Sul computer di un mio amico cè una situazione del tutto analoga a questa
cambiano solo le porte
http://www.asrm.ch/adminDocs/netstat.jpg

Trovata con google su un 3d francese
http://www.apachefrance.com/Forums/index.php?showtopic=3107

Premesso che
-non posso agire sul firewall
-HJT pulito (cmq come visto in altri casi è sempre pulito)

Come risolvo?
Se ho capito dice di aggiungere al file hosts una riga
127.0.0.1 babe.the-killer.bz
:confused: :confused:

esatto
togli la spunta alla sola lettura e edita il file

io farei uno scan online con kaspersky perchè potrebbe essere un trojan

io farei uno scan online con kaspersky perchè potrebbe essere un trojan



ti consiglio a anch'io la stessa cosa.....vai di kaspersky e vedi cosa ti dice

Grazie per i consigli appena torno dal mio amico provo.
Ma possibile che sia il primo in italia a vedere questo problema?
Sui forum esteri (specialmente tedeschi e spagnoli) se ne parla un sacco...il poblema è capire che cosa dicono :confused:
Pure quelli in inglese (ammesso che quello si possa definire inglese) non sono chiari, dal poco che ho capito il problema non deriva da un malware "classico" ma da una modifica di qualche file di sistema.
Sul comp del mio amico, per esempio, le porte su cui si collega babe.the-killer.bz sono quelle utilizzate dall'antivirus...e con portscan risultano "stealth"... :muro:

Ma possibile che sia il primo in italia a vedere questo problema?

chi per primo becca un nuovo virus può dargi il nome: pensa un virus di nome manganese sigla Mn :D

Ieri sono tornato sul comp del mio amico, l'unica soluzione trovata (perchè non ho trovato nulla) è stata quella di editare il file hosts.
Cmq almeno qualcun altro ha sbattuto il naso nello stesso problema...e non l'ha risolto :p
http://forum.zeusnews.com/viewtopic.php?t=15997&highlight=&

Usa il programma CurrentPorts e controlla qual è il processo che è connesso a quel server.

Poi mandami l'eventuale file connesso se lo trovi.

Potrebbe essere un trojan con funzioni di rootkit. Farei inoltre una scansione con BlackLight Beta.

CurrentPorts con win 98 non riesco a risalire al processo
ma da process explorer sembrava che il proceso fosse l'update dell'antivirus.
:confused:
Il problema che leggo in tutti i forum (almeno quelli che capisco) è che non si vede un file specifico "colpevole" della situazione.
BlackLight Beta purtroppo sul 98 non và :(

hai fatto una scansione con il nuovo kaspersky 6?

inoltre puoi provare con prevx, ma non ti assicuro niente non avendo il pc sottomano attualmente

CurrentPorts con win 98 non riesco a risalire al processo
ma da process explorer sembrava che il proceso fosse l'update dell'antivirus.
:confused:
Il problema che leggo in tutti i forum (almeno quelli che capisco) è che non si vede un file specifico "colpevole" della situazione.
BlackLight Beta purtroppo sul 98 non và :(
come non funziona currports con 98?

Per funzuionare funziona, ma non identifica l'applicazione collegata alla porta.
You can also use this utility on previous versions of Windows (Windows 98/ME), but in these versions of Windows, the process information for each port won't be displayed. :read:

A questo punto provo prevx poi, considerando che il pc non è mio, entro in "modalità leech" e aspetto che qualcuno risolva questo problema per poi copiare la soluzione. :ciapet:

Per funzuionare funziona, ma non identifica l'applicazione collegata alla porta.
You can also use this utility on previous versions of Windows (Windows 98/ME), but in these versions of Windows, the process information for each port won't be displayed. :read:

A questo punto provo prevx poi, considerando che il pc non è mio, entro in "modalità leech" e aspetto che qualcuno risolva questo problema per poi copiare la soluzione. :ciapet:

fammi sapere, semmai contattami in privato, possibilmente con il pc sotto mano

Forse ho capito!!!

The first non comment line in the host file should be

127.0.0.1 localhost

I suspect that the hosts file that Malcolm is using starts with

127.0.0.1 babe.the-killer.bz

probably because he has used the spybot search and destroy additions to the hosts file or another list of bad sites to be included in the hosts file, but instead of them being added they have replaced the hosts file. (Maybe someone tried to create the hosts file manually from the spybot data ?) This will have also cause the browser to seem to run very slowly. To fix it first make sure that the file c:/windows/hosts (for win98) is not read only - locate the file in windows explorer then right click on it and choose properties then uncheck read only if it is checked. find the file hosts.sam in the same directory and open it in wordpad or notepad. select it all and copy it (to clipboard). open the hosts file and paste what has been copied at the top. Edit the comments if you are fussy and know what you are doing. Save it. restart. try opening the browser again. or checking with netstat

babe.the-killer.bz è la prima riga dell'hosts di spybot che ha sostituito e non si è aggiunto a quello normale!
Oggi telefono al mio amico per sincerarmi.
The leech colpisce ancora
:D :D :D :D :D :D

Bè a pensarci bene, a questo punto, si potrebbe azzardare l'ipotesi di una specie di bug nella funzione immunizzatrice di spybot per i windows che non contengono già un file hosts.
:confused: :confused:
Cioè piazzando ex novo il suo con la prima linea
127.0.0.1 babe.the-killer.bz
potrebbe creare questo casino...o almeno mi pare :mc:
Vabbuò l'importante è avere risolto...oggi pom. verifico, ma sono sicuro che il problema è quello.

Ho fatto cancellare il file hosts: problema risolto :D
La prossima volta che ci torno voglio verificare se è colpa di spybot!