facebook trojan?

[lobimang]

Op een van de pc,s bij mij thuis kan ik plotseling niet meer inloggen op facebook.Wil ik of een ander huisgenoot inloggen dan verschijnt de melding dat er vanaf dat adres spam is verstuurd en dat daarom het account is geblokkeerd.
om het op te heffen moet dan een mailtje gestuurd worden naar (anti-spam@facebook.com) dan krijg je een code waarmee je het account kan deblokkeren.ook moet men daarvoor 20$ betalen.
Daar ik niet van plan ben te betalen ,en het probleem zich op maar 1 pc voordoet(op de andere kan ik gewoon facebook gebruiken) ben ik opzoek gegaan naar informatie .Volgens zeggen is er op de machine een trojan geinstalleerd (naam is me ontgaan)
Ik heb verscheidenen programma,s geprobeerd,van Spybot S&D tot MbaM,maar de melding blijft terug komen.
wel zijn er verschillende infecties gevonden.

Is er iemand bekend met dit probleem?wordt er zo,n beetje pissig van

 

[jeroen199]

Ik heb wel 1 tip, niets betalen want dat willen ze juist.

 

[dnties]

Zal eens tijd worden dat men ophoudt met meldingen van "ik wordt er pissig van" vanwege zaken die men zélf op hun computer/laptop heeft laten komen...

a. Heb je de hosts-file al doorgenomen? Wellicht wordt facebook.com omgeleid naar een andere site.
Probeer dus eens vanaf die computer het rechtstreeks ip-adres van www.facebook.com: http://69.171.224.53
b. Misschien is er een proxy actief. Kijk na: [Windows-toets]r toetscombinatie -> inetcpl.cpl
Ga naar tabblad Verbindingen en klik op LAN instellingen. Vink alles uit wat er aangevinkt staat en klik zo vaak OK als nodig is. Start daarna Internet Explorer opnieuw en kijk of het beter gaat.

 

[lobimang]

hartelijk dank dnties.het is gelukt de meldingen zijn verdwenen,ik heb gebruik gemaakt van jou rechtsreeks ip adres, want die wist ik niet,trouwens dat van de proxy verbindingen had ik ook al geprobeert,te samen met mijn eerder genoemde acties.en die hadden niet geholpen.
verder heb ik nu ook avg de deur gewezen,en maak nu gebruik van microsoft security essentials want die heb ik op mijn andere machine ook en daar heb ik geen problemen .
maar de meldingen zijn verdwenen en alles is weer normaal hartelijk dank nogmaals iedereen

 

[dnties]

Fijn dat het opgelost is.

Graag nog je vraag als opgelost aangeven: Klik op "Zet status opgelost" op de donkerblauwe horizontale balk, bijna bovenaan deze webpagina [die met "Zet status opgelost", "Onderwerp opties" etc.]

PS: Als je nu ipv. http://www.facebook.com gebruik moet blijven maken van het rechtstreekse ip-adres, dan zou het kunnen zijn dat er in je hosts-file nog wat staat dat facebook.com omleidt. Ook kan het zijn dat er een (gehackte) DNS-server bij jou is ingesteld door die trojan.
Hosts-file hacking of DNS-omleiding kun je makkelijk nagaan door:
[Windows-toets]r toetscombinatie -> cmd /k nslookup www.facebook.com
Komt daar niet dat 69.171.224.53 als ip-adres voor www.facebook.com uit, dan is misschien je hosts-file gewijzigd.
Dat zou je dan op de volgende manier kunnen oplossen: Maak een snelkoppeling naar
notepad.exe %windir%\system32\drivers\etc\hosts
op je bureaublad, rechtsklik erop en kies voor "Als Administrator uitvoeren". Kijk na in het dan geopende bestand of er websites zijn omgeleid (localhost kun je gewoon laten staan in hosts; het gaat hier om (bijv.) www.facebook.com die je zou moeten verwijderen uit de hosts-file). Daarna de pc herstarten en opnieuw testen.
Kijk in de uitvoer van zojuist ook na welke DNS-server er gebruikt is. Is dat niet dezelfde DNS-server als op de andere computers op je thuisnetwerk, dan zal er door die trojan een gehackte DNS-server zijn ingesteld. Dat zou je dan in de IPv4 instellingen (Vista/W7) of in de Internet-protocol (TCP/IP) instellingen (XP) van je netwerkverbinding moeten kunnen omzetten naar wat er bij de andere computers staat. Daarna de pc herstarten en opnieuw testen.

Tijs.

 

[lobimang]

Ik moet je glijk geven Bij herstart was het probleem er weer en worden bepaalde sites geblokkeerd.en krijg ik weer de melding om te registreren om een unlock code te verkrijgen.

ik heb stap 1 uit gevoerd en krijg de volgende melding

*** Can't find server name for address 192.168.1.1: Non-existent domain
*** Default servers are not available
Server: UnKnown
Address: 192.168.1.1

Non-authoritative answer:
Name: www.facebook.com
Address: 69.171.242.74


de tweede stap om een snel koppeling te maken lukt me niet. ik heb het geprobeert maar als ik het uitvoer als adm.verdwijnt het .

 

[dnties]

Ok, zo even een paar dingen:
a. dat 69.171.242.74 ip-adres dat je terugkrijgt van je 192.168.1.1 (= je router en tegelijk je DNS-server) is prima, want ook dat is een geldig ip-adres voor www.facebook.com. Dus zolang er voor het bepalen van het ip-adres van www.facebook.com je eigen DNS-server wordt gebruikt door Windows is er niets aan de hand, maar lees 2.
b. Wat in het hosts bestand staat neemt prioriteit over wat je DNS-server aan Windows zou vertellen.
Dus als in het hosts-bestand een ip-adres staat aangegeven voor www.facebook.com, dan wordt dát ip-adres genomen als je www.facebook.com invult in je browser. Je kunt dat ook testen:
[Windows-toets]r toetscombinatie -> cmd /k ping www.facebook.com
Wordt er dan niet gepingd naar 69.171.242.74 of 69.171.224.53, dan lijkt het mij dat er in het hosts bestand gesjoemeld is of dat op een andere trojan-manier het ip-adres van www.facebook.com wordt vervangen door een andere.
Vermeld dan hier eens naar welk ip-adres er wordt gepingd, zodat we dat kunnen 'onderzoeken'.

Tijs.

 

[lobimang]

dit is het resultaat nadat ik de machine heb gescand met spyware fighter.
ik heb eerst de eerste cmd uitgevoerd die je me had gegeven ,en toen de tweede

*** Can't find server name for address 192.168.1.1: Non-existent domain
*** Default servers are not available
Server: UnKnown
Address: 192.168.1.1

Non-authoritative answer:
Name: www.facebook.com
Address: 69.171.242.70


C:\Documents and Settings\>cmd /k ping www.facebook.com

Pingen naar www.facebook.com [69.171.247.32] met 32 byte gegevens:

Antwoord van 69.171.247.32: bytes=32 tijd=98 ms TTL=245
Antwoord van 69.171.247.32: bytes=32 tijd=96 ms TTL=245
Antwoord van 69.171.247.32: bytes=32 tijd=98 ms TTL=245
Antwoord van 69.171.247.32: bytes=32 tijd=97 ms TTL=245

Ping-statistieken voor 69.171.247.32:
Pakketten: verzonden = 4, ontvangen = 4, verloren = 0
(0% verlies).De gemiddelde tijd voor het uitvoeren van ‚‚n bewerking in mill
iseconden:
Minimum = 96ms, Maximum = 98ms, Gemiddelde = 97ms

 

[dnties]

Ook dat 69.171.242.70 ip-adres is gewoon facebook, dus een 'goed' ip-adres.
Ik had liever gezien dat je die ping test had gedaan vóór die spyware fighter test, want nu weten we (nog steeds) niet waar je naar toe werd geleid (dus waar je geld moest betalen etc.)

Zover ik aan de tests kan zien zou het probleem nu opgelost moeten zijn, tenzij er malware op die pc/laptop zit die weer een andere methode gebruikt om je webbrowser om te leiden.

Kun je ons vertellen of http://www.facebook.com nu wél goed werkt op die ene pc/laptop? Dus zonder dat die betaalsite in beeld verschijnt?

Tijs.

 

[lobimang]

Het probleem schijnt opgelost te zijn maar om je eerlijk te zeggen door een stom toeval.Toen ik Ping logje hier voor je poste.kwam ik op het idee eens een Logje met highjack this
te maken en die te plaatsen mischien dat jij of iemand veel meer kon zien.Ik maakte de scan en het program sloeg meteen op tilt,ik kreeg gelijk een melding dat ik een groot aantal gehackte websites had,en dat het geen zin had die door het program te laten verwijderen zonder dat ik de host file had ge-delete.Het program verwees naarC:windows\ system32 \drivers\en dat ik daarin de file host moest verwijderen.
Ik deed dat en toen deed highjack this de rest en zijn alle meldingen verdwenen.Ik moet zeggen dat er werkelijk een heleboel files waren met allemaal hetzelfde ip.adres google,you-tube,gmail,facebook,allemaal met dezelfde adres.
Met jou methode waren wij al aardig in de buurt gekomen "notepad.exe %windir%\system32\drivers\etc\hosts"alleen bij highjack this ontbrak de etc.
Mag ik je bedanken voor je hulp en ik moet zeggen dat ik heel veel bij heb geleerd

 

[dnties]

Even nog wat opmerkingen:
%windir% is een omgevingsvariabele, die aangeeft de map waar Windows is geïnstalleerd. De hele opdrachtregel had dus bij jou zich (automatisch) moeten expanderen tot:
notepad.exe c:\windows\system32\drivers\etc\hosts
Verder komt het voor dat malware in de registry de bestandslokatie van het hosts bestand 'aanpast' zodat hun eigen versie van hosts wordt gebruikt terwijl aan de standaard %windir%\system32\drivers\etc\hosts file niets fouts te zien is.
De bestandslokatie staat in de registry als waarde DataBasePath in de registersleutel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Toen jij terugmeldde dat je het hosts-bestand niet kon vinden zat ik in díe richting te denken, maar als ik je goed begrijp stond het hosts bestand wel in %windir%\system32\drivers\etc, maar had je een typefout gemaakt of %windir% verwees naar wat anders of je was vergeten "Als Administrator" te doen etc.
Je hebt (2 postings geleden) laten zien dat er gePing't werd naar een (ander) geldig ip-adres voor www.facebook.com (=69.171.247.32), dus lijkt het mij dat de malware een andere methode dan aanpassing van het hosts-bestand heeft gebruikt om je om te leiden. Als voorbeeld heb ik in mijn eigen hosts-bestand www.facebook.com als ip-adres 123.123.123.123 gegeven, en ik krijg dan (dus) bij de ping-test het aangepaste ip-adres uit het hosts bestand te zien:
Pingen naar www.facebook.com [123.123.123.123] met 32 byte gegevens:

Fijn dat mijn hulp je (een stuk) geholpen heeft.

Graag nog de vraag op opgelost zetten: Klik op "Zet status opgelost" op de donkerblauwe horizontale balk, bijna bovenaan deze webpagina [die met "Zet status opgelost", "Onderwerp opties" etc.]

Tijs.