WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Software (http://www.wcm.at/forum/forumdisplay.php?f=5)
-   -   hosts-Datei von WinXP: Wie sieht eine GESUNDE Variante aus? (http://www.wcm.at/forum/showthread.php?t=124096)

Herwig 03.02.2004 03:26
hosts-Datei von WinXP: Wie sieht eine GESUNDE Variante aus?
 
Hallo Leute !!!

Ich vermute, irgendein Wurm/Virus hat mir meine D:\WINDOWS\system32\drivers\etc\hosts - Datei vermurkst, vielleicht schon vor laengerer Zeit.
Sie enthaelt am Anfang die ueblichen Kommentarzeilen und die 127.0.0.1 localhost-Zeile, aber danach folgen gezaehlte __1210 Zeilen__ mit Eintraegen zu Schweindl-Seiten, welche fast alle auf die selbe IP verweisen.
Nachdem ich keine dieser Seiten aufsuche, haben sich die Eintraege auch noch nicht als stoerend herausgestellt.

Dennoch bleibt die Frage: Kann ich diese Eintraege jetzt einfach loeschen oder waren das etwa absichtliche Eintraege von Schutzprogrammen wie Spybot?

(Anmerkung: Ich probiere diese IP mit dem IE jetzt absichtlich nicht aus, wer weiss was da sonst passiert ..., mit dem Mozilla passiert jedenfalls nix.)

Und kann man die hosts-Datei auf einem FAT32-Laufwerk ueberhaupt schuetzen ???

Danke im Voraus,
Tschuess, Herwig.

Preacher 03.02.2004 10:06
XP hab ich keines zur Hand, aber da so eng verwandt, hier der Inhalt meiner Win2k-Datei:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost


also mehr als der Verweis auf localhost wird nicht gebraucht (es sei denn, Du bist in einem Netzwerk, wo du Rechner in einem anderen Netzwerk (z.B. Firmen Intranet) erreichen musst.

Schützen - hmmmmm - versuch mal das Schreibschutzattribut zu setzen, mehr fällt mir da auch nicht ein.

Nando 03.02.2004 10:14
Mit der Hosts-Datei kann man gezielt Seiten blockieren (z.B. Werbebanner, etc.), indem man die Adresse der unerwünschten Seite, auf eine andere IP umlenkt. z.B. der Eintrag:
Code:
127.0.0.1 www.werbebanner.at
bewirkt, dass jeglicher Zugriff auf die angegebene Seite immer auf den localhost umgeleitet wird.
Spybot z.B. erstellt solche Einträge in der Hosts-Datei, um diese zu blocken.

fredl 03.02.2004 12:52
mach einmal ein logfile mit "highjack this" von merjin http://www.merijn.org/downloads.html

hier dann die (deutsche) anleitung zum behandeln dieser daten:
http://www.trojaner-info.de/anleitun...gtutorial.html

Herwig 04.02.2004 03:49
Danke fuer eure Tips!!!

@Preacher: Yepp, die hosts-Datei von einer ganz frischen WinXP-Installation sieht genau so aus.
Und bezueglich dem Schreibschutzattribut: Leider reicht das nicht aus, da ja jeder User das mit den Attrib-Befehlen wieder loeschen kann wegen der fehlenden User-Verwaltung von FAT32.
Und trotzdem steht ich verdammt auf das alte Dateisystem ;-)

@Nando: Also koennte das von Spybot sein, nur ist die alternative IP-Adresse nicht der localhost sondern: 66.159.20.80 und 66.159.18.17, beide kommen jeweils 600 mal, also in Summe die angegebenen 1200 Zeilen.
Interessanterweise sind bei beiden IPs fast die selben URLs angegeben.
Was sich hinter den Adressen verbirgt weiss ich aber nicht, da ich sie lieber nicht im IE probiere ;-)

@Fredl: Interessantes Programm, ideal als Ergaenzung fuer die AntiViren&Spybot-Phalanx!

g17 04.02.2004 04:17
Was sagt eigentlich ein Virencheck?

http://www.heise.de/newsticker/meldung/44281

__________________________________________________ ___________________
Obwohl MyDoom.B die lokale hosts-Datei manipuliert, was bis zum gestrigen Montag vor dem Start des Angriffs auf die Microsoft-Site den Verbindungsaufbau von PCs zu einigen Webseiten unter anderem auch www.microsoft.com verhinderte, ist der Wurm seit heute in der Lage Kontakt, zu www.microsoft.com aufzunehmen: Mit dem Start des Angriffes macht er die Manipulation der Datei rückgängig.
__________________________________________________ ___________________



g17

Nando 04.02.2004 09:17
Zitat:
Original geschrieben von Herwig
@Nando: Also koennte das von Spybot sein, nur ist die alternative IP-Adresse nicht der localhost sondern: 66.159.20.80 und 66.159.18.17
Die IP-Adressen verweise auf dubiose Server. Ich würd mal einen Check auf eventuelle Dialer machen. Hinter letzterer IP verbirgt sich nämlich eine "Firma", die auch einen Dialer "anbietet".


Alle Zeitangaben in WEZ +2. Es ist jetzt 10:54 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag