Avira mi segnala all'avvio il seguente trojan

TR/Qhost.AA

nel percorso

C:\Windows\system32\drivers\etc

che posso fare?

Avira mi segnala all'avvio il seguente trojan

TR/Qhost.AA

nel percorso

C:\Windows\system32\drivers\etc

che posso fare?

edit: eliminalo, altrimenti lo metti in quarantena

grazie della prontezza!!

l'ho fatto ma ad ogni riavvio del pc ricompare l'avviso!!:help:

grazie della prontezza!!

l'ho fatto ma ad ogni riavvio del pc ricompare l'avviso!!:help:

disattiva il ripristino configurazione sistema e rifai la scansione

ecco il messaggio
Virus or unwanted program 'TR/Qhost.AA [TR/Qhost.AA]'
detected in file 'C:\WINDOWS\system32\drivers\etc\hosts.
Action performed: Delete file

e anche questo

Virus or unwanted program 'BAT/Agent.R [BAT/Agent.R]'
detected in file 'C:\a.bat.
Action performed: Delete file

disattiva il ripristino configurazione sistema e rifai la scansione

quindi elimino tutti i punti di ripristino?

quindi elimino tutti i punti di ripristino?

è consigliato dalle stesse case produttrici di disabilitare il ripristino quando si fa la scansione.....

@ PISOLOMAU, allega il log rilasciato da Avira.

ok, fatto

adesso provo la scansione con questo

http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/

@ PISOLOMAU, allega il log rilasciato da Avira.

allego la scansione

non mi segnala nulla ma all'avvio della macchina si!

un log di scansione della durata di 1 secondo non penso sia utile :D
fai prima a prendere il file messo in quarantena e farlo analizzare qui (http://www.virustotal.com),magari è "soltanto" il file host con dentro scritta qualche riga malevola

un log di scansione della durata di 1 secondo non penso sia utile :D
fai prima a prendere il file messo in quarantena e farlo analizzare qui (http://www.virustotal.com),magari è "soltanto" il file host con dentro scritta qualche riga malevola

porc...ho sbagliato report, ecco quello giusto...scusate:confused:

non è manco questo

non è manco questo

no è giusto, lo scan completo è durato 37 minuti, guarda l'ora

ho forse non ho capito cosa devo allegare :confused:

no è giusto, lo scan completo è durato 37 minuti, guarda l'ora

ho forse non ho capito cosa devo allegare :confused:

come ha detto juninho, fai analizzare il file su www.virustotal.com e posta qui il report

no è giusto, lo scan completo è durato 37 minuti, guarda l'ora

ho forse non ho capito cosa devo allegare :confused:

in quel log non viene rilevato nessun file infetto

come ha detto juninho, fai analizzare il file su www.virustotal.com e posta qui il report

scusa ma come faccio a trovare il fiel in quarantena? Dove li piazza Avira?

scheda "quarantine" dal pannello di controllo

scusa ma come faccio a trovare il fiel in quarantena? Dove li piazza Avira?

credo che xò, visto che è in quarantena, lo devi ripristinare x poterlo caricare su virustotal

più che altro deve sperare di aver selezionato "Quantine before action" considerato che "Action performed: Delete file"

più che altro deve sperare di aver selezionato "Quantine before action" considerato che "Action performed: Delete file"

nn avevo visto il log....ero fermo al tuo post :p

lascheda quarantine nel pannello di controllo non c'è

La prima volta che ho rilevato l'ho messo in quarantena come è impostato di default avira, la seconda volta l'ho cancellato

e 'nnamo :muro:
http://img377.imageshack.us/img377/5/pannellodicontrolloavirqd2.th.jpg (http://img377.imageshack.us/my.php?image=pannellodicontrolloavirqd2.jpg)

e 'nnamo :muro:
http://img377.imageshack.us/img377/5/pannellodicontrolloavirqd2.th.jpg (http://img377.imageshack.us/my.php?image=pannellodicontrolloavirqd2.jpg)

li ho trovati stanno qua

C:\Documents and Settings\All Users\Dati applicazioni\AntiVir PersonalEdition Classic\INFECTED

appena finisco il Virus total scan vi posto il risultato

questo è il primo

era relativo al TR/QHOST:AA

http://img135.imageshack.us/img135/4076/20080121234137zo5.jpg (https://addons.mozilla.org/firefox/1174)

prova a ripristinare il file originale dalla quarantena e fai analizzare quello

io ti suggerisco di fare una scansione online con bitdefender(l'unica che permette anche di rimuovere i virus,insieme a f-secure):
http://www.bitdefender.com/scan8/ie.html

io ti suggerisco di fare una scansione online con bitdefender(l'unica che permette anche di rimuovere i virus,insieme a f-secure):
http://www.bitdefender.com/scan8/ie.html

in effetti dal Virus total scan solo il Bit defender rileva il trojan. Adesso è partita la scansione online...sarà lunga

Intanto non so come ringraziarvi siete veramente impagabili e unici...meravigliosi angeli custodi

grazie e spero di risolvere se non riesco mi rifaccio sentire qua...;)

io non ho ancora i dati sufficenti per classificarlo come malevolo oltretutto non so ancora che oggetto sia :D
per esempio di virustotal hai opportunamente tralasciato le frasi che riportavano nome e codice md5 e sha1 quindi poter fare una stima è ancora più difficile..

ad occhio se lo rileva solo bit-defender è un falso positivo ma sarei curioso di avere più dati in mano :)

io non ho ancora i dati sufficenti per classificarlo come malevolo oltretutto non so ancora che oggetto sia :D
per esempio di virustotal hai opportunamente tralasciato le frasi che riportavano nome e codice md5 e sha1 quindi poter fare una stima è ancora più difficile..

ad occhio se lo rileva solo bit-defender è un falso positivo ma sarei curioso di avere più dati in mano :)

eccolo

http://img212.imageshack.us/img212/442/20080122003841hu6.jpg (https://addons.mozilla.org/firefox/1174)

Screenshot ricavato da cosa?.

Screenshot ricavato da cosa?.

dal Virus total scan

http://www.virustotal.com/it/analisis/1f3710767eb55b2e84068dbe8efd6e75

è il dato che mi ha chiesto xcdegasp

Secondo me è una variante di Trojan.ByteVerify

Disabilita il Ripristino configurazione di sistema procedendo in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve rimanere disabilitato fino a quando non sarà risolto il problema esposto

Svuota il contenuto della cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows
● aprila ed, al suo interno, cerca la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno
mi raccomando, non eliminare la cartella

svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

Ripeti una scansione con l'antivirus e dimmi se viene ancora rilevato.

Già che ci sei, allega, anche, una copia del file host.

Già che ci sei, allega, anche, una copia del file host.

mi spieghi questa?

mi spieghi questa?

con file e cartelle nascosti visualizzati vai in C:\WINDOWS\system32\drivers\etc\ e cerca hosts lo apri con il blocco note e alleghi qui il contenuto

con file e cartelle nascosti visualizzati vai in C:\WINDOWS\system32\drivers\etc\ e cerca hosts lo apri con il blocco note e alleghi qui il contenuto

ok

eccolo

serve assolutamente un log di hijackthis con più applicazioni possibili chiuse(msn,emule,bit torrent,word,wmplayer ecc..) scaricalo da QUI LINK (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe) è stand alone (senza installazione)mettilo in una sua cartella dedicata, lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati,li alleghi nel prossimo post ;)
un altra cosa..hai messenger plus per caso?

serve assolutamente un log di hijackthis con più applicazioni possibili chiuse(msn,emule,bit torrent,word,wmplayer ecc..) scaricalo da QUI LINK (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe) è stand alone (senza installazione)mettilo in una sua cartella dedicata, lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati,li alleghi nel prossimo post ;)
un altra cosa..hai messenger plus per caso?

ecco il file, si ho messenger plus installato

durante l'esecuzione di hijackthis, mi si apre anche la schermata di avira che mi informa del virus

All'avvio del PC le schermate di Avira sono queste, in successione da sin verso dex.

http://img66.imageshack.us/img66/8832/20080122060803sk8.jpg (https://addons.mozilla.org/firefox/1174)

allego anche il report di bitdefender

trova questo infected file che non riesce ad eliminare

C:\WINDOWS\wthsvc.exe

Infected with: Backdoor.IRCBot.ABHQ

C:\WINDOWS\wthsvc.exe

Disinfection failed

C:\WINDOWS\wthsvc.exe

Delete failed

:help:

ok

eccolo

si tratta del file host presente ora oppure di quello ripristinato dalla quarantena di avira?

Falso positivo dato dalla manovra poco elegante di usare il file HOSTS come mezzo per eliminare possibili comunicazioni a siti infetti...
è la stessa attività che farebbe il malware per dirottare le comunicazioni solo che il tuo file HOST le tiene ferme all'interno del tuo pc evitando così connessioni malefiche.

Quindi ecco spiegato l'arcano... ma il file "48080975.qua" dove lo hai pescato? dovrebbe essere una quarantena di un programma di sicurezza.. esempio Avira-Antivir o A-squared...


come pulizia puoi fixare le seguenti voci:

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Console] wthsvc.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?c47510b74c764b3a9a1a5d7d814f3ded

O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?c47510b74c764b3a9a1a5d7d814f3ded

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programmi\Photodex\ProShowProducer\ScsiAccess.exe


;)

allora ho risolto,

la causa di tutto era questo file

C:\WINDOWS\wthsvc.exe

che bitdefender individuava come sede del virus

Backdoor.IRCBot.ABHQ

Ho rinominato il file in "wthsvc.exeold"

ho rifatto una nuova scansione con bitdefender e l'ha individuato di nuovo, ma questa volta lo ha cancellato.

Al riavvio del sistema il problema è sparito :)

Avira non mi segnala più il trojan

Grazie per la splendida assistenza!

Falso positivo dato dalla manovra poco elegante di usare il file HOSTS come mezzo per eliminare possibili comunicazioni a siti infetti...
è la stessa attività che farebbe il malware per dirottare le comunicazioni solo che il tuo file HOST le tiene ferme all'interno del tuo pc evitando così connessioni malefiche.

Quindi ecco spiegato l'arcano... ma il file "48080975.qua" dove lo hai pescato?

era il file sospetto messo in quarantena da AVIRA


come pulizia puoi fixare le seguenti voci:


scusa l'ignoranza, ma cosa vuol dire?

Apro il file HOSTS.MSN con il notepad e cancello le voci che mi hai indicato e poi lo risalvo con lo stesso nome?

allora ho risolto, la causa di tutto era questo file
C:\WINDOWS\wthsvc.exe
che bitdefender individuava come sede del virus
Backdoor.IRCBot.ABHQ
Ho rinominato il file in "wthsvc.exeold"
ho rifatto una nuova scansione con bitdefender e l'ha individuato di nuovo, ma questa volta lo ha cancellato.
Faresti un gran bel lavoro se tu ripulissi anche il file hosts:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme.com # server origine
# 38.25.63.10 x.acme.com # client host x

127.0.0.1 localhost
127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 www.drivecleaner.com ## added by CiD
127.0.0.1 www.errorprotector.com ## added by CiD
127.0.0.1 www.errorsafe.com ## added by CiD
127.0.0.1 www.systemdoctor.com ## added by CiD
127.0.0.1 www.utils.winfixer.com ## added by CiD
127.0.0.1 www.win-anti-virus-pro.com ## added by CiD
127.0.0.1 www.win-virus-pro.com ## added by CiD
127.0.0.1 www.winantispam.com ## added by CiD
127.0.0.1 www.winantispy.com ## added by CiD
127.0.0.1 www.winantispyware.com ## added by CiD
127.0.0.1 www.winantivirus.com ## added by CiD
127.0.0.1 www.winantiviruspro.com ## added by CiD
127.0.0.1 www.windrivecleaner.com ## added by CiD
127.0.0.1 www.windrivesafe.com ## added by CiD
127.0.0.1 www.winfixer.com ## added by CiD
127.0.0.1 www.winfixer2006.com ## added by CiD
127.0.0.1 www.winsoftware.com ## added by CiD
Tutta quella roba che ti ho indicato in rosso, va eliminata.
Altra cosa, hai seguito il suggerimento che ti avevo dato qui?
http://www.hwupgrade.it/forum/showpost.php?p=20693455&postcount=33

era il file sospetto messo in quarantena da AVIRA



scusa l'ignoranza, ma cosa vuol dire?

Apro il file HOSTS.MSN con il notepad e cancello le voci che mi hai indicato e poi lo risalvo con lo stesso nome?

no, vuol dire che devi rilanciare hijackthis, e, finita la scansione devi selezionare le voci indicate da deg, clicca poi su fix

Tutta quella roba che ti ho indicato in rosso, va eliminata.

quelle righe,così impostate,fan sì che digitando quegli indirizzi non si subiscano infezioni

quelle righe,così impostate,fan sì che digitando quegli indirizzi non si subiscano infezioni
Ciao Juni, è un fatto personale: preferisco avere il file hosts pulito e, soprattutto, un antivirus ed un firewall che facciano, bene, il loro lavoro.
E poi, quella roba non è finita li dentro perché ce la ha messa lui :) facesse a meno di utlizzare estensioni non ufficiali per Messenger (in questo caso Messenger Plus, visto che CID è' lo sponsor program di quella estensione che non fa altro che riempierti di pubblicità).

Altra cosa, hai seguito il suggerimento che ti avevo dato qui?
http://www.hwupgrade.it/forum/showpost.php?p=20693455&postcount=33

si l'ho fatto pari pari :)



Tutta quella roba che ti ho indicato in rosso, va eliminata.

scusa Riverside, non maledirmi, ma ne vedo molti in ultimo (sono indirizzi web che terminano con "") in blu, elimino pure loro?

Se tu poi fossi così paziente da spiegarmi cosa sono queste righe ed in particolare cosa è il file HOSTS.

L'infezione è partita proprio da Messenger plus, lo usa mia figlia :muro: , un suo amico (sto str...z..) le ha inviato un link e appena lei ci ha cliccato sopra, avira ha cominciato a segnalare il virus, ma ormai era fatta....:mbe:

Ciao Juni, è un fatto personale: preferisco avere il file hosts pulito e, soprattutto, un antivirus ed un firewall che facciano, bene, il loro lavoro.
E poi, quella roba non è finita li dentro perché ce la ha messa lui :) facesse a meno di utlizzare estensioni non ufficiali per Messenger (in questo caso Messenger Plus, visto che CID è' lo sponsor program di quella estensione che non fa altro che riempierti di pubblicità).

a proposito, dici che Messenger Plus è una fonte di guai? Che soluzione c'è?

Il mio file HOSTS.MSN dovrebbe allora essere così?

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme.com # server origine
# 38.25.63.10 x.acme.com # client host x

127.0.0.1 localhost


faccio anche il fix con hijackthis come suggerito qua sotto?


.......no, vuol dire che devi rilanciare hijackthis, e, finita la scansione devi selezionare le voci indicate da deg, clicca poi su fix

era il file sospetto messo in quarantena da AVIRA
allora avevo capito male.. ora ho visto che hai risolto :D



scusa l'ignoranza, ma cosa vuol dire?

Apro il file HOSTS.MSN con il notepad e cancello le voci che mi hai indicato e poi lo risalvo con lo stesso nome?

il file HOSTS è senza estensione e sicuramente non avrebbe estensione ".msn", questo è solo per cultura generale..

per "fixare" si intende rifare una scansione con HiJackThis e a fine scansione il tasto a sinistra in basso si tramuta in "Fix IT", da cui la traduzione "fixare"..
Dovrai pertanto selezionare le voci che ti avevo elencato e poi premere il tasto "Fix IT" :)

il file HOSTS è senza estensione e sicuramente non avrebbe estensione ".msn", questo è solo per cultura generale..



il mio aveva estensione .msn :confused:

Grazie sei proprio super gentile, come gli altri amici che mi hanno aiutato ;)

Il mio file HOSTS.MSN dovrebbe allora essere così?
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme.com # server origine
# 38.25.63.10 x.acme.com # client host x

127.0.0.1 localhost

Esatto, il contenuto deve essere quello.
Apro il file HOSTS.MSN con il notepad e cancello le voci che mi hai indicato e poi lo risalvo con lo stesso nome
No: come ti è già stato detto, non deve avere nessuna estensione quindi lo salvi come HOSTS e basta.
L'infezione è partita proprio da Messenger plus
Non esattamente ;) ..... ed il problema legato al Plus è una cosa in più.
Se non vuoi che il problema si ripeta, ti suggerisco di disinstallare il plug-in PLUS per Messenger.

Esatto, il contenuto deve essere quello.

No: come ti è già stato detto, non deve avere nessuna estensione quindi lo salvi come HOSTS e basta

allora, del file HOSTS.MSN che ne faccio? lo elimino? Il file che mi hai indicato tu lo salvo solo come HOSTS senza nessuna estensione?


Non esattamente ;) ..... ed il problema legato al Plus è una cosa in più.
Se non vuoi che il problema si ripeta, ti suggerisco di disinstallare il plug-in PLUS per Messenger.C

occhei :read: vado e l'ammazzo...

prima di cancellarne il suo contenuto io direi di valutare le possibilità di agire per ottenere lo stesso effetto..
il problema del file HOSTS locale è che poi in qualche modo dovrai tenere quelle voci aggiornate perchè il malware nella rete si sposta proprio come i branchi di pesce nel mare..

per questo motivo non è proprio una soluzione ideale quella di agire su di un file... potrebbe essere invece utile un sistema più dinamico e che richieda meno manutenzione all'utente e che dia meno fastidi ad antivirus/hips/firewall ossia quello di agire sui dns..
un ottimo esempio è usare i dns di www.OpenDNS.com che in automatico impediscono la connessione a server ritenuti maligni..

quindi il mio consiglio è prima di individuare come migliorare la situazione attuale, applicare la scelta e poi ripulire il file HOSTS.

per questo motivo non è proprio una soluzione ideale quella di agire su di un file... potrebbe essere invece utile un sistema più dinamico e che richieda meno manutenzione all'utente e che dia meno fastidi ad antivirus/hips/firewall ossia quello di agire sui dns..
un ottimo esempio è usare i dns di www.OpenDNS.com che in automatico impediscono la connessione a server ritenuti maligni..

quindi il mio consiglio è prima di individuare come migliorare la situazione attuale, applicare la scelta e poi ripulire il file HOSTS.

Sono andato qua ed ho eseguito le istruzioni:

https://www.opendns.com/start?device=windows-xp

conviene customizzare?

io li ho impostati a livello router così in un colpo solo proteggevo tutti i pc dentro la rete ma è ovvio che se possiedi un modem-adsl questo non lo puoi fare e devi agire solo a livello sistema operativo..

ora pulisci il file hosts :p

Qualcuno può darmi una mano per questo?

in allegato c'è il report di Hijackthis fatto ora

Poi, nella dir C:\WINDOWS\system32\drivers\etc

questi sono i file presenti

come vedi il solo file HOSTS privo di estensioni non c'è

http://img301.imageshack.us/img301/8239/20080122190854xr8.jpg (https://addons.mozilla.org/firefox/1174)

uppino :stordita:

rinomina il file hosts.msn in hosts senza alcuna estensione.
quell'estyensione l'ha messa msn-plus :)

esempio:
http://img404.imageshack.us/img404/9636/etcam3.th.jpg (http://img404.imageshack.us/img404/9636/etcam3.jpg)

il hosts.bak l'ho creato io quando ho dovuto editarlo, mi piace tenermi un salvataggio sempre :p

rinomina il file hosts.msn in hosts senza alcuna estensione.
quell'estyensione l'ha messa msn-plus :)

esempio:
http://img404.imageshack.us/img404/9636/etcam3.th.jpg (http://img404.imageshack.us/img404/9636/etcam3.jpg)

il hosts.bak l'ho creato io quando ho dovuto editarlo, mi piace tenermi un salvataggio sempre :p

Quoto e gli darei proprietà di sola lettura onde evitarne la modifica non voluta
;)

mille grazie,

mi date un occhio anche al file log di Hthis per poi dirmi cosa devo fixare?

;)

pubblicalo :)

eccolo

P.S. l'avevo pubblicato 2 post più indietro :fagiano:

acrobat reader è restato alla versione 7.0 che è vecchia e assolutamente da aggiornare osostituire con FoxitReader :)

si ho già foxitreader

ma dal punto di vista sicurezza è tutto OK?

si ho già foxitreader

ma dal punto di vista sicurezza è tutto OK?

direi di no visto che acrobatreader soffre di gravi buchi al punto d'essere altamente critico... se ti dico di aggiornare o dinsinstallare c'è un motivo :p

direi di no visto che acrobatreader soffre di gravi buchi al punto d'essere altamente critico... se ti dico di aggiornare o dinsinstallare c'è un motivo :p


ok, segato l'acrobat, adesso c'è solo foxreader.

gracias ;)