[Sandokan]

Hallo,

bei der Auswertung eines HijackThis-Logs wurde folgender Eintrag als "böse" eingestuft:
O1 - Hosts file is located at: C:\WINDOWS\etc\hosts
Gefixt hab' ich es schon, aber mir ist immer noch nicht klar, was es damit auf sich hat.
Weiß das vielleicht einer von euch?
Ich such erstmal weiter...

Gruß
Sandokan

[ShadowHunter]

Hast du eines der Skripte hier ausgeführt ?
Das verschiebt die Datei, also nicht weiter bedenklich, zumindest war es bei mir so!

[Sandokan]

Zitat (ShadowHunter: 06.07.2006, 15:18)

Hast du eines der Skripte hier ausgeführt ?
Das verschiebt die Datei, also nicht weiter bedenklich, zumindest war es bei mir so!

Ja . Dachte mir, dass es damit zusammenhängt. Also ist es nicht weiter schlimm? Aus welchem Grund wurde die Datei verschoben?

Dieser Beitrag wurde von Sandokan bearbeitet: 06. Juli 2006 - 14:22

[ShadowHunter]

Musst du Rika fragen, aus welchem Grund genau.
Entweder weil es dort mehr Sinn macht oder weil das ja eine IE File ist meines Wissens, kann diese dann nicht mehr so einfahc von Malware verändert werden.

[Sandokan]

Ok, Vielen Dank.
Dann werde ich die Datei über HijackThis lieber "zurückholen".

S.

[Rika]

Zitat

Musst du Rika fragen, aus welchem Grund genau.

Ist das nicht offensichtlich. In %windir%\system32\drivers ist es doch vollkommen deplaziert.

Zitat

oder weil das ja eine IE File ist

Unsinn. Es ist eine Nachschautabelle für DNS-Auflösung.

Zitat

kann diese dann nicht mehr so einfahc von Malware verändert werden.

Nein, genauso einfach wie vorher: Für Benutzer gar nicht, für Admins immer.

Zitat

Dann werde ich die Datei über HijackThis lieber "zurückholen".

Dann solltest du aber auch die Dateien wieder zurückschieben.

[ShadowHunter]

Zitat

Ist das nicht offensichtlich. In %windir%\system32\drivers ist es doch vollkommen deplaziert.

Wieso wurde die da denn reingetan?

Zitat

Unsinn. Es ist eine Nachschautabelle für DNS-Auflösung.

Hab mich vertan stimmt :/
Aber nur der IE ist doch dafür anfällig wenn dort Änderungen vorgenommen worden sind oder?

Zitat

Nein, genauso einfach wie vorher: Für Benutzer gar nicht, für Admins immer.

Was ist mit dummer Malware die davon ausgeht, dass die File in system32\drivers ist?

[Rika]

Zitat

Wieso wurde die da denn reingetan?

Nein, bei Microsoft macht niemand irgendwelche dummen Sachen...

Zitat

Aber nur der IE ist doch dafür anfällig wenn dort Änderungen vorgenommen worden sind oder?

Nein, jede Anwendung, die DNS-Auflösung betreibt. Naja, mit Ausnahme lokaler DNS-Server.

Zitat

Was ist mit dummer Malware die davon ausgeht, dass die File in system32\drivers ist?

Auch dumme Malware lädt kluge Malware nach.

[Sandokan]

Zitat (Rika: 06.07.2006, 15:53)

Dann solltest du aber auch die Dateien wieder zurückschieben.

Was? Wie bitte? Ich hab' normal das Backup von HijackThis zurückgespielt.

[Rika]

del %systemroot%\system32\drivers\etc\gmreadme.txt
move %systemroot%\system32\drivers\etc\gm.dls "%~2"
move %systemroot%\system32\drivers\etc "%~1"
reg add "HKLM\SOFTWARE\Microsoft\DirectMusic" /v GMFilePath /d "%~2" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v DataBasePath /d "%~1" /f

Wie du siehst werden die Dateien verschoben und der in der Registry konfigurierte Pfad ebenfalls angepasst, daß die Dateien halt auch dort sind, wo Windows sie erwartet. Wenn du jetzt nur den Pfad zurücksetzt, dann zeigt er ins Leere.

Dieser Beitrag wurde von Rika bearbeitet: 06. Juli 2006 - 20:00