Hosts!?

Hannibal125 · 16.12.2005, 00:53

Hallo allerseits,

ich habe seit dem ich vor einiger Zeit mein System neu aufgesetzt habe eine - für mich - seltsame Datei entdeckt: C:Windows/System32/drivers/etc/hosts

"hosts" ist dabei der Name der Datei. AVG free scannt diese Datei immer bei jedem Virenscan. Steht immer ein OK dahinter. Außerdem habe ich sie auch mal bei jotti.org testen lassen und das Ergebnis war durchweg negativ. Auch AdAware, Spybot S&D und Ewido zeigen nix an und das HJT-Logfile zeigt bei der automatischen Auswertung nur "gute" Prozesse.

Die Frage ist aber: Was ist das für ne Datei? Ist mir vorher noch nie aufgefallen...

Danke für Tipps, schöne Grüße und ne gute Nacht,
Hanni

EDIT: ich häng das HJT Log mal noch hier dran. Meiner Meinung nach ist es aber sauber

Logfile of HijackThis v1.99.1
Scan saved at 00:51:45, on 16.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\AVGFRE~1\avgamsvr.exe
C:\AVGFRE~1\avgupsvc.exe
C:\AVGFRE~1\avgemc.exe
C:\Ewido\ewidoctrl.exe
C:\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\hkcmd.exe
C:\AVGFRE~1\avgcc.exe
C:\OmniPageSE2.0 Texterkennung\OpwareSE2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Kerio\Personal Firewall 4\kpf4gui.exe
C:\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\OmniPageSE2.0 Texterkennung\OpwareSE2.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132088933921
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F600196-A9D1-4BC9-8CCB-11BB92F2F20C}: NameServer = 217.237.150.33 217.237.151.161
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Ewido\ewidoctrl.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

cronos · 16.12.2005, 01:17

Das ist die Host Datei, die ist standartmäßig vorhanden:

http://www.netzadmin.org/theorie/hosts-datei.htm

Wenn du dir deine Host Datei anschauen möchtest, kannst du entweder die von dir genannte Datei mit dem Editor öffnen oder machst es bequemer mit dem Programm Hoster.
Vorteil von Hoster ist u.a. das man die Host-Datei mit Schreibschutz versehen kann, Back-Ups erstellt werden können etc... .

Wenn du selbst nichts an der Host Datei geändert hast, steht da normalerweise folgendes drin:

Zitat:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Die wichtigste Zeile ist die letzte, da gehts um den Localhost.

So manche Malware ändert die Host-Datei, um dafür zu sorgen, dass man die Seiten einiger AV-Hersteller nicht mehr erreichen kann, das sähe dann z.B. so aus:

kaspersky.com 127.0.0.1

Heißt auf deutsch übersetzt, das wenn du in deinen Browser die Adresse Kaspersky.com eingibst, diese Anfrage an dich selbst gestellt wird und du folglich niemals die Seite von Kaspersky sehen wirst, da die Anfrage auf dich umgeleitet wird.
So funktioniert auch u.a. mancher Browser-Hijacker, der dann eine Anfrage nach z.B google.de auf eine gänzlich andere Seite leitet.
Dein HJT-Log zeigt aber, dass keine Veränderungen in deiner Host-Datei vorgenommen worden sind, sonst hättest du da einige O1-Einträge.
Hintergrund des ganzen ist, das Computer mit den Adressen, wie wir sie eingeben nichts anfangen können-sie brauchen die IP-Adressen.

BTW:
Java updaten!

MightyMarc · 16.12.2005, 01:49

Der Vollständigkeit halber:

http://www.trojaner-board.de/showpos...0&postcount=13

Hannibal125 · 18.12.2005, 20:52

@ cronos

Danke für die Antwort und den Tip mit Java. Hab ich geupdatet und die Datei ist also auch sauber

.

Danke und Grüße nach Siegen

,
Hanni

cronos · 19.12.2005, 00:15

NP

Immer wieder gerne!

Grüße nach "was weiß ich wo du wohnst"-

Hosts!?

Plagegeister aller Art und deren Bekämpfung: Hosts!?

Hosts!?

Hosts!?

Hosts!?

Hosts!?

Hosts!?

Ähnliche Themen: Hosts!?

16.12.2005, 01:49	#3
MightyMarc	Hosts!? Der Vollständigkeit halber: http://www.trojaner-board.de/showpos...0&postcount=13 __________________ __________________

18.12.2005, 20:52	#4
Hannibal125	Hosts!? @ cronos Danke für die Antwort und den Tip mit Java. Hab ich geupdatet und die Datei ist also auch sauber . Danke und Grüße nach Siegen , Hanni

19.12.2005, 00:15	#5
cronos	Hosts!? NP Immer wieder gerne! Grüße nach "was weiß ich wo du wohnst"- __________________ Only cronos endures