Virus/spyware redirecter alt til 127.0.0.1

[Pasient]

Hei.

 

Sitter med pcen til stefaren min, som nå er passe fucked. Problemet er at når jeg feks prøver og oppdatere AVG og Spybot, så prøver programmene og koble seg til 127.0.0.1. Maskinen var infisert med "Antivirus 2009" og masse andre greier.

 

Jeg fikk fjerna Antivirus 2009.

Fikk kjørt kommandolinje-scanning med AVG i sikkerhetsmodus, som rapporterte om at det var funnet og fjernet 3 virus.

 

Problemene er som følger:

 

AVG vil ikke oppdatere seg pga av redirectinga til 127.0.0.1

Samme problemet med Spybot Search And Destroy.

Får ikke installert Malwarebytes Antimalware.

Spybot vil ikke starte etter install.

 

Det virker ganske håpløst, men formatering vil jeg unngå for en hver pris, da den pcen har 23543 forskjellige programmer (han jobber med musikk), som han SELVFØLGELIG ikke har backup av. Sist gang jeg formaterte den, brukte jeg 12 timer på og få den helt 100% for han.

 

Jeg har søkt igjennom registeret, dobbeltsjekka hosts fila, prøvd og bytte hosts fil, prøvd og endre plaseringen på hosts fila, sjekka egenskapet til nettverkstilkoblingen, sjekka om brannmuren var problemet.

 

Tips blir mottatt med glede.

 

Takk smile.gif

 

EDIT: Oppretta en tråd i feil del av forumet, fikk noen tips der. Følgende er blitt prøvd ut:

 

Combofix - Starter ikke.

MBM - Vil ikke installere.

Spybot - Nekter og starte, men vil starte scan av enkelt filer.

WLAN, audio, cd-rom funker ikke. (Feil i ini-fil til driveren). Prøvde og kopiere inn alle filene fra System 32 mappa til en frisk maskin, intet funker.

 

Pcen kjørte ESET Smart Security, og kjører nå AVG etter en med "peiling" var på besøk og skulle fikse dette.

[raWrz]

start maskinen i sikkerhets modus (tap F8 mange ganger under oppstart) og kjør Mbam og combofix derfra

 

edit: venligst post logger hvis det funker

Endret 17. desember 2008 av Submit

[norbat]

Se innlegg 2 under "Problemer med å laste ned og installere/kjøre av-programmer" (hopp foreløpig over DrWeb-delen)

 

Om du ikke får mbam til å installere seg, så endrer du navnet på installfila (mbam-setup.exe) til noe annet, eks. mb.exe.

Endret 17. desember 2008 av norbat

[Pasient]

start maskinen i sikkerhets modus (tap F8 mange ganger under oppstart) og kjør Mbam og combofix derfra

 

edit: venligst post logger hvis det funker

 

Combofix funker heller ikke i safe mode.

 

Se innlegg 2 under "Problemer med å laste ned og installere/kjøre av-programmer" (hopp foreløpig over DrWeb-delen)

 

Om du ikke får mbam til å installere seg, så endrer du navnet på installfila (mbam-setup.exe) til noe annet, eks. mb.exe.

 

MBM vil fortsatt ikke installere.

 

Spybot vil heller ikke kjøre. Når jeg trykker på c: og velger "scan", så starter prosessen "SDfiles", men ikke noe mer skjer.

 

Hijackthis funker. Scanner nå.

 

EDIT:

 

Hijackthis ble kjørt, og valgte bare at det skulle fikse ALT den fant. (Hvorfor ikke? ). Uansett, nå fikk jeg installert MBM og spybot kjører. Så vi er på riktig vei her.

 

Skal kjøre MBM nå.

 

EDIT2: Combofix starter i vanlig modus.

 

ITS ON, COMPUTER!

Endret 17. desember 2008 av Pasient

[norbat]

Å slette ALT hjt listet opp blir feil da de aller fleste oppføringene skal være der.

 

Hvis du har installert hjt i en egen mappe slik veiledningen sier, så vil det være opprettet backup. For å kjøre denne backupen skal du start hjt. Fra hovedmenyen veler du "view the list of backup"

Velg backupfila og klikk Restore.

[Pasient]

Detaljer tar vi senere.

 

Det viktigste er at etter det ble gjort, så funker MBM, Spybot og Combofix. Sistnevnte kjører nå.

[raWrz]

det er IKKE detaljer.... det er en sykt viktig ting hvis du vil ha en data som virker i morra

[Pasient]

Vel. Gjort er gjort, og pcen starter opp fint i vanlig modus, uten nevneverdige problemer. Så vi får se. Det eneste den har endra på er hvilke programmer som starter opp. Sånt fikser man i msconfig.

Endret 17. desember 2008 av Pasient

[raWrz]

uansett post logger fra combofix og mbam takk

[Pasient]

Will do. Combofix bruker lang tid. Står nå på "Find3M". Sier at prosessen får ikke tilgang til filen fordi den brukes av en annen prosess.

 

Får bare vente^^

[r2d290]

Vel. Gjort er gjort, og pcen starter opp fint i vanlig modus, uten nevneverdige problemer. Så vi får se. Det eneste den har endra på er hvilke programmer som starter opp. Sånt fikser man i msconfig.

 

Gjort er gjort ja, men det er ikke for sent å gå tilbake sånn norbat forklarer. Anbefaler deg på det sterkeste å gjøre dette så snart du er ferdig med combofix...

 

edit: og hvis du ønsker å fortsette å få hjelp til å fjerne malware på denne måten, er det VELDIG viktig at du gjør nøyaktig som du får beskjed om, og ikke gjøre noe du er usikker på. HijackThis, og særlig combofix, er to veldig kraftige verktøy i den betydning at feil bruk vil kunne gi alvorlige følger for maskinen. (Prøver ikke å skremme deg vekk, men du bør ta dette alvorlig )

Endret 17. desember 2008 av r2d290

[Pasient]

Har restora nå.

 

Problemene var som følger:

 

Virtumonde.

Antivirus 2009.

Noe suspekt i Bearshare.

 

Og det er borte nå, pcen er BETYDELIG raskere, og jeg har ikke merka noe uvanlig. Det som gjenstår er og gjenopprette drivere og sånt.

 

Takk for hjelpa! (Og neste gang jeg bruker hijackthis skal jeg ikke være så cocky)

[norbat]

Har du kjørt combofix, er det ønskelig å se loggen (c:\combofix.txt).

 

Sammen med Antivirus 2009 opptrer det ofte en proxy (grunnen til at du ble redirektet til 127.0.0.1). Tipper at du kom deg på nett fordi du fjernet alt i hjt-loggen inkl. proxy oppføringen. Kan derfor være greit å se i combofix-loggen om det fortsatt ligger noe rusk igjen.

Endret 17. desember 2008 av norbat