www.MegaLab.it

da **macaco** » dom lug 25, 2004 9:09 am

ciao a tutti ecco il mio problema!
un virus ha sostituito un file originale di windows, quello che il mio antivirus continua a segnalarmi è la presenza del file: c:windows/hosts la domanda è come posso reinstallare il file originale cancellando l'intruso?
grazie

da **crazy.cat** » dom lug 25, 2004 9:25 am

Il file hosts "originale" di windows è composto da queste righe

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme.com # server origine
# 38.25.63.10 x.acme.com # client host x

127.0.0.1 localhost

Di solito viene attaccato dai virus per aggiungere altri indirizzi a cui far collegare dialer e trojan vari.
controlla il tuo da cosa è composto, lo puoi modificare con notepad, al limite cancellalo e ricreane uno nuovo, se ti trovi in una rete di più pc, potresti avere degli altri valori impostati come quello del proxy.
che virus ti segnala?

da **macaco** » dom lug 25, 2004 9:53 am

questo è cio' che ho trovato dentro!!!
127.0.0.1 ruworld.com
127.0.0.1 maxxxhosters.com
127.0.0.1 therealsearch.com
127.0.0.1 thumbest-traffic.com
127.0.0.1 600pics.com
127.0.0.1 tonser.4-counter.com
127.0.0.1 free.sinpussy.com
127.0.0.1 hightcalldialer.com
127.0.0.1 bestpornnews.com
127.0.0.1 thumberland.com
127.0.0.1 greg-search.com
127.0.0.1 connect.online-dialer.com
127.0.0.1 0190-dialer.com
127.0.0.1 approvedlinks.com
127.0.0.1 download.buxomatic.com
127.0.0.1 dia.4-counter.com
127.0.0.1 vse-moe.biz
127.0.0.1 crue.global-counter.com
127.0.0.1 line-plus.com
127.0.0.1 porno-links.biz
127.0.0.1 download.tntdialer.com
127.0.0.1 freelivesex.org
127.0.0.1 free3xmatures.com
127.0.0.1 bestpics.net
127.0.0.1 dikai.com
127.0.0.1 world-search.biz
127.0.0.1 1-se.com
127.0.0.1 58q.com
127.0.0.1 aifind.cc
127.0.0.1 aifind.info
127.0.0.1 allneedsearch.com
127.0.0.1 auto.ie.searchforge.com
127.0.0.1 awebfind.biz
127.0.0.1 best.royalsearch.net
127.0.0.1 cracks.am
127.0.0.1 default-homepage-network.com
127.0.0.1 find.microgirls.com
127.0.0.1 find4u.net
127.0.0.1 freshvideogals.com
127.0.0.1 i-lookup.com
127.0.0.1 ie-search.com
127.0.0.1 in.webcounter.cc
127.0.0.1 itseasy.us
127.0.0.1 just.find-itnow.com
127.0.0.1 link.startmake.com
127.0.0.1 mysearchnow.com
127.0.0.1 nativehardcore.com
127.0.0.1 qwertysearch123.biz
127.0.0.1 search.ieplugin.com
127.0.0.1 search.psn.con
127.0.0.1 searchbar.findthewebsiteyouneed.com
127.0.0.1 searchcentrix.com
127.0.0.1 searchmyrequest.com
127.0.0.1 super-spider.com
127.0.0.1 t.rack.cc
127.0.0.1 teen-biz.com
127.0.0.1 teenhqpics.com
127.0.0.1 tits.hardcore4ever.net
127.0.0.1 webcoolsearch.com
127.0.0.1 wmmse.com
127.0.0.1 008i.com
127.0.0.1 2fastsearch.net
127.0.0.1 8095.com
127.0.0.1 alfa-search.com
127.0.0.1 boredlife.com
127.0.0.1 couldnotfind.com
127.0.0.1 cracks.am
127.0.0.1 daum.net
127.0.0.1 dreamwiz.com
127.0.0.1 find-itnow.com
127.0.0.1 find4u.net
127.0.0.1 firstbookmark.com
127.0.0.1 gajai.com
127.0.0.1 hand-book.com
127.0.0.1 hao123.com
127.0.0.1 hotsearchbox.com
127.0.0.1 hotwebsearch.com
127.0.0.1 hugesearch.net
127.0.0.1 iquicksearch.com
127.0.0.1 lookfor.cc
127.0.0.1 naver.com
127.0.0.1 nkvd.us
127.0.0.1 novafuck.com
127.0.0.1 ohcorea.com
127.0.0.1 omega-search.com
127.0.0.1 onet.pl
127.0.0.1 power-search.info
127.0.0.1 rightfinder.net
127.0.0.1 search-1.net
127.0.0.1 search-and-go.com
127.0.0.1 search-dot.com
127.0.0.1 search-space.com
127.0.0.1 searchforge.com
127.0.0.1 searching-the-net.com
127.0.0.1 searchv.com
127.0.0.1 searchxl.com
127.0.0.1 seznam.cz
127.0.0.1 slotch.com
127.0.0.1 spidersearch.com
127.0.0.1 startium.com
127.0.0.1 ttjj.com
127.0.0.1 viewpornkey.com
127.0.0.1 wazzupnet.com
127.0.0.1 websearch.com
127.0.0.1 windowws.cc
127.0.0.1 xgmm.com
127.0.0.1 xwebsearch.biz
127.0.0.1 yourbookmarks.ws
127.0.0.1 collections.inhost.info
127.0.0.1 collections.inhost2.info
127.0.0.1 www.ruworld.com
127.0.0.1 www.maxxxhosters.com
127.0.0.1 www.therealsearch.com
127.0.0.1 www.thumbest-traffic.com
127.0.0.1 www.600pics.com
127.0.0.1 www.hightcalldialer.com
127.0.0.1 www.bestpornnews.com
127.0.0.1 www.thumberland.com
127.0.0.1 www.greg-search.com
127.0.0.1 www.0190-dialer.com
127.0.0.1 www.approvedlinks.com
127.0.0.1 www.vse-moe.biz
127.0.0.1 www.line-plus.com
127.0.0.1 www.porno-links.biz
127.0.0.1 www.freelivesex.org
127.0.0.1 www.free3xmatures.com
127.0.0.1 www.bestpics.net
127.0.0.1 www.dikai.com
127.0.0.1 www.world-search.biz
127.0.0.1 www.1-se.com
127.0.0.1 www.58q.com
127.0.0.1 www.aifind.cc
127.0.0.1 www.aifind.info
127.0.0.1 www.allneedsearch.com
127.0.0.1 www.awebfind.biz
127.0.0.1 www.cracks.am
127.0.0.1 www.default-homepage-network.com
127.0.0.1 www.find4u.net
127.0.0.1 www.freshvideogals.com
127.0.0.1 www.i-lookup.com
127.0.0.1 www.ie-search.com
127.0.0.1 www.itseasy.us
127.0.0.1 www.mysearchnow.com
127.0.0.1 www.nativehardcore.com
127.0.0.1 www.qwertysearch123.biz
127.0.0.1 www.searchcentrix.com
127.0.0.1 www.searchmyrequest.com
127.0.0.1 www.super-spider.com
127.0.0.1 www.teen-biz.com
127.0.0.1 www.teenhqpics.com
127.0.0.1 www.webcoolsearch.com
127.0.0.1 www.wmmse.com
127.0.0.1 www.008i.com
127.0.0.1 www.2fastsearch.net
127.0.0.1 www.8095.com
127.0.0.1 www.alfa-search.com
127.0.0.1 www.boredlife.com
127.0.0.1 www.couldnotfind.com
127.0.0.1 www.cracks.am
127.0.0.1 www.daum.net
127.0.0.1 www.dreamwiz.com
127.0.0.1 www.find-itnow.com
127.0.0.1 www.find4u.net
127.0.0.1 www.firstbookmark.com
127.0.0.1 www.gajai.com
127.0.0.1 www.hand-book.com
127.0.0.1 www.hao123.com
127.0.0.1 www.hotsearchbox.com
127.0.0.1 www.hotwebsearch.com
127.0.0.1 www.hugesearch.net
127.0.0.1 www.iquicksearch.com
127.0.0.1 www.lookfor.cc
127.0.0.1 www.naver.com
127.0.0.1 www.nkvd.us
127.0.0.1 www.novafuck.com
127.0.0.1 www.ohcorea.com
127.0.0.1 www.omega-search.com
127.0.0.1 www.onet.pl
127.0.0.1 www.power-search.info
127.0.0.1 www.rightfinder.net
127.0.0.1 www.search-1.net
127.0.0.1 www.search-and-go.com
127.0.0.1 www.search-dot.com
127.0.0.1 www.search-space.com
127.0.0.1 www.searchforge.com
127.0.0.1 www.searching-the-net.com
127.0.0.1 www.searchv.com
127.0.0.1 www.searchxl.com
127.0.0.1 www.seznam.cz
127.0.0.1 www.slotch.com
127.0.0.1 www.spidersearch.com
127.0.0.1 www.startium.com
127.0.0.1 www.ttjj.com
127.0.0.1 www.viewpornkey.com
127.0.0.1 www.wazzupnet.com
127.0.0.1 www.websearch.com
127.0.0.1 www.windowws.cc
127.0.0.1 www.xgmm.com
127.0.0.1 www.xwebsearch.biz
127.0.0.1 www.yourbookmarks.ws

da **crazy.cat** » dom lug 25, 2004 10:12 am

Cancella pure tutto quello che hai nel tuo file e ci metti quello che ti ho scritto io.
Dopo averlo modificato cerchi il file e nelle proprietà (tasto destro sul nome lo metti come sola lettura).
Segui poi le istruzioni che trovi qui
http://www.zanezane.net/articoli.asp?id=427
e fai fare una buona scansione e pulizia a Spybot e Adware.

da **macaco** » dom lug 25, 2004 10:41 am

ho un problema con la sostituzione dello script io lo cambio e inesorabilmente dopo aver seguio le tue istruzioni il file si
ripresenta identico a prima, poi cwshredder non trova nulla forse perché non è aggiornato, ho provato a fare l'update ma non riesce a farlo

da **crazy.cat** » dom lug 25, 2004 10:52 am

Segui queste istruzioni allora e manda qui il log della scansione
http://www.zanezane.net/articoli.asp?id=453

da **macaco** » dom lug 25, 2004 11:02 am

come faccio a postare il log non riesco a copiarlo in nessun modo e ci saranno una trentina di stringhe da copiare

da **crazy.cat** » dom lug 25, 2004 11:39 am

Salvi il log in un file di testo e lo apri con notepad, selezioni tutto il testo e fai copia e poi lo incolli qui.

da **EntropheaR** » dom lug 25, 2004 12:12 pm

<blockquote id="quote">citazione:<hr height="1" noshade id="quote">Messaggio inserito da macaco
 poi cwshredder non trova nulla forse perché non è aggiornato, ho provato a fare l'update ma non riesce a farlo
<hr height="1" noshade id="quote"></blockquote id="quote">

Qui c'è l'ultima versione: http://allsecpros.com/ (1.59.1)

da **macaco** » dom lug 25, 2004 2:52 pm

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:ProgrammiAVPersonalAVGUARD.EXE
C:ProgrammiAVPersonalAVWUPSRV.EXE
C:ProgrammiAlcatelSpeedTouch USBDragdiag.exe
C:ProgrammiAVPersonalAVGNT.EXE
C:ProgrammiATI TechnologiesATI Control Panelatiptaxx.exe
C:WINDOWSSystem32carpserv.exe
C:WINDOWSsystem.exe
C:WINDOWSWin86.exe
C:WINDOWSSystem32ctfmon.exe
C:ProgrammiMessengermsmsgs.exe
C:Program FilesFinePixViewerQuickDCF.exe
C:Documents and SettingsmickeDesktopprogrammiHijackThis.exe
C:ProgrammiInternet Exploreriexplore.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1mickeIMPOST~1Tempsp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1mickeIMPOST~1Tempsp.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.117.134/index.php
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1mickeIMPOST~1Tempsp.html
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.117.134/index.php
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1mickeIMPOST~1Tempsp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1mickeIMPOST~1Tempsp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1mickeIMPOST~1Tempsp.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.117.134/index.php
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.117.134/index.php
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:ProgrammiSpybot - Search & DestroySDHelper.dll
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:WINDOWSquestmod.dll
O2 - BHO: (no name) - {F662C841-6E80-4BA7-961C-45E9996B19EC} - C:WINDOWSSystem32lgkdoa.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [SpeedTouch USB Diagnostics] "C:ProgrammiAlcatelSpeedTouch USBDragdiag.exe" /icon
O4 - HKLM..Run: [AVGCtrl] "C:ProgrammiAVPersonalAVGNT.EXE" /min
O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM..Run: [ATIPTA] C:ProgrammiATI TechnologiesATI Control Panelatiptaxx.exe
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [REGSHAVE] C:ProgrammiREGSHAVEREGSHAVE.EXE /AUTORUN
O4 - HKLM..Run: [CARPService] carpserv.exe
O4 - HKLM..Run: [System32] C:WINDOWSsystem.exe
O4 - HKLM..Run: [WinInit] Win86.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "C:ProgrammiMessengermsmsgs.exe" /background
O4 - Global Startup: Exif Launcher.lnk = ?
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:C:wmexsp.chm::/on-line.exe
O17 - HKLMSystemCCSServicesTcpip..{0EE061F1-D25B-4595-B128-D74EA0A1DEAB}: NameServer = 151.99.125.2 151.99.125.3

ecco qui quello che trova
come si aggiorna cwshredder con un file txt?

da **crazy.cat** » dom lug 25, 2004 5:29 pm

scaricati questo e lancia la scansione dalla modalità provvisoria.
Ricordati di cancellare i files temporanei di internet e i cookies
http://home.datacomm.ch/Windows/cwshredder.zip

con hijackthis dopo che hai fatto la scansione e pulizia con l'altro programma, rifai la scansione e metti il flag alle voci che fossero rimaste (alcune non dovresti più trovarle) e che ti indico qui sotto

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1mickeIMPOST~1Tempsp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1mickeIMPOST~1Tempsp.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.117.134/index.php
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1mickeIMPOST~1Tempsp.html
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.117.134/index.php
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1mickeIMPOST~1Tempsp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1mickeIMPOST~1Tempsp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1mickeIMPOST~1Tempsp.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.117.134/index.php
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.117.134/index.php
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:WINDOWSquestmod.dll
O2 - BHO: (no name) - {F662C841-6E80-4BA7-961C-45E9996B19EC} - C:WINDOWSSystem32lgkdoa.dll (file missing)
O4 - HKLM..Run: [REGSHAVE] C:ProgrammiREGSHAVEREGSHAVE.EXE /AUTORUN
O4 - HKLM..Run: [WinInit] Win86.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:C:wmexsp.chm::/on-line.exe
Dopo tutto questo riaviia il pc e rifai la scansione con hijackthis e vedi che cosa è rimasto.
Le pulizie con adware e spybot fai pure quelle.
Controlla anche il files hosts che sia pulito dagli indirizzi e impostalo di sola lettura.

Quel system.exe è legato a molti virus, se rimane ancora dopo tutte le pulizie fai una scansione online qui.
http://www.pandasoftware.com/activescan ... ncipal.htm
O4 - HKLM..Run: [System32] C:WINDOWSsystem.exe

www.MegaLab.it

sostituzione file originali

sostituzione file originali

Chi c’è in linea