är det meningen att datorn ska startas om automatiskt. Om den inte gör det så startar du om datorn själv. Ta bort TFC-filen. 4. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://sites.google.com/site/ceblstockholm/home Quote Link to comment Share on other sites More sharing options...
boxxen Posted March 9, 2011 Author Share Posted March 9, 2011 Hej! Stort tack för all hjälp, nu verkar datorn vara i topp trimm igen. mvh boxxen Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.