ciao a tutti,
innanzitutto vorrei fare a tutti gli auguri per un ottimo 2009!!!
veniamo ai fatti:
ieri dopo aver fatto girare Ad-Aware 2008 free mi è apparso questo messaggio nella schermata dei risultati, ovvero nell'indice OGGETTI CRITICI:
-famiglia: REDIRECTED HOSTFILE ENTRY
-categoria: MISC
-tai: 4
cliccandoci sopra si è aperta una sottocartella riportante:
-famiglia: HOSTS FILE ENTRY
-categoria: IP ADDRESS: 114.221.90.151 HOST NAME: LAVASOFT.DE

cliccandoci con il destro per avere informazioni, mi si è aperta una finestra che diceva:
ENTRY IN YOUR HOSTSFILE THAT REDIRECTS A PARTICULAR IP ADRESS TO DIFFERENT HOST. COMMONLY USE BY HIJACKERS. IF THE ENTRY IN YOUR HOSTSFILE IS INTENDED (SUCH AS BY USE OF A HOSTSFILE LIST), ADD THIS LISTING TO YOUR IGNORELIST. IF NOT, SELECTING THIS ITEM WILL REMOVE THE ENTRY FROM YOUR HOSTSFILE.

se non ho capito male mi sta dicendo che c'è un un diverso IP comunemente usato da HIJACKERS etc. però cosa esattamente voglia dire ciò mi è oscuro...faccio presente che sono un principiante...e vorrei sapere tra l'altro come comportarmi.

vi ringrazio anticipatamente per l'aiuto

[REDIRECTED HOSTFILE ENTRY]

Ad aware l'ho rimosso da un pò perchè non mi trovava mai nulla, niente nemmeno un cookies tracciante, ho preferito passare ad altri strumenti



REDIRECTED HOSTFILE ENTRY in breve significa che è stato rilevata una modifica all'interno del tuo File Host


il File Host è un banale file di testo che contiene una lunga lista di siti o server web, accanto a ogni voce trovate la dicitura 127.0.0.1

In parole povere questo significa che il computer NON potrà raggiungere nessuno degli indirizzi internet accanto a cui è posta tale numerazione,

la maggior parte dei siti contenuti nel File Host sono siti noti per azioni scorrette verso il navigatore.

un uso scorretto del file Host può essere appunto effettuato da alcuni Hijackers che vanno a modificarlo per trascinarvi contro la vostra volontà su una determinata pagina web (in genere viene sostituita la vostra homepage)  in tal caso aprendo il file Host
troverete il nome del sito su cui venite "dirottati" ma questa volta senza la dicitura 127.0.0.1


Un esempio classico di modifica non autorizzata del file Host da parte di un virus è questo:

127.0.0.1 liveupdate.symante.com
127.0.0.1 f-secure.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.kaspersky.com
127.0.0.1 trendmicro.com
127.0.0.1 www.sophos.com

in questo modo il virus ti impedirebbe di collegarti ai siti dei noti prodotti qui sopra x fare l'aggiornamento



visto che è stato rilevato tra gli oggetti critici Ad aware dovrebbe essere in grado  eliminarlo , se non te lo consente o non ci riuscisse puoi ignorarlo


puoi anche aprire google e cercare : REDIRECTED HOSTFILE ENTRY ci sono numerosi risultati



per scrupolo puoi fare qualche scansione tanto x stare tranquillo

inizia con il disattivare il ripristino di configurazione di sistema (questo perchè i virus si nascondono spesso nei punti di ripristino) ,

da pannello di controllo -->clic su icona   sistema --> clic sul tab Ripristino configurazione di sistema --> metti il flag nella casella che disattiva il ripristino --> clic su ok


quindi spegni e riaccendi il pc ,  questa volta però accendilo in modalità provvisoria (premi ripetutamente F8 subito diopo aver premuto il tasto power)

da modalità provvisoria  esegui una scansione completa con il tuo antivirus (aggiornato)

terminata la scansione riavvia in modalità normale

  a questo punto , scarica questo Malwarebytes Anti-Malware

lo trovi qui  http://www.malwarebytes.org

avvia la scansione e rimuovi eventuali infezioni

  adesso è la volta di Hijack This http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download


Scarica HijackThis 2.0.2
Apri il programma HijackThis

Fai click sul pulsante "Do a System scan and save a logfile"

verrà visualizzato un file txt, che poi sarebbe il report dei risultati della scansione

Per l'interpretazione del log copialo  e incollalo qui nel forum


Il LOG di HijackThis va ottenuto in modalità normale e non in modalità provvisoria, altrimenti i problemi non compariranno nella lista.

HijackThis va eseguito in Modalità Provvisoria, solo per rimuovere i problemi.

  dopo l'analisi ,x sicurezza fai una scansione on line con l'ottimo Kapersky

Kaspersky - http://www.kaspersky.com/virusscanner

  quando hai terminato le varie operazioni , ripulisci tutto con ccleaner http://www.ccleaner.com/

Guida completa Ccleaner
http://www.assistenzafree.com/guide/software/ccleaner.html

Fine

...grazie scrambler_900...mi metto subito all'opera e poi ti farò sapere

ciao a tutti,
come suggerito ho fatto la scansione in modalità provvisoria con antivirus AVG free 8.0 aggiornato. Di seguito il risultato. Da quanto leggo non sono stati trovati virus, ma alcuni file non sono stati testati perchè bloccati...sbaglio? Tutto normale o no?
Ho preferito pertanto interpellarvi prima di proseguire con le indicazioni datemi

P.S. quando ho lanciato l'antivirus mi si è aperta una finestra in cui si diceva che potevo usare l'antivirus solo con WINDOW SAFE MODE. Io non ho fatto altro che dare l'OK...dovevo fare qualcos'altro?

grazie in anticipo per l'aiuto

...scusate...il risultato della scansione è in allegato!!! chiedo venia

[Ad-Aware]

Vai pure avanti senza problemi

Questa è una guida su Ad-Aware, va bene anche se la guida è x la versione 2007
http://www.alexsandra.it/readarticle.php?article_id=110

Safe mode significa appunto modalità provvisoria quindi hai fatto bene

I file che Avg non ha scansionato, sono Files di sistema quindi bloccati o in uso dallo stesso sistema di conseguenza Avg non può accedervi per il controllo.

la scansione è pulita , meglio di cosi non si può


Objects scanned   : 462961
Found infections   :    0
Found PUPs          :    0
Healed infections  :    0
Healed PUPs         :    0
Warnings              :    0

...perfetto, grazie per la celerità di risposta...proseguirò come mi hai indicato...e ti aggiornerò sugli sviluppi!!!
ancora grazie

Ciao,
ho proceduto collegandomi al sito "http://www.malwarebytes.org" ed ho scaricato il programma SPYWARE DOCTOR (è quello a cui ti riferivi???). Nella fattispecie la versione free. A fine scansione è risultata la presenza di una serie di oggetti sospetti (warming) che ho prontamente eliminato...purtroppo non sono in grado di mostrarti il risultato della scansione poichè non c'è modo (almeno mi pare) di poter recuperare il risultato della stessa. Per sicurezza ho fatto una nuova scansione completa (sono occorsi circa 40 minuti) che non ha individuato altri oggetti pericolosi.
Se mi dai l'ok procedo scaricando e mettendo in moto "Hijack".
grazie

[malwarebite's antimavare. 3.1]

Ciao

no io mi riferifo al programma malwarebite's antimavare. 3.1 che è un ottimo programma e

che puoi scaricare appena apri la pagina a sinistra c'è il download devi cliccare sul banner verde DOWNLOAD NOW







cliccando sul banner ti ritrovi qui

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button

dove in inglese c'è scritto per completare la procedyra clicca su DOWNLOAD

invece non  ho capito dove hai trovato Spyware Doctor nella pagina di MalwareBite's 

se avessi voluto farti scaricare Spyware Doctor te lo o avrei scritto, inoltre queso programma non lo conosco mi dispiace 

a cosa erano riferiti i file warning che hai eliminato?

comunque puoi continuare fai pure il log di hijack

Ciao,
ho appena provveduto a scaricare il programma che mi hai suggerito seguendo le precise indicazioni. Spyware Doctor l'ho trovato cliccando su uno dei 4 link al centro della pagina e riportanti il nome del programma che mi hai suggerito, da lì sono entrato in una pag con vari banner download ed ho scaricato quello pensando di scaricare Malwarebytes' Anti-Malware. Quando ho visto che il nome del programma scaricato era diverso da quello che mi avevi scritto ho pensato, seppur con dei dubbi...rammenta che non sono molto esperto, ma piano piano...che forse Malwarebytes' Anti-Malware potesse indicare una categoria di Anti-Malware e tra quelli Spyware Doctor.
I dubbi che avevo mi hanno infatto portato a formulare il precedente post.
Chiacchere a parte avvierò immediatamente Malwarebytes' Anti-Malware e quanto prima ti informerò dei risultati

Ciao,
ti allego il file di log che ho salvato dopo la scansione completa con malwarebite's antimavare:

Malwarebytes' Anti-Malware 1.32
Versione del database: 1635
Windows 5.1.2600 Service Pack 3

10/01/2009 7.36.54
mbam-log-2009-01-10 (07-36-41).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 106041
Tempo trascorso: 25 minute(s), 31 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,) Good: (userinit.exe) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)




che devo fare: rimuovo questi file del registro infetti?

P.S. giusto per curiosità sono riuscito a trovare i file USERINIT.EXE e SECPOL.EXE seguendo il percorso indicato, ma "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit)" che nella schermata dei risultati è posto sotto la casella ELEMENTI, non riesco a trovarlo, mentre da EDITOR DEL REGISTRO DI SISTEMA me lo posiziona in RISORSE DEL COMPUTER. Mi potresti dare un'idea di cosa significa e come mai non lo trovo con i percorsi che normalmente conosco.

attendo istruzioni (e chiarimenti se non è troppo disturbo ) per procedere.

[No action Taken]

Siamo partiti con l'eseguire alcune scansioni tanto x farti tranquillizazre ma vedo che è stato un bene eseguirle


Dimenticavo di dirti che Malwarebites và aggiornato ogni volta prima di usarlo, c'è scritto aggiorna clicchi e aspetti che si aggiorni il database

naturalmente basta che lo aggiorni una volta ogni tanto

nel log di Malwarebite's dopo Elemento di registro infetto c'è scritto No action Taken =  Nessuna azione intrapresa. significa che la chiave non è stata toccata

ripeti la scansione con Malwarewbite's  ed eliminala ,nel nuovo log  dopo la chiave dovrai leggere  Quarantined and deleted successfully.


lascia che a ripuire il pc siano i programmi,  lo stesso errore l'hai fatto con Ad aware e non capisco perchè non li lasci fare quello x cui sono fatti e xcui li hai installati

per esempio, tornando alla ragione x cui siamo qui, se il nuovo ingresso nel file Host era stato segnalato tra gli oggetti critici andava eliminato , quando usavo AD Aware gli oggetti critici li eliminavo

comunque  non starti a preoccupare di trovare i file o le chiavi  infette, stai tranquillo che se il programma che hai usato ti dice che l'ha trovati , significa che ci stanno , 

perchè vuoi trovarli?

comunque non è una chiave di registro ma un Elemento dato del registro

andiamo avanti

DOPO la nuova scansione con MALWAREBITES  dai una pulita con Ccleaner e dopo eseguii anche il log di hijack x favore


lo avevi disattivato il ripristino di configurazione di sistema, vero?

...sì, come mi avevi detto ho disattivato il ripristino di configurazione di sistema!
la ricerca dei file trovati dopo scansione la facevo tanto per curiosità...però li ho sempre eliminati attracerso il programma utilizzato.
per quanto riguarda l'eliminazione dell'elemento infetto, vedo che in fondo a sinistra nella pagina di Malwarewbite's c'è un tasto che dice: RIMUOVI GLI ELEMENTI SELEZIONATI. Che dici invece di far girare nuovamente Malwarewbite's elimino direttamente l'elemento infetto selezionandolo?

si, seleziona ed elimina l'elemento infetto, francamente mi sto chiedendo la ragione della richiesta di tante conferme

non si dovrebbe far passare troppo tempo quando si eseguono queste scansioni , se il pc fosse veramente infetto , a quest'ora il virus avrebbe fatto un sacco di danni

...hai ragione, ma con una piccolina di 7 mesi mettersi al computer diventa un pò complicato!
comunque la richiesta di conferme è dovuta al fatto che non vorrei sbagliare, visto che già è successo per scaricare Malwarewbite's.
chiedo scusa a tutti se faccio perdere tempo che potrebbe essere dedicato ad altri
comunque procederò seguendo le indicazioni

[Tags:]

Salta a: Seleziona una destinazione: ----------------------------- Risoluzione problemi computer ----------------------------- => Benvenuto => Domande & Risposte ===> Gmail => Quesiti Risolti => Linux => Off Topic ----------------------------- Passione Informatica ----------------------------- => Hardware => Il tuo blog ----------------------------- Pc Medical Center ----------------------------- => Domande Pre-Vendita => Assistenza e Post-Vendita => Richieste ----------------------------- Contatto ----------------------------- => News => Sondaggi ----------------------------- Sviluppo Assistenzafree ----------------------------- => Bugs => Idee e Progetti => Gruppo di Lavoro