redirect_host_file

Hej

Jag får flera gånger per dag info via F-secure att ett spionprogram Redirect_host_file har blockerats och måste därefter starta om datorn. Hur blir jag av med detta enerverande program, som visserligen blockeras av virusprogrammet, men ändå orsaker besvär för omstart?

med vänlig hälsning

SH

Har du testat att köra Malwarebytes’ AntiMalware som ligger på cd:n? Kom ihåg att uppdatera programmet och helst köra det i felsäkert läge.

Jag kör Malwarebytes AntiMalware varje dag, men för spionprogrammet Redirect_host_file hjälper detta tyvärr inte, programmet trillar in med jämna mellanrum ändå!  

I det här fallet rekommenderar jag att du tar kontakt direkt med F-Secures support (http://www.f-secure.com/sv_SE/web/home_se/support/support-request), och det finns en anledning till detta.
Hosts-filer är i sig själva legitima systemfiler som används för att styra om trafik på nätverket. Om du surfar till IP-numret 74.125.232.248 hamnar du hos Google.se. I Hosts-filer är det möjligt att säga åt nätverkstrafiken att ”om du surfat till 74.125.232.248 ska du i stället hoppa till 204.79.197.200”, och webbläsaren kommer automatiskt att styras till den destionationen. Det är därför den typen av filer är så eftertraktade av malware som vill kontrollera vart du surfar.
Därför tycker jag att du ska ta kontakt med F-Secure, helt enkelt eftersom det är deras program som larmar om att något är fel. Det är inte så lätt att man bara raderar en hosts-fil, eftersom den kan innehålla en eller flera legitima omstyrningar.

Hej

Tyvärr kunde inte f-secure hjälpa mig med den sk. spionfilen Rederected_hosts_file. Jag fick rekommendationen att köra adware och malwarebytes antimalware, men filen dyker ändå upp flera gånger om dagen efter att f-secure blockerat och jag startat om. 

Varifrån kommer denna fil, den verkar inte ligga dold någonstans i datorn och vad gör den egentligen för skada?

Hosts-filer är i sig själva legitima systemfiler som inte gör någon direkt skada utan används för att styra om trafik på nätverket. Om du surfar till IP-numret 74.125.232.248 hamnar du hos Google.se. I Hosts-filer är det möjligt att säga åt nätverkstrafiken att ”om du surfat till 74.125.232.248 ska du i stället hoppa till 204.79.197.200”, och webbläsaren kommer automatiskt att styras till den destionationen. Det är därför den typen av filer är så eftertraktade av malware som vill kontrollera vart du surfar, eftersom den kan skicka dig precis vart som helst, även väldigt skadliga webbplatser, när du tror dig surfa till en helt legitim webbplats.

Det F-Secure gör är att det upptäcker en potentiellt farlig ändring i en hosts-fil, och tar bort den. Problemet är att någonstans i ditt system finns ett program eller en tjänst som upptäcker att den modifierade hosts-filen har plockats bort och skapar en ny, vilket får förloppet att börja om igen. Att enbart ”behandla” hosts-filen som F-Secure gör hjälper alltså inte.

Jag är inne på samma linje som F-Secure, nämligen att köra Antimalware och liknande program, men att uteslutande köra dessa genom att starta om datorn i felsäkert läge. Program som döljer sig när man kör datorn i ”vanligt” läge blir lättare för programmen att hitta om jakten utförs i felsäkert läge.

Annars är det enda jag kan tänka mig att leta efter ledtrådar i hosts-filen för att se vad som har förändrats, men det blir svårt eftersom det enbart kan göras i det korta intervall mellan att filen har modifierats och att F-Secure upptäcker det.
Starta Kör genom att trycka på Windows-tangenten + R samtidigt. Klistra in sökvägen %SystemRoot%system32driversetc och tryck Enter, så kommer Utforskaren att öppnas och visa några filer, bland annat en som heter Hosts. Öppna den filen i programmet Anteckningar. Om du upptäcker att den fillen innehåller någonting annat är rader som inleds med ett #-tecken, kopiera de raderna och klistra in i ditt svar här så kanske vi kan hitta några ledtrådar.

Du hittar inga ledtrådar om vad som ligger bakom infektionen genom att studera loggfilerna från F-Secure?

Hej,

 

Orsaken till ovanstående blockerings-problem var troligen programmet Unchecky, ett program som uppträder som en spionfil (Unchecky automatically unchecks unrelated offers, both saving you mouse clicks and making it less likely to miss a checkbox of an unwanted offer) och detta är troligen orsaken till att f-Secure blockerar detta program som en spionfil. Jag har nu tagit bort programmet (sedan 2 dagar) och jag har efter det inte fått någon varning från f-Secure.:)

Så kan det mycket väl vara. Bra detektivarbete, och så får vi hålla tummarna att det har ordnat sig.