Hosts fajl je sistemski fajl u kome su staticki definisane ip adrese za određenje domene. Nod i ne bi trebalo da moze da ga izbrise.
Sam po sebi fajl nije nikakav trojanac, virus itd (vec obican txt), ali neki drugi trojanac ili virus ga mozda koristi kako bi upisao nesto sto ce te redirektovati tamo gde ne treba. Npr, hoces da odes na www.google.com a hosts fajl ti servira IP adresu nekog malware servera, ili slicno.

Dakle, verovatno imas u sistemu neki virus koji menja sadzaj hosts fajla, ili si mozda sam definisao nesto sto Nod 'prepoznaje' kao "security threat"...

Hajde nam tacno napisi sta NOD javlja, jer taj fajl u svom izvornom obliku nikako ne moze biti trojanac (to je obican tekstualni fajl pomocu kojeg se vrsi staticko prevodjenje Internet domena u IP adrese). Sigurno imas neki program ili nekog drugog skrivenog trojanca ili crva koji upisuje neke svoje parametre u taj fajl kako bi preusmerio (hi-jack) tvoj browser da umesto neke stranice prikaze drugu sa stetnim sadrzajem.

Iz tvog opisa problema mogu lako da zakljucim da nisi nikad nista sam upisivao u taj fajl. U svom osnovnom obliku, kada ga otvoris u notepadu, on izgleda ovako:



Probaj da otvoris taj tvoj kada ti NOD prijavi problem, pa vidi da li ispod onog "127.0.0.1 localhost" postoji jos nesto upisano. Mozes i sam jednostavno izmeniti sadrzaj tako sto ces obrisati sve iz tog fajla, prekopirati ovo iz primera i sacuvati ga pod istim imenom (hosts, bez ekstenzije). Posle toga mozes kliknuti desnim dugmetom misa na njega, odabrati Properties, i stiklirati Read-Only kucicu i potvrditi sa OK kako bi sprecio da bilo koji program upisuje bilo sta u njega.

E sad, ako neki program (trojanac, crv, sta vec) stvarno menja sadrzaj hosts fajla, onda bi bio red i da ga uklonimo sa tvog racunara, pa bi mogao da iskeniras tvoj racunar pomocu HiJackThis i okacis nam njegov fajl ovde. Uputstvo za HJT mozes naci ovde

Edit: optix je bio brzi par minuta, nadam se da ti ne smeta da dva puta cujes isto objasnjenje

_{[Ovu poruku je menjao valjan dana 06.11.2009. u 12:14 GMT+1]}

Nisam nista definisao sto Nod 'prepoznaje' kao "security threat".


Ovo boldovano je izgleda problem, tj. ponekad mi se desava da NOD blokira neke adrese, tj. taj virus me redirektuje na neku adresu gde ne treba a NOD blokira tu redirektovanu adresu.

ajde...Start > Run
kopiraj ovo:


Ok

otvorice ti se notepad sa tekstom (tj. otvorice ti se hosts file)

kopiraj ovde sve sto se nalazi u tom izvestaju....

hosts file resetuj na default podesavanja ovako:


Skini program HostsXpert - Hosts File Manager
http://www.funkytoad.com/download/HostsXpert.zip

Pokreni HostsXpert

Klikni na Make ReadOnly?
klikni na Make Writable (ako je dostupan)
Klikni na Restore MS Hosts File pa Ok

Zatvori program

Onda postavi moderatorima HijackThis log kao sto su ti rekli

Evo sta se desava: prvo izadje poruka sa slike nod1.bmp, (na nezeljenu adresu me je verovatno redirektovao taj virus).
Posle ove prve poruka konekcija je privremeno prekinuta ali se vrati posle nekoliko sekundi.
Zatim izadje poruka sa slike nod2.bmp.
U NOD-u u delu log files se nalazi ono sto je na slici nod3.bmp, a u karantinu je ono sto je na slici nod4.bmp

File C:\WINDOWS\system32\drivers\etc\hosts je prazan.
Sadrzaj file-a C:\WINDOWS\system32\drivers\etc\lmhosts.sam je u file-u attach.txt

Naravno ja izbrisem ova 2 file-a iz karantina (kao sto ste rekli host file ne moze da se obrise) ali se opet posle nekog vremena dogodi ista situacija.

Evo i HiJackThis izvestaja

dusan2309
Poznato je da NOD32 ima problema sa brisanjem tog trojanca (cak nisu ispravili ni u 4. verziji).

Stiklirajte sledece objekte i kliknite “Fix checked”
O20 - Winlogon Notify: Csrss - C:\WINDOWS\SYSTEM32\csrss2.dll

Ako mozete fajlove
C:\Documents and Settings\All Users\Application Data\csrss.exe
C:\WINDOWS\SYSTEM32\csrss2.dll
da zapakujete u ".rar"/".zip" sa password-om "virus", upload-ujete na Rapidshare i posaljete mi link preko PP.

Preuzmite program Dr.Web CureIt!.

• Posle preuzimanja pokrenite Dr.Web CureIt!.
• Kad se upali odaberite Start. On ce automatski poceti da skenira racunar. Pustiti da skenira (to je Express Scan).

Pokazite log (zapakujte u ".rar" arhivu i upload-ujte) CureIt!-a koji se nalazi u C:\Documents and Settings\USERNAME\DoctorWeb\

_{[Ovu poruku je menjao Dashkes dana 06.11.2009. u 23:41 GMT+1]}

Evo i izvestaja Dr.Web CureIt!-a.

Ok, te nezvane goste smo sredili.


Sto ste odbili lecenje? Da li i dalje imate problema?

Greskom nisam obrisao file C:\WINDOWS\system32\~.exe

Startovacu opet program i izbrisati ovaj file.

Posle brisanja bih Vam savetovao da odradite Complete Scan, ali za sada je dovoljno. Da li i dalje imate problema posle lecenja racunara?

Startovao sam opet program i nije nasao nijedan virus, medjutim prosli put sam slucajno odbio da obrisem C:\WINDOWS\system32\~.exe
a sada ga ponovnim skeniranjem nije nasao.

Hm... Mora da ga je obrisao onda sam jer na kraju izvestaja pise da je obrisano 3 objekta. Da li i dalje imate problema sa racunarom?

U poslednjih pola sata desava mi se da je sistem dosta opterecen sto nije bio slucaj pre.
Evo slike task manager-a.

Ukljucio sam da program Dr.Web skenira samo folder C:\WINDOWS\system32 gde se nalazi file za koji nisam siguran da li je izbrisan.

EDIT: Dr.Web je zavrsio sa skeniranjem foldera C:\WINDOWS\system32 i nije nasao nijedan virus. Medjutim i dalje sistem "guta" puno RAM memorije.
EDIT: Sutracu cu kompletno skenirati sistem pomocu opcije complete scan pa cu videti da li je problem potpuno resen.

Posle restarta, da li se stanje izmenilo?
Dr.Web CureIt! opterecuje sistem jer skenira racunar.
P.S. Pre kompletnog skeniranja, skinite novi Dr.Web CureIt! (da bude svez).

probaj s ovim

edit: obrisan link, jer ne vodi do zvanicne instalacije ComboFix fajla

_{[Ovu poruku je menjao valjan dana 07.11.2009. u 03:59 GMT+1]}

@Cyber01001

1. ComboFix se ne proba - to je suvise mocan alat da bi se neko igrao s njime probajuci ga, nego se koristi uz strucni nadzor.
2. Jedina dva zvanicna linka za preuzimanje mogu se pronaci ovde. Svi oni koji sadrze ComboFix u nazivu domena su uglavnom lazni.

a da probaš da obrišeš TEMP foldere mozille, opere i IE? tj, isprazniš ih?

IE:
c:\Documents and Settings\TVOJ USERNAME NA KOMPJUTERU\Local Settings\Temporary Internet Files\

...normalno je da ne može da obriše index.dat...

Firefox:
c:\Documents and Settings\TVOJ USERNAME NA KOMPJUTERU\Local Settings\Application Data\Mozilla\Firefox\Profiles\540pcdxu.default\Cache\

...možda je kod tebe drugo ime za ovaj folder 540pcdxu.default, ali je jedini unutar foldera Profiles.

Opera:
c:\Documents and Settings\TVOJ USERNAME NA KOMPJUTERU\Local Settings\Application Data\Opera\Opera\cache\

...valjda ne treba da brišeš folder revocation...


...neviđeno često se malware ugnezdi u temp. preporučujem brisanje iz safe moda, korišćenjem total commander-a, ili nekog drugog alata.

_{[Ovu poruku je menjao newtesla dana 07.11.2009. u 11:54 GMT+1]}

Sa ComboFix-om se ne bih "igrao", vec sam imao neprijatna iskustva sa njim.



Stanje se izmenio, nod32 ne prijavljuje vise hosts kao virus.

Hvala svima na pomoci.

...samo zato sto si ga samostalno koristio..i to nepravilno...i bez nadzora

koristi Combofix iskljucivo po uputstvu koju je dao @valjan (top tema)...i uz nadzor...

nego...jesi li probao resetovati hosts na default kao sto sam gore napisao?

odradi reset hosta onim programom...pa onda vidi jel se tamo nalazi sadrzaj kao sto je postavio valjan u drugom postu..
ako ne...copy-paste..save..a to mozes i sa onim programom...

Resetovao sam host na default, sadrzaj file-a je potpuno isti kao sto je postavio valjan u 2. postu.

A sto se tice ComboFix-a posle pogresnog koriscenja nisam uopste mogao da se konektujem na internet, pa sam morao da instaliram ponovo driver za modem.