AVG vind "Hosts" Virus

[MrCorpse]

Hallo,

ik heb een aantal keer (over een periode van +- 2 weken) mijn pc gescant met AVG. Al deze keren vind hij een virus genaamd "hosts"

Dan bij "test results->result overview" staat er dat er "no threats found"
Bij "test results->virus results" staat er 1 object als volgt ingedeelt:

Object: C:\Windows\system32\drivers\etc\hosts
Result: Change
Status: Changed

De "Virus Vault" is leeg.
Ik kan dit bestand niet verwijderen o.i.d
Wat moet ik hiermee?

 

[Ton52]

Open het bestand in kladblok, en post de inhoud hier.
C:\WINDOWS\system32\drivers\etc\hosts

 

[dnties]

Zal er over gaan dat het genoemde hosts bestand meer zaken bevat dan standaard meegeleverd met Windows.
Normaal gesproken staat daar alleen een verwijzing naar localhost in:
127.0.0.1 localhost

Programma's zoals Spybot Search & Destroy zetten daar (als je 'immuniseert') een hele sloot porno- en andere sites in, die daarna dus niet meer bereikt worden.
Virussen leiden via het hosts bestand bijv. de sites voor Anti-virus updates of google om, zodat die updatesites óf niet meer bereikt kunnen worden, óf je voor google of je bankzaken wordt omgeleid naar fake sites (voor reclame, extra virussen, vangen van pincodes etc.).

De inhoud van het hosts bestand even posten is dus inderdaad een goed idee, dan kunnen we hier beoordelen of de aanpassingen erin wel of niet van schadelijke aard zijn:
Start -> Uitvoeren -> notepad %windir%\system32\drivers\etc\hosts

Succes,

Tijs.

 

[MrCorpse]

hm ok, ik wil het best hier posten.. maar het is (echt!) heeeel veel... voornamelijk internet adressen idd.. (niet zozeer porno enzo trouwens... meer van google.nl etc)

alsnog alles posten?
er stonden trouwens meer hosts bestanden in die map:

Hosts
hosts.msn
hosts.20080226-231337.backup

edit: ik gebruik trouwens inderdaad Spybot Search & Destroy

 

[Ton52]

Als het echt veel is,
Een ‘normaal’ XP hosts bestand ziet er zo uit (tussen de stippellijn).
Als je geen aangepast hosts bestand gebruikt van bv: http://www.mvps.org/winhelp2002/hosts.htm
Dan kun je deze tekst kopiëren en plakken (in kladblok) en opslaan als hosts, (zonder extentie) en jou bestand vervangen door deze.

==============================================================

# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost

==============================================================

 

[dnties]

Posten lijkt me niet zo zinvol, als je Spybot Search & Destroy gebruikt.

Loop er zelf even doorheen, en kijk of je 'verdachte' dingen tegenkomt.
Zoek vooral naar websites die lijken te horen bij (de fabrikanten van) software die je gebruikt, zodat je voor updates niet in het bos gestuurd wordt.
En natuurlijk ook kijken of de verschillende nederlandse banken erin voorkomen!

Hint: In notepad.exe (=Kladblok) kun je met Ctrl-F kun je zoeken in het bestand. Met Ctrl-Home ga je terug naar het begin, voor een evt. volgende zoekactie.

Tijs.

 

[MrCorpse]

ik heb voor zover ik weet niets bijzonders kunnen vinden. Ook geen banken oid.

Wat moet ik nu doen? het bestand vervangen door hetgeen wat Ton52 al zei?

edit: in deze andere 2 staat het volgende
bij hosts.20080226-231337:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dit is een voorbeeld HOSTS-bestand dat wordt gebruikt door Microsoft TCP/IP for Windows.
#
# Dit bestand bevat de toewijzingen van IP-adressen naar hostnamen. Elke vermelding
# moet op een afzonderlijke regel staan. Het IP-adres dient in de eerste kolom te worden
# geplaatst, gevolgd door de bijbehorende hostnaam. Het IP-adres en de hostnaam dienen
# gescheiden te zijn door ten minste één spatie.
#
# Daarnaast kunnen opmerkingen (zoals deze) worden toegevoegd op extra
# regels of gevolgd door de computernaam, voorafgegaan door een #.
#
# Bijvoorbeeld:
#
# 102.54.94.97 rhino.acme.com # bronserver
# 38.25.63.10 x.acme.com # x clienthost

127.0.0.1 localhost


En bij Hosts als msn bestand staat hetzelfde. Dus deze twee lijkt me dan prima, en zo te laten als ik Ton52 goed begrijp?

 

[Ton52]

Ja, dan is er niets aan de hand met je hosts file.

 

[MrCorpse]

oke, even voor de zekerheid;

ik open dat hosts bestand met kladblok, verwijder daar ALLES wat er staat. Zet bovenstaande stuk tekst erin, opslaan en niks meer aan doen..?

Dan is het probleem verholpen? Is het verstandig om Search & Destroy te verwijderen zodat dit niet meer gebeurt? ik heb ook AVG anti spyware dus...

 

[dnties]

Als je het hosts bestand weer terugzet naar het origineel, dan moet je daarna wel weer in Spybot Search & Destroy weer immuniseren.

Je weet dan zeker dat alleen Spybot aan het hosts bestand gezeten heeft

Eventueel kun je inderdaad Spybot van je systeem halen, als Avg Antispyware het werk al voor je doet.

Tijs.

 

[MrCorpse]

Ik heb het bestand gewijzigd, maar ik kan het vervolgens niet opslaan. hij zegt dat het pad of bestandstype niet klopt..

Ik kan hem opzich wel opslaan als kladblok bestand, maar dan word het dus weer een nieuw bestand. Wat nu?

 

[Ton52]

Post 7 is jouw hosts file, daar is toch niets mis mee.

 

[MrCorpse]

ehm nee...

bij post 7 staat hetgene wat er in de andere 2 hosts bestanden (hosts.msn en
hosts.20080226-231337.backup) staat.

In het Hosts bestand zelf (wat dus gewoon hosts heet) staat dus die hele lap met sites die Spybot Search&Destroy daar heeft neergezet. Spybot heb ik inmiddels verwijdert, en als ik je goed begreep kon ik de lijst aanpassen naar hetgene wat je zei.

Dat probeerde ik dus, maar zodra ik het wil opslaan geeft hij aan dat het bestandstype niet klopt en of ik dat wil controleren.
Ik kan het wel opnieuw opslaan als kladblok-bestand, maar is dat wel de bedoeling?

 

[Ton52]

Verwijder gewoon het (grote) hosts bestand, bij hosts.msn haal je .msn weg en je hebt je originele bestand terug.
De backup kun je ook verwijderen.