Jeg har desværre været angrebet af en hacker der efterlod en trojansk hest på min maskine. Jeg bruger Win XP Pro.
Efter hjælp fra www.spywarefri.dk lykkedes det mig at komme af med det skidt der var blevet lagt ind på min computer, men jeg har åbenbart stadig nogle problemer i kølvandet på ovenstående, hvorfor spywarefri.dk venligst henviste mig til eksperterne herinde. Jeg håber I kan hjælpe mig!
Mit problem er at jeg ikke kan uploade data til min hjemmeside efter dette hackerangreb, faktisk kan jeg slet ikke få forbindelse til webserveren, uanset hvilket FTP-program jeg bruger (har nu prøvet fire forskellige samt geninstallation af disse, uden held). Når jeg prøver at logge på FTP-serveren med korrekt brugernavn og adgangskode skriver FTP-programmet: "Resolving host as: xxx.xxx.xxx.xx" Hvor X'erne skal erstattes af IP-adressen på den hacker der efterlod en trojansk hest på min maskine. Dette kan jeg simpelthen ikke slippe af med. Jeg har ledt efter en såkaldt "hosts-fil" på min maskine i mappen: C:\Windows\System32\Drivers\etc. Der ligger fire host filer: "Hosts", "hosts.bak", "hostsagb" og "Imhosts" -jeg mener ikke umiddelbart at jeg kan bruge disse filer i denne sammenhæng, jeg har haft dem åbnet men i dem alle står der at der kun er tale om en eksempel-fil? Hvorfor jeg tror det er de forkerte filer jeg har fat i?
En søgning på den omtalte IP adresse gav desværre helle ingen resultater.
Er der nogen der har et forslag til hvordan jeg slipper af med dette problem så jeg atter får mulighed for at uploade til min hjemmeside?
Tjeck lige din host og lmhost filer om ikke den har lavet et entry heri hvor dit navn resolves som hackerens IP Du finder de omtalte filer her: C:\WINDOWS\system32\drivers\etc
Ps. det er ikke sikkert du har en lmhost fil - men det gør ikke noget.
Sorry læste ikke hele din beskrivelse - filen hedder hosts. Det er rigtigt nok en eksempelfil - men kun i den udstrækning at den hvis du ikke gør noget, kun har din egen maskine. Den benyttes stadig til at resolve din egen masken - ipaddressen der står heri SKAL være rigtig, da filen benyttes før der laves opslag i DNS mm.
Tak for de hurtige indlæg/svar på mit spørgsmål. Jeg synes stadig ikke jeg kan se nogen forkert/farlig IP i de omtalte filer, må jeg evt. prøve at sende dem til dig?
Har returneret med en frisk hosts fil - den gamle var temmelig inficeret. Hvis du ikke kan åbne mit attachement er det godt nok at kopiere din hosts.agb til hosts (det er åbenbart en backup trojaneren lavede før den ændrede din hosts fil)
I din hosts fil var der sat en masse navne på 127.0.0.1 (hvilket er din egen loopback adresse) dette ødelægger navne opslag således ftpserveren tror du er det navn der står ud for 127.0.0.1 - når den så skal sende tilbage laver den reverse lookup på dit navn og får ipaddressen på det forkerte navn - derfor er det at hostsfilen ødelægger din kommunikation med ftp serveren
Så er det afprøvet og jeg må med stor beklagelse meddele at det desværre ikke gjorde nogen forskel, jeg han stadig præcis det samme problem når jeg forsøger at forbinde med min FTP-program. :(
Nu tror jeg også at jeg har en forklaring på hvorfor det ikke lykkedes!
Efter at have slette den fil der var problemer med og omdøbt en anden til den rigtige hosts-fil, ser jeg nu inde i etc-mappen at de forkerte filer atter er blevet lagt ind, selvom jeg lige slettede dem. Jeg har ikke så meget forstand på det, men det kunne jo tyde på at der er et eller andet møg-program der selv lave en ny og forkert hosts-fil til mig ligeså snart jeg prøver at genstarte eller forbinde til FTP!?
Har lige et forslag til dig. Deaktiver din systemgendannels mens du gør det. Virker det ikke så prøv - stadig med den deaktiveret systemgendannelse at gøre det fra fejlsikret tilstand, og se om det ikke virker.
Det hjalp desværre ikke at deaktivere systemgendannelse, så snart jeg genstarter bliver disse filer igen lagt ind i min etc-mappe. (det hjælper heller ikke at lade være med at genstarte, det har jeg også prøvet). Hvordan er det nu lige man kører fejlsikret tilstand fra Win XP Pro, det er lang tid siden jeg har haft brug for det?
f8 tasten så kan du komme i fejlsikret tilstand. Håber det lykkedes for dig, det er det eneste sted man kan komme af med sådan en sk... trojaner så den ikke kommer igen med alle disse fejl. Og så selvfølgelig med HijackThis men den er sejlivet den du der har fået. Vend endelig tilbage med resultat.
Mange tak for de mange forslag. Jeg har nå både prøvet at deaktiverer systemgendannelse og imens kørt i fejlsikret tilstand - det gør dog desværre ingen forskel. Hver gang jeg genstarter ligger de forkerte hosts-filer atter i etc-mappen. Ved at køre i fejlsikret tilstand virkede det altså heller ikke, meldingen ved forsøg på forbindelse i FTP-programmet var dog en smule anderledes end den ellers "plejer" at være, den lød: "Værten kendes ikke" -> Connection Closed.
Det her er ved at gøre mig vanvittig! {8-(
Endnu en gang tak for venligheden og de mange forslag!
Grunden til det ikke virker i fejlsikret tilstand er, at du ikke har noget netværk i fejlsikret tilstand.
Det er godt nok underligt - hvad hed den trojanske hest du fik (der er sikkert et lille exeprogram på nettet til at fjerne den med (spyware fjerner ikke altid det hele.))
Jeg ved faktisk ikke hvad den hed. Jeg fik overgaard fra spywarefri.dk til at gennemgå en log-fik laves med HijackThis derefter skulle den være væk - men det er den tilsyneladende ikke helt alligevel?
Nej noget kunne tyde på at der stadig er noget tilbage - har du kørt de sidste updates på fra windows update - og eventuelt kørt en virusscan (trojanske heste er noget virusscannere normalt kan fjerne)
Og jeg ved heller ikke hvad den hed, kunne bare se hvad du skulle have væk.
Prøv lige at køre en spybot igen, og derefter en hijackthis. Det er den nye Hijackthis 196 du har ikke? ellers ska du hente den nye.
Hvis jeg var dig, ville jeg betale for den TrojanHunter så jeg kunne opdatere den, den koster ca. 250 kr. og så får du lov til at opdatere den.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
