Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

NOD ne moze da izbrise virus C:\WINDOWS\system32\drivers\etc\hosts

[es] :: Zaštita :: NOD ne moze da izbrise virus C:\WINDOWS\system32\drivers\etc\hosts

Strane: 1 2

[ Pregleda: 7273 | Odgovora: 21 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

dusan2309
Dusan Lukic
diplomirani matematicar-informaticar
Srbija

Član broj: 189208
Poruke: 225
195.178.35.*



+1 Profil

icon NOD ne moze da izbrise virus C:\WINDOWS\system32\drivers\etc\hosts06.11.2009. u 10:37 - pre 175 meseci
Do skoro sam koristio KAV (potpuno sam bio zadovoljan, jedino je ponekad kocio sistem) ali sam zadnji put kada sam instalirao sistem instalirao NOD32 verzija 3.0.621.0

Nekoliko puta u danu dok sam na internetu NOD javlja da je C:\WINDOWS\system32\drivers\etc\hosts trojanac i NOD ga smesti u karantin.
Ja ga izbrisem iz karantina ali ga NOD opet nadje posle nekog vremena i opet ga smesta u karantin, ja ga opet izbrisem i tako u krug...

U cemu moze da bude problem?
 
Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
212.200.44.*



+101 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts06.11.2009. u 10:52 - pre 175 meseci
Hosts fajl je sistemski fajl u kome su staticki definisane ip adrese za određenje domene. Nod i ne bi trebalo da moze da ga izbrise.
Sam po sebi fajl nije nikakav trojanac, virus itd (vec obican txt), ali neki drugi trojanac ili virus ga mozda koristi kako bi upisao nesto sto ce te redirektovati tamo gde ne treba. Npr, hoces da odes na www.google.com a hosts fajl ti servira IP adresu nekog malware servera, ili slicno.

Dakle, verovatno imas u sistemu neki virus koji menja sadzaj hosts fajla, ili si mozda sam definisao nesto sto Nod 'prepoznaje' kao "security threat"...

"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."
 
Odgovor na temu

valjan
Janko Valencik
Software Deployer
Schneider Electric
Novi Sad

Moderator
Član broj: 158605
Poruke: 3531
*.adsl.eunet.rs.



+553 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts06.11.2009. u 11:00 - pre 175 meseci
Hajde nam tacno napisi sta NOD javlja, jer taj fajl u svom izvornom obliku nikako ne moze biti trojanac (to je obican tekstualni fajl pomocu kojeg se vrsi staticko prevodjenje Internet domena u IP adrese). Sigurno imas neki program ili nekog drugog skrivenog trojanca ili crva koji upisuje neke svoje parametre u taj fajl kako bi preusmerio (hi-jack) tvoj browser da umesto neke stranice prikaze drugu sa stetnim sadrzajem.

Iz tvog opisa problema mogu lako da zakljucim da nisi nikad nista sam upisivao u taj fajl. U svom osnovnom obliku, kada ga otvoris u notepadu, on izgleda ovako:

Code:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost


Probaj da otvoris taj tvoj kada ti NOD prijavi problem, pa vidi da li ispod onog "127.0.0.1 localhost" postoji jos nesto upisano. Mozes i sam jednostavno izmeniti sadrzaj tako sto ces obrisati sve iz tog fajla, prekopirati ovo iz primera i sacuvati ga pod istim imenom (hosts, bez ekstenzije). Posle toga mozes kliknuti desnim dugmetom misa na njega, odabrati Properties, i stiklirati Read-Only kucicu i potvrditi sa OK kako bi sprecio da bilo koji program upisuje bilo sta u njega.

E sad, ako neki program (trojanac, crv, sta vec) stvarno menja sadrzaj hosts fajla, onda bi bio red i da ga uklonimo sa tvog racunara, pa bi mogao da iskeniras tvoj racunar pomocu HiJackThis i okacis nam njegov fajl ovde. Uputstvo za HJT mozes naci ovde

Edit: optix je bio brzi par minuta, nadam se da ti ne smeta da dva puta cujes isto objasnjenje

[Ovu poruku je menjao valjan dana 06.11.2009. u 12:14 GMT+1]
 
Odgovor na temu

dusan2309
Dusan Lukic
diplomirani matematicar-informaticar
Srbija

Član broj: 189208
Poruke: 225
195.178.35.*



+1 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts06.11.2009. u 11:05 - pre 175 meseci
Nisam nista definisao sto Nod 'prepoznaje' kao "security threat".
Citat:
optix:

Sam po sebi fajl nije nikakav trojanac, virus itd (vec obican txt), ali neki drugi trojanac ili virus ga mozda koristi kako bi upisao nesto sto ce te redirektovati tamo gde ne treba. Npr, hoces da odes na www.google.com a hosts fajl ti servira IP adresu nekog malware servera, ili slicno.


Ovo boldovano je izgleda problem, tj. ponekad mi se desava da NOD blokira neke adrese, tj. taj virus me redirektuje na neku adresu gde ne treba a NOD blokira tu redirektovanu adresu.
 
Odgovor na temu

magna86
Anti Malware Fighter

Član broj: 189287
Poruke: 557

Sajt: www.mycity.rs/Ambulanta


+16 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts06.11.2009. u 13:22 - pre 175 meseci
ajde...Start > Run
kopiraj ovo:
Citat:
C:\WINDOWS\NOTEPAD.EXE C:\WINDOWS\SYSTEM32\DRIVERS\etc\HOSTS


Ok

otvorice ti se notepad sa tekstom (tj. otvorice ti se hosts file)

kopiraj ovde sve sto se nalazi u tom izvestaju....

hosts file resetuj na default podesavanja ovako:


Skini program HostsXpert - Hosts File Manager
http://www.funkytoad.com/download/HostsXpert.zip

Pokreni HostsXpert

Klikni na Make ReadOnly?
klikni na Make Writable (ako je dostupan)
Klikni na Restore MS Hosts File pa Ok

Zatvori program

Onda postavi moderatorima HijackThis log kao sto su ti rekli
 
Odgovor na temu

dusan2309
Dusan Lukic
diplomirani matematicar-informaticar
Srbija

Član broj: 189208
Poruke: 225
195.178.35.*



+1 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts06.11.2009. u 22:07 - pre 175 meseci
Evo sta se desava: prvo izadje poruka sa slike nod1.bmp, (na nezeljenu adresu me je verovatno redirektovao taj virus).
Posle ove prve poruka konekcija je privremeno prekinuta ali se vrati posle nekoliko sekundi.
Zatim izadje poruka sa slike nod2.bmp.
U NOD-u u delu log files se nalazi ono sto je na slici nod3.bmp, a u karantinu je ono sto je na slici nod4.bmp

File C:\WINDOWS\system32\drivers\etc\hosts je prazan.
Sadrzaj file-a C:\WINDOWS\system32\drivers\etc\lmhosts.sam je u file-u attach.txt

Naravno ja izbrisem ova 2 file-a iz karantina (kao sto ste rekli host file ne moze da se obrise) ali se opet posle nekog vremena dogodi ista situacija.




Prikačeni fajlovi
 
Odgovor na temu

dusan2309
Dusan Lukic
diplomirani matematicar-informaticar
Srbija

Član broj: 189208
Poruke: 225
195.178.35.*



+1 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts06.11.2009. u 22:28 - pre 175 meseci
Evo i HiJackThis izvestaja
Prikačeni fajlovi
 
Odgovor na temu

Dashkes

Član broj: 90973
Poruke: 845



+27 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts06.11.2009. u 22:28 - pre 175 meseci
dusan2309
Poznato je da NOD32 ima problema sa brisanjem tog trojanca (cak nisu ispravili ni u 4. verziji).

Stiklirajte sledece objekte i kliknite “Fix checked”
O20 - Winlogon Notify: Csrss - C:\WINDOWS\SYSTEM32\csrss2.dll

Ako mozete fajlove
C:\Documents and Settings\All Users\Application Data\csrss.exe
C:\WINDOWS\SYSTEM32\csrss2.dll

da zapakujete u ".rar"/".zip" sa password-om "virus", upload-ujete na Rapidshare i posaljete mi link preko PP.

Preuzmite program Dr.Web CureIt!.

• Posle preuzimanja pokrenite Dr.Web CureIt!.
• Kad se upali odaberite Start. On ce automatski poceti da skenira racunar. Pustiti da skenira (to je Express Scan).

Pokazite log (zapakujte u ".rar" arhivu i upload-ujte) CureIt!-a koji se nalazi u C:\Documents and Settings\USERNAME\DoctorWeb\

[Ovu poruku je menjao Dashkes dana 06.11.2009. u 23:41 GMT+1]
 
Odgovor na temu

dusan2309
Dusan Lukic
diplomirani matematicar-informaticar
Srbija

Član broj: 189208
Poruke: 225
195.178.35.*



+1 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts06.11.2009. u 23:03 - pre 175 meseci
Evo i izvestaja Dr.Web CureIt!-a.
Prikačeni fajlovi
 
Odgovor na temu

Dashkes

Član broj: 90973
Poruke: 845



+27 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts06.11.2009. u 23:14 - pre 175 meseci
Citat:
C:\WINDOWS\temp\a22670.exe infected with BackDoor.Tdss.based.1 - deleted
C:\WINDOWS\temp\a27288.exe infected with Trojan.PWS.Siggen.568 - incurable - moved
c:\documents and settings\all users\application data\csrss.exe infected with Trojan.Searcher.68 - deleted

Ok, te nezvane goste smo sredili.

Citat:
C:\WINDOWS\system32\~.exe infected with Trojan.Searcher.68 - user denied curing

Sto ste odbili lecenje? Da li i dalje imate problema?
 
Odgovor na temu

dusan2309
Dusan Lukic
diplomirani matematicar-informaticar
Srbija

Član broj: 189208
Poruke: 225
195.178.35.*



+1 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts06.11.2009. u 23:22 - pre 175 meseci
Citat:
Citat:
C:\WINDOWS\system32\~.exe infected with Trojan.Searcher.68 - user denied curing

Sto ste odbili lecenje? Da li i dalje imate problema?


Greskom nisam obrisao file C:\WINDOWS\system32\~.exe

Startovacu opet program i izbrisati ovaj file.
 
Odgovor na temu

Dashkes

Član broj: 90973
Poruke: 845



+27 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts06.11.2009. u 23:24 - pre 175 meseci
Citat:
dusan2309:Startovacu opet program i izbrisati ovaj file.


Posle brisanja bih Vam savetovao da odradite Complete Scan, ali za sada je dovoljno. Da li i dalje imate problema posle lecenja racunara?
 
Odgovor na temu

dusan2309
Dusan Lukic
diplomirani matematicar-informaticar
Srbija

Član broj: 189208
Poruke: 225
195.178.35.*



+1 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts06.11.2009. u 23:33 - pre 175 meseci
Startovao sam opet program i nije nasao nijedan virus, medjutim prosli put sam slucajno odbio da obrisem C:\WINDOWS\system32\~.exe
a sada ga ponovnim skeniranjem nije nasao.
 
Odgovor na temu

Dashkes

Član broj: 90973
Poruke: 845



+27 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts06.11.2009. u 23:35 - pre 175 meseci
Hm... Mora da ga je obrisao onda sam jer na kraju izvestaja pise da je obrisano 3 objekta. Da li i dalje imate problema sa racunarom?
 
Odgovor na temu

dusan2309
Dusan Lukic
diplomirani matematicar-informaticar
Srbija

Član broj: 189208
Poruke: 225
195.178.35.*



+1 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts06.11.2009. u 23:50 - pre 175 meseci
U poslednjih pola sata desava mi se da je sistem dosta opterecen sto nije bio slucaj pre.
Evo slike task manager-a.

Ukljucio sam da program Dr.Web skenira samo folder C:\WINDOWS\system32 gde se nalazi file za koji nisam siguran da li je izbrisan.

EDIT: Dr.Web je zavrsio sa skeniranjem foldera C:\WINDOWS\system32 i nije nasao nijedan virus. Medjutim i dalje sistem "guta" puno RAM memorije.
EDIT: Sutracu cu kompletno skenirati sistem pomocu opcije complete scan pa cu videti da li je problem potpuno resen.
Prikačeni fajlovi
 
Odgovor na temu

Dashkes

Član broj: 90973
Poruke: 845



+27 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts07.11.2009. u 00:03 - pre 175 meseci
Posle restarta, da li se stanje izmenilo?
Dr.Web CureIt! opterecuje sistem jer skenira racunar.
P.S. Pre kompletnog skeniranja, skinite novi Dr.Web CureIt! (da bude svez).
 
Odgovor na temu

Cyber01001
Našice , CRO

Član broj: 66227
Poruke: 540
*.adsl.net.t-com.hr.



+33 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts07.11.2009. u 00:29 - pre 175 meseci
probaj s ovim

edit: obrisan link, jer ne vodi do zvanicne instalacije ComboFix fajla

[Ovu poruku je menjao valjan dana 07.11.2009. u 03:59 GMT+1]
 
Odgovor na temu

valjan
Janko Valencik
Software Deployer
Schneider Electric
Novi Sad

Moderator
Član broj: 158605
Poruke: 3531
*.dynamic.sbb.rs.



+553 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts07.11.2009. u 03:05 - pre 175 meseci
@Cyber01001

1. ComboFix se ne proba - to je suvise mocan alat da bi se neko igrao s njime probajuci ga, nego se koristi uz strucni nadzor.
2. Jedina dva zvanicna linka za preuzimanje mogu se pronaci ovde. Svi oni koji sadrze ComboFix u nazivu domena su uglavnom lazni.
 
Odgovor na temu

newtesla
Aleksander Segedi
CEO / owner
Tim011 Digital doo
N 44.69344 - E 20.38175

Član broj: 147164
Poruke: 1532
dynamic-78-30-128-46.adsl.eunet.rs.

Sajt: www.knjigovodja.in.rs


+404 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts07.11.2009. u 10:43 - pre 175 meseci
a da probaš da obrišeš TEMP foldere mozille, opere i IE? tj, isprazniš ih?

IE:
c:\Documents and Settings\TVOJ USERNAME NA KOMPJUTERU\Local Settings\Temporary Internet Files\

...normalno je da ne može da obriše index.dat...

Firefox:
c:\Documents and Settings\TVOJ USERNAME NA KOMPJUTERU\Local Settings\Application Data\Mozilla\Firefox\Profiles\540pcdxu.default\Cache\

...možda je kod tebe drugo ime za ovaj folder 540pcdxu.default, ali je jedini unutar foldera Profiles.

Opera:
c:\Documents and Settings\TVOJ USERNAME NA KOMPJUTERU\Local Settings\Application Data\Opera\Opera\cache\

...valjda ne treba da brišeš folder revocation...


...neviđeno često se malware ugnezdi u temp. preporučujem brisanje iz safe moda, korišćenjem total commander-a, ili nekog drugog alata.

[Ovu poruku je menjao newtesla dana 07.11.2009. u 11:54 GMT+1]
Kad, tokom pravljenja Nes kafe, umesto da uzmeš mleko iz friza tamo ustvari staviš Nes konzervu - shvatiš koliko je multitasking za*ebana i pipava rabota :)
 
Odgovor na temu

dusan2309
Dusan Lukic
diplomirani matematicar-informaticar
Srbija

Član broj: 189208
Poruke: 225
195.178.35.*



+1 Profil

icon Re: NOD ne moze da izbrise virus C:WINDOWSsystem32driversetchosts07.11.2009. u 12:12 - pre 175 meseci
Citat:
Cyber01001: probaj s ovim

edit: obrisan link, jer ne vodi do zvanicne instalacije ComboFix fajla

[Ovu poruku je menjao valjan dana 07.11.2009. u 03:59 GMT+1]

Sa ComboFix-om se ne bih "igrao", vec sam imao neprijatna iskustva sa njim.

Citat:
Dashkes: Posle restarta, da li se stanje izmenilo?
Dr.Web CureIt! opterecuje sistem jer skenira racunar.
P.S. Pre kompletnog skeniranja, skinite novi Dr.Web CureIt! (da bude svez).


Stanje se izmenio, nod32 ne prijavljuje vise hosts kao virus.

Hvala svima na pomoci.
 
Odgovor na temu

[es] :: Zaštita :: NOD ne moze da izbrise virus C:\WINDOWS\system32\drivers\etc\hosts

Strane: 1 2

[ Pregleda: 7273 | Odgovora: 21 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.