[win XP] TR/Qhost.AA

[xcdegasp]

Falso positivo dato dalla manovra poco elegante di usare il file HOSTS come mezzo per eliminare possibili comunicazioni a siti infetti...
è la stessa attività che farebbe il malware per dirottare le comunicazioni solo che il tuo file HOST le tiene ferme all'interno del tuo pc evitando così connessioni malefiche.

Quindi ecco spiegato l'arcano... ma il file "48080975.qua" dove lo hai pescato? dovrebbe essere una quarantena di un programma di sicurezza.. esempio Avira-Antivir o A-squared...


come pulizia puoi fixare le seguenti voci:

Quote:

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Console] wthsvc.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?c47510b74c764b3a9a1a5d7d814f3ded

O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?c47510b74c764b3a9a1a5d7d814f3ded

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programmi\Photodex\ProShowProducer\ScsiAccess.exe

[PISOLOMAU]

allora ho risolto,

la causa di tutto era questo file

C:\WINDOWS\wthsvc.exe

che bitdefender individuava come sede del virus

Backdoor.IRCBot.ABHQ

Ho rinominato il file in "wthsvc.exeold"

ho rifatto una nuova scansione con bitdefender e l'ha individuato di nuovo, ma questa volta lo ha cancellato.

Al riavvio del sistema il problema è sparito

Avira non mi segnala più il trojan

Grazie per la splendida assistenza!

[PISOLOMAU]

Quote:

Originariamente inviato da xcdegasp

Falso positivo dato dalla manovra poco elegante di usare il file HOSTS come mezzo per eliminare possibili comunicazioni a siti infetti...
è la stessa attività che farebbe il malware per dirottare le comunicazioni solo che il tuo file HOST le tiene ferme all'interno del tuo pc evitando così connessioni malefiche.

Quindi ecco spiegato l'arcano... ma il file "48080975.qua" dove lo hai pescato?

era il file sospetto messo in quarantena da AVIRA

Quote:

Originariamente inviato da xcdegasp

come pulizia puoi fixare le seguenti voci:

scusa l'ignoranza, ma cosa vuol dire?

Apro il file HOSTS.MSN con il notepad e cancello le voci che mi hai indicato e poi lo risalvo con lo stesso nome?

[Riverside]

Quote:

Originariamente inviato da PISOLOMAU

allora ho risolto, la causa di tutto era questo file
C:\WINDOWS\wthsvc.exe
che bitdefender individuava come sede del virus
Backdoor.IRCBot.ABHQ
Ho rinominato il file in "wthsvc.exeold"
ho rifatto una nuova scansione con bitdefender e l'ha individuato di nuovo, ma questa volta lo ha cancellato.

Faresti un gran bel lavoro se tu ripulissi anche il file hosts:

Quote:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme.com # server origine
# 38.25.63.10 x.acme.com # client host x

127.0.0.1 localhost
127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 www.drivecleaner.com ## added by CiD
127.0.0.1 www.errorprotector.com ## added by CiD
127.0.0.1 www.errorsafe.com ## added by CiD
127.0.0.1 www.systemdoctor.com ## added by CiD
127.0.0.1 www.utils.winfixer.com ## added by CiD
127.0.0.1 www.win-anti-virus-pro.com ## added by CiD
127.0.0.1 www.win-virus-pro.com ## added by CiD
127.0.0.1 www.winantispam.com ## added by CiD
127.0.0.1 www.winantispy.com ## added by CiD
127.0.0.1 www.winantispyware.com ## added by CiD
127.0.0.1 www.winantivirus.com ## added by CiD
127.0.0.1 www.winantiviruspro.com ## added by CiD
127.0.0.1 www.windrivecleaner.com ## added by CiD
127.0.0.1 www.windrivesafe.com ## added by CiD
127.0.0.1 www.winfixer.com ## added by CiD
127.0.0.1 www.winfixer2006.com ## added by CiD
127.0.0.1 www.winsoftware.com ## added by CiD

Tutta quella roba che ti ho indicato in rosso, va eliminata.
Altra cosa, hai seguito il suggerimento che ti avevo dato qui?
http://www.hwupgrade.it/forum/showpo...5&postcount=33

[murack83pa]

Quote:

Originariamente inviato da PISOLOMAU

era il file sospetto messo in quarantena da AVIRA



scusa l'ignoranza, ma cosa vuol dire?

Apro il file HOSTS.MSN con il notepad e cancello le voci che mi hai indicato e poi lo risalvo con lo stesso nome?

no, vuol dire che devi rilanciare hijackthis, e, finita la scansione devi selezionare le voci indicate da deg, clicca poi su fix

[juninho85]

Quote:

Originariamente inviato da Riverside

Tutta quella roba che ti ho indicato in rosso, va eliminata.

quelle righe,così impostate,fan sì che digitando quegli indirizzi non si subiscano infezioni

[Riverside]

Quote:

Originariamente inviato da juninho85

quelle righe,così impostate,fan sì che digitando quegli indirizzi non si subiscano infezioni

Ciao Juni, è un fatto personale: preferisco avere il file hosts pulito e, soprattutto, un antivirus ed un firewall che facciano, bene, il loro lavoro.
E poi, quella roba non è finita li dentro perché ce la ha messa lui facesse a meno di utlizzare estensioni non ufficiali per Messenger (in questo caso Messenger Plus, visto che CID è' lo sponsor program di quella estensione che non fa altro che riempierti di pubblicità).

[PISOLOMAU]

Quote:

Originariamente inviato da Riverside

Altra cosa, hai seguito il suggerimento che ti avevo dato qui?
http://www.hwupgrade.it/forum/showpo...5&postcount=33

si l'ho fatto pari pari

Quote:

Originariamente inviato da Riverside

Tutta quella roba che ti ho indicato in rosso, va eliminata.

scusa Riverside, non maledirmi, ma ne vedo molti in ultimo (sono indirizzi web che terminano con "") in blu, elimino pure loro?

Se tu poi fossi così paziente da spiegarmi cosa sono queste righe ed in particolare cosa è il file HOSTS.

L'infezione è partita proprio da Messenger plus, lo usa mia figlia , un suo amico (sto str...z..) le ha inviato un link e appena lei ci ha cliccato sopra, avira ha cominciato a segnalare il virus, ma ormai era fatta....

[PISOLOMAU]

Quote:

Originariamente inviato da Riverside

Ciao Juni, è un fatto personale: preferisco avere il file hosts pulito e, soprattutto, un antivirus ed un firewall che facciano, bene, il loro lavoro.
E poi, quella roba non è finita li dentro perché ce la ha messa lui facesse a meno di utlizzare estensioni non ufficiali per Messenger (in questo caso Messenger Plus, visto che CID è' lo sponsor program di quella estensione che non fa altro che riempierti di pubblicità).

a proposito, dici che Messenger Plus è una fonte di guai? Che soluzione c'è?

Il mio file HOSTS.MSN dovrebbe allora essere così?

Quote:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme.com # server origine
# 38.25.63.10 x.acme.com # client host x

127.0.0.1 localhost

faccio anche il fix con hijackthis come suggerito qua sotto?

Quote:

.......no, vuol dire che devi rilanciare hijackthis, e, finita la scansione devi selezionare le voci indicate da deg, clicca poi su fix

[xcdegasp]

Quote:

Originariamente inviato da PISOLOMAU

era il file sospetto messo in quarantena da AVIRA

allora avevo capito male.. ora ho visto che hai risolto

Quote:

Originariamente inviato da PISOLOMAU

scusa l'ignoranza, ma cosa vuol dire?

Apro il file HOSTS.MSN con il notepad e cancello le voci che mi hai indicato e poi lo risalvo con lo stesso nome?

il file HOSTS è senza estensione e sicuramente non avrebbe estensione ".msn", questo è solo per cultura generale..

per "fixare" si intende rifare una scansione con HiJackThis e a fine scansione il tasto a sinistra in basso si tramuta in "Fix IT", da cui la traduzione "fixare"..
Dovrai pertanto selezionare le voci che ti avevo elencato e poi premere il tasto "Fix IT"

[PISOLOMAU]

Quote:

Originariamente inviato da xcdegasp

il file HOSTS è senza estensione e sicuramente non avrebbe estensione ".msn", questo è solo per cultura generale..

il mio aveva estensione .msn

Grazie sei proprio super gentile, come gli altri amici che mi hanno aiutato

[Riverside]

Quote:

Il mio file HOSTS.MSN dovrebbe allora essere così?

Quote:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme.com # server origine
# 38.25.63.10 x.acme.com # client host x

127.0.0.1 localhost

Esatto, il contenuto deve essere quello.

Quote:

Apro il file HOSTS.MSN con il notepad e cancello le voci che mi hai indicato e poi lo risalvo con lo stesso nome

No: come ti è già stato detto, non deve avere nessuna estensione quindi lo salvi come HOSTS e basta.

Quote:

L'infezione è partita proprio da Messenger plus

Non esattamente ..... ed il problema legato al Plus è una cosa in più.
Se non vuoi che il problema si ripeta, ti suggerisco di disinstallare il plug-in PLUS per Messenger.

[PISOLOMAU]

Quote:

Originariamente inviato da Riverside

Esatto, il contenuto deve essere quello.

No: come ti è già stato detto, non deve avere nessuna estensione quindi lo salvi come HOSTS e basta

allora, del file HOSTS.MSN che ne faccio? lo elimino? Il file che mi hai indicato tu lo salvo solo come HOSTS senza nessuna estensione?

Quote:

Originariamente inviato da Riverside

Non esattamente ..... ed il problema legato al Plus è una cosa in più.
Se non vuoi che il problema si ripeta, ti suggerisco di disinstallare il plug-in PLUS per Messenger.C

occhei vado e l'ammazzo...

[xcdegasp]

prima di cancellarne il suo contenuto io direi di valutare le possibilità di agire per ottenere lo stesso effetto..
il problema del file HOSTS locale è che poi in qualche modo dovrai tenere quelle voci aggiornate perchè il malware nella rete si sposta proprio come i branchi di pesce nel mare..

per questo motivo non è proprio una soluzione ideale quella di agire su di un file... potrebbe essere invece utile un sistema più dinamico e che richieda meno manutenzione all'utente e che dia meno fastidi ad antivirus/hips/firewall ossia quello di agire sui dns..
un ottimo esempio è usare i dns di www.OpenDNS.com che in automatico impediscono la connessione a server ritenuti maligni..

quindi il mio consiglio è prima di individuare come migliorare la situazione attuale, applicare la scelta e poi ripulire il file HOSTS.

[PISOLOMAU]

Quote:

Originariamente inviato da xcdegasp

per questo motivo non è proprio una soluzione ideale quella di agire su di un file... potrebbe essere invece utile un sistema più dinamico e che richieda meno manutenzione all'utente e che dia meno fastidi ad antivirus/hips/firewall ossia quello di agire sui dns..
un ottimo esempio è usare i dns di www.OpenDNS.com che in automatico impediscono la connessione a server ritenuti maligni..

quindi il mio consiglio è prima di individuare come migliorare la situazione attuale, applicare la scelta e poi ripulire il file HOSTS.

Sono andato qua ed ho eseguito le istruzioni:

https://www.opendns.com/start?device=windows-xp

conviene customizzare?

[xcdegasp]

io li ho impostati a livello router così in un colpo solo proteggevo tutti i pc dentro la rete ma è ovvio che se possiedi un modem-adsl questo non lo puoi fare e devi agire solo a livello sistema operativo..

ora pulisci il file hosts

[PISOLOMAU]

Qualcuno può darmi una mano per questo?

in allegato c'è il report di Hijackthis fatto ora

Poi, nella dir C:\WINDOWS\system32\drivers\etc

questi sono i file presenti

come vedi il solo file HOSTS privo di estensioni non c'è

[PISOLOMAU]

uppino

[xcdegasp]

rinomina il file hosts.msn in hosts senza alcuna estensione.
quell'estyensione l'ha messa msn-plus

esempio:


il hosts.bak l'ho creato io quando ho dovuto editarlo, mi piace tenermi un salvataggio sempre

[lancetta]

Quote:

Originariamente inviato da xcdegasp

rinomina il file hosts.msn in hosts senza alcuna estensione.
quell'estyensione l'ha messa msn-plus

esempio:


il hosts.bak l'ho creato io quando ho dovuto editarlo, mi piace tenermi un salvataggio sempre

Quoto e gli darei proprietà di sola lettura onde evitarne la modifica non voluta