loric

Ba', sarà che io sono strano, ma all'uscita della 145 andai a provarla. Fu una delusione totale, preferivo la mia 33S 1.3.

Visto che ora hai un WinXP "regolare", come antivirus ti consiglio di usare Microsoft Security Essentials. Tieni presente che necessita di Windows Update in funzione per aggiornarsi. Per quanto riguarda Emule... bah, per quanto io odi Windows Firewall ti consiglio di non disattivarlo completamente a meno che il tuo router esterno non ti faccia anch'esso da firewall. Piuttosto puoi configurarlo per aprire le porte necessarie aggiungendo emule fra i programmi riconosciuti. Configurare il Firewall di Windows con eMule

Il che, se mi permetti, è uno schifo. Chiudo qui e faccio rispettosamente un passo indietro dal thread.

Che OS devi installare? Perché, parliamoci chiaro, se vuoi installare una copia di WinXP non regolare (diciamo così) allora in breve tempo ti ritroverai con tutti i problemi di cui abbiamo già parlato, visto che non potrai usare Windows update e visto che WinXP senza le ultime patch di sicurezza è praticamente un colabrodo.

Una licenza copre un singolo PC, salve le versioni corporate che ovviamente qui non ci interessano. Che la singola chiave di WindowsXP possa essere usata fino a 3 volte è vero, ma ciò non rende lecito installare windows xp contemporaneamente su tre macchine con una singola licenza. Vista anche la problematica che ti sta portando a formattare il PC, hai valutato la fattibilità di passare a una qualche distro Linux per Desktop? Io per le macchine desktop/laptop uso Mandriva, per i server uso CentOS e per il laptopO di mia moglie Ubuntu.

Esatto

Bo', adesso speriamo che questa telenovela sia veramente arrivata alla fine. Non se ne può più Cmq Magna ora è nei guai visto che molti costruttori le avevano notificato il recesso dai contratti di forniture per evitare di trovarsi a dare liquidità ad un concorrente.

Per sostituire il file fa' come ti ho detto: apri il file hosts col blocco note, cancelli tutto e copi quanto avevo allegato al mio post più sopra. Non preoccuparti per quella roba che hai trovato, li ha inseriti Spybot Search & Destroy. E' un modo primitivo e brutale per bloccare quei siti reindirizzandoli sull'IP 127.0.0.1 che è quello corrispondente a localhost. Poiché, tuttavia, non è il caso di postarli tutti ed il medesimo file può essere stato modificato da qualche altro programmino meno benigno, ti consiglio di riportarlo alle condizioni di default.

Ok, ho capito. Un paio di post fa ho postato i contenuti di un file hosts standard. Sostituisci quello che hai con quello che ho postato. Quelle voci che vedi sono siti pericolosi bloccati da SB Search&Destroy in quel modo. Non occorre che posti il resto dei siti (anzi, magari cancella quelli che hai già postato perché qualcuno potrebbe cliccarci sopra per curiosità).

Sì, devi.

E' quello!

Ok, lancia notepad (blocco note) e copia quanto sotto in un file vuoto: # Copyright (c) 1993-1999 Microsoft Corp. # # Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows. # # Questo file contiene la mappatura degli indirizzi IP ai nomi host. # Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe # trovarsi nella prima colonna seguito dal nome host corrispondente. # L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio # o punto di tabulazione. # # È inoltre possibile inserire commenti (come questi) nelle singole righe # o dopo il nome del computer caratterizzato da un simbolo '#'. # # Per esempio: # # 102.54.94.97 rhino.acme.com # server origine # 38.25.63.10 x.acme.com # client host x 127.0.0.1 localhost Poi copia quel file in C:\Windows\System32\drivers\etc col nome hosts. Nessuna estensione. Vedi se la navigazione Internet migliora un pochetto.

Ed il file hosts non esiste proprio?

Quel file non esiste proprio sul tuo PC?

Non trova nessun file host? Hai impostato Windows per mostrare i file nascosti e di sistema?

Nì. Prima di capire che il sistema era stato compromesso da un rootkit (una variante del mebroot direi) formattare il PC sarebbe stato esagerato, gli antivirus oggi sono in grado di eliminare i normali virus in modo efficace e sicuro. Col senno di poi e verificato che si trattava di un rootkit, piallare tutto diventa, IMHO, opportuno. Ovviamente la prima regola in campo di sicurezza informatica sarebbe staccare la macchina compromessa dalla rete, usare i tool forensici per verificare l'estensione della compromissione e poi agire di conseguenza. Solo che è difficile dare consigli via forum a qualcuno che non è connesso ad Internet

Riesci ad aprire Free antivirus - Avira AntiVir ? Comunque posta i contenuti del file host. E' un file di testo tipicamente contenuto in c:\i386\host. Aprilo col notepad.

Il tuo computer, se non mi è sfuggito qualcosa, è probabilmente pulito. Solo che non posso darti alcuna certezza, capisci?

Fa' una scansione completa col tuo antivirus per tranquillità e presta attenzione a qualsiasi comportamento "strano" del sistema nei prossimi giorni. Anche se il sistema sembra pulito, io non me la sentirei di usarlo per, ad esempio, fare acquisti online con la mia carta di credito. Il "bello" dei rootkit è che si inseriscono nel cuore del sistema (allo stesso livello di kernel) e sono potenzialmente in grado di fare qualsiasi cosa e di far fare qualsiasi cosa alla macchina. C'è gente che ci ha rimesso i dati della carta di credito con quei cosi. Nel tuo caso specifico, il rootkit era installato nel MBR del disco rigido. Il MBR normalmente contiene il software di basso livello necessario a far partire il boot del sistema operativo e viene eseguito dal Bios. Il MBR originale era replicato altrove sul disco in maniera tale che fosse comunque possibile eseguire il boot. Quel rootkit, fra le altre piacevolezze, conteneva del codice per mascherare la propria presenza attraverso un meccanismo di code injection e hooking con i driver di sistema. Se un programma cercava di leggere il MBR per vedere se era stato modificato, il virus gli faceva leggere il MBR originale salvato in altra parte del disco. Comunque valuta tu cosa fare col tuo SO.

Direi che adesso va molto meglio. Quello che vedi è il rimasuglio del rootkit, ma lo stesso dovrebbe essere stato disattivato. Adesso firefox e explorer ti funzionano regolarmente?