hosts-Datei von WinXP: Wie sieht eine GESUNDE Variante aus?

Herwig · 03.02.2004, 02:26

Hallo Leute !!!

Ich vermute, irgendein Wurm/Virus hat mir meine D:\WINDOWS\system32\drivers\etc\hosts - Datei vermurkst, vielleicht schon vor laengerer Zeit.
Sie enthaelt am Anfang die ueblichen Kommentarzeilen und die 127.0.0.1 localhost-Zeile, aber danach folgen gezaehlte __1210 Zeilen__ mit Eintraegen zu Schweindl-Seiten, welche fast alle auf die selbe IP verweisen.
Nachdem ich keine dieser Seiten aufsuche, haben sich die Eintraege auch noch nicht als stoerend herausgestellt.

Dennoch bleibt die Frage: Kann ich diese Eintraege jetzt einfach loeschen oder waren das etwa absichtliche Eintraege von Schutzprogrammen wie Spybot?

(Anmerkung: Ich probiere diese IP mit dem IE jetzt absichtlich nicht aus, wer weiss was da sonst passiert ..., mit dem Mozilla passiert jedenfalls nix.)

Und kann man die hosts-Datei auf einem FAT32-Laufwerk ueberhaupt schuetzen ???

Danke im Voraus,
Tschuess, Herwig.

Preacher · 03.02.2004, 09:06

XP hab ich keines zur Hand, aber da so eng verwandt, hier der Inhalt meiner Win2k-Datei:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

also mehr als der Verweis auf localhost wird nicht gebraucht (es sei denn, Du bist in einem Netzwerk, wo du Rechner in einem anderen Netzwerk (z.B. Firmen Intranet) erreichen musst.

Schützen - hmmmmm - versuch mal das Schreibschutzattribut zu setzen, mehr fällt mir da auch nicht ein.

Nando · 03.02.2004, 09:14

Mit der Hosts-Datei kann man gezielt Seiten blockieren (z.B. Werbebanner, etc.), indem man die Adresse der unerwünschten Seite, auf eine andere IP umlenkt. z.B. der Eintrag:

Code:

127.0.0.1 www.werbebanner.at

bewirkt, dass jeglicher Zugriff auf die angegebene Seite immer auf den localhost umgeleitet wird.
Spybot z.B. erstellt solche Einträge in der Hosts-Datei, um diese zu blocken.

fredl · 03.02.2004, 11:52

mach einmal ein logfile mit "highjack this" von merjin http://www.merijn.org/downloads.html

hier dann die (deutsche) anleitung zum behandeln dieser daten:
http://www.trojaner-info.de/anleitun...gtutorial.html

Herwig · 04.02.2004, 02:49

Danke fuer eure Tips!!!

@Preacher: Yepp, die hosts-Datei von einer ganz frischen WinXP-Installation sieht genau so aus.
Und bezueglich dem Schreibschutzattribut: Leider reicht das nicht aus, da ja jeder User das mit den Attrib-Befehlen wieder loeschen kann wegen der fehlenden User-Verwaltung von FAT32.
Und trotzdem steht ich verdammt auf das alte Dateisystem ;-)

@Nando: Also koennte das von Spybot sein, nur ist die alternative IP-Adresse nicht der localhost sondern: 66.159.20.80 und 66.159.18.17, beide kommen jeweils 600 mal, also in Summe die angegebenen 1200 Zeilen.
Interessanterweise sind bei beiden IPs fast die selben URLs angegeben.
Was sich hinter den Adressen verbirgt weiss ich aber nicht, da ich sie lieber nicht im IE probiere ;-)

@Fredl: Interessantes Programm, ideal als Ergaenzung fuer die AntiViren&Spybot-Phalanx!

g17 · 04.02.2004, 03:17

Was sagt eigentlich ein Virencheck?

http://www.heise.de/newsticker/meldung/44281

__________________________________________________ ___________________
Obwohl MyDoom.B die lokale hosts-Datei manipuliert, was bis zum gestrigen Montag vor dem Start des Angriffs auf die Microsoft-Site den Verbindungsaufbau von PCs zu einigen Webseiten unter anderem auch www.microsoft.com verhinderte, ist der Wurm seit heute in der Lage Kontakt, zu www.microsoft.com aufzunehmen: Mit dem Start des Angriffes macht er die Manipulation der Datei rückgängig.
__________________________________________________ ___________________

g17

Nando · 04.02.2004, 08:17

Zitat:

Original geschrieben von Herwig
@Nando: Also koennte das von Spybot sein, nur ist die alternative IP-Adresse nicht der localhost sondern: 66.159.20.80 und 66.159.18.17

Die IP-Adressen verweise auf dubiose Server. Ich würd mal einen Check auf eventuelle Dialer machen. Hinter letzterer IP verbirgt sich nämlich eine "Firma", die auch einen Dialer "anbietet".

03.02.2004, 02:26	#1
Herwig Inventar Registriert seit: 13.10.2000 Beiträge: 1.622	hosts-Datei von WinXP: Wie sieht eine GESUNDE Variante aus? Hallo Leute !!! Ich vermute, irgendein Wurm/Virus hat mir meine D:\WINDOWS\system32\drivers\etc\hosts - Datei vermurkst, vielleicht schon vor laengerer Zeit. Sie enthaelt am Anfang die ueblichen Kommentarzeilen und die 127.0.0.1 localhost-Zeile, aber danach folgen gezaehlte __1210 Zeilen__ mit Eintraegen zu Schweindl-Seiten, welche fast alle auf die selbe IP verweisen. Nachdem ich keine dieser Seiten aufsuche, haben sich die Eintraege auch noch nicht als stoerend herausgestellt. Dennoch bleibt die Frage: Kann ich diese Eintraege jetzt einfach loeschen oder waren das etwa absichtliche Eintraege von Schutzprogrammen wie Spybot? (Anmerkung: Ich probiere diese IP mit dem IE jetzt absichtlich nicht aus, wer weiss was da sonst passiert ..., mit dem Mozilla passiert jedenfalls nix.) Und kann man die hosts-Datei auf einem FAT32-Laufwerk ueberhaupt schuetzen ??? Danke im Voraus, Tschuess, Herwig.

03.02.2004, 09:06	#2
Preacher Inventar Registriert seit: 20.10.2003 Ort: Celovec / Klagenfurt Alter: 48 Beiträge: 2.559 Mein Computer	XP hab ich keines zur Hand, aber da so eng verwandt, hier der Inhalt meiner Win2k-Datei: # Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost also mehr als der Verweis auf localhost wird nicht gebraucht (es sei denn, Du bist in einem Netzwerk, wo du Rechner in einem anderen Netzwerk (z.B. Firmen Intranet) erreichen musst. Schützen - hmmmmm - versuch mal das Schreibschutzattribut zu setzen, mehr fällt mir da auch nicht ein. ____________________________________ Bei Problemen zwei Griffe ranschweißen und aus dem Fenster .....

03.02.2004, 09:14	#3
Nando Elite Registriert seit: 01.03.2002 Alter: 45 Beiträge: 1.010 Mein Computer	Mit der Hosts-Datei kann man gezielt Seiten blockieren (z.B. Werbebanner, etc.), indem man die Adresse der unerwünschten Seite, auf eine andere IP umlenkt. z.B. der Eintrag: Code: 127.0.0.1 www.werbebanner.at bewirkt, dass jeglicher Zugriff auf die angegebene Seite immer auf den localhost umgeleitet wird. Spybot z.B. erstellt solche Einträge in der Hosts-Datei, um diese zu blocken. ____________________________________ Das Tolle daran, die einzige zwischen richtig und falsch unterscheidende Art zu sein, ist, dass wir uns immer genau die Regeln ausdenken können, die uns gerade in den Kram passen. --- Douglas Adams

03.02.2004, 11:52	#4
fredl Gsiberger Registriert seit: 11.10.2000 Ort: Im Ländle Beiträge: 1.222	mach einmal ein logfile mit "highjack this" von merjin http://www.merijn.org/downloads.html hier dann die (deutsche) anleitung zum behandeln dieser daten: http://www.trojaner-info.de/anleitun...gtutorial.html

04.02.2004, 02:49	#5
Herwig Inventar Registriert seit: 13.10.2000 Beiträge: 1.622	Danke fuer eure Tips!!! @Preacher: Yepp, die hosts-Datei von einer ganz frischen WinXP-Installation sieht genau so aus. Und bezueglich dem Schreibschutzattribut: Leider reicht das nicht aus, da ja jeder User das mit den Attrib-Befehlen wieder loeschen kann wegen der fehlenden User-Verwaltung von FAT32. Und trotzdem steht ich verdammt auf das alte Dateisystem ;-) @Nando: Also koennte das von Spybot sein, nur ist die alternative IP-Adresse nicht der localhost sondern: 66.159.20.80 und 66.159.18.17, beide kommen jeweils 600 mal, also in Summe die angegebenen 1200 Zeilen. Interessanterweise sind bei beiden IPs fast die selben URLs angegeben. Was sich hinter den Adressen verbirgt weiss ich aber nicht, da ich sie lieber nicht im IE probiere ;-) @Fredl: Interessantes Programm, ideal als Ergaenzung fuer die AntiViren&Spybot-Phalanx!

04.02.2004, 03:17	#6
g17 Elite Registriert seit: 13.07.2001 Beiträge: 1.339	Was sagt eigentlich ein Virencheck? http://www.heise.de/newsticker/meldung/44281 __________________________________________________ ___________________ Obwohl MyDoom.B die lokale hosts-Datei manipuliert, was bis zum gestrigen Montag vor dem Start des Angriffs auf die Microsoft-Site den Verbindungsaufbau von PCs zu einigen Webseiten unter anderem auch www.microsoft.com verhinderte, ist der Wurm seit heute in der Lage Kontakt, zu www.microsoft.com aufzunehmen: Mit dem Start des Angriffes macht er die Manipulation der Datei rückgängig. __________________________________________________ ___________________ g17

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)