Hallo,
bei der Auswertung eines HijackThis-Logs wurde folgender Eintrag als "böse" eingestuft:
O1 - Hosts file is located at: C:\WINDOWS\etc\hosts
Gefixt hab' ich es schon, aber mir ist immer noch nicht klar, was es damit auf sich hat.
Weiß das vielleicht einer von euch?
Ich such erstmal weiter...
Gruß
Sandokan
Seite 1 von 1
Seltsamer Eintrag Im Hijackthis-log C:\WINDOWS\etc\hosts
Anzeige
#2
geschrieben 06. Juli 2006 - 14:18
Hast du eines der Skripte hier ausgeführt ?
Das verschiebt die Datei, also nicht weiter bedenklich, zumindest war es bei mir so!
Das verschiebt die Datei, also nicht weiter bedenklich, zumindest war es bei mir so!
"Wir können Regierungen nicht trauen, wir müssen sie kontrollieren"
(Marco Gercke)
(Marco Gercke)
#3
geschrieben 06. Juli 2006 - 14:22
Zitat (ShadowHunter: 06.07.2006, 15:18)
Hast du eines der Skripte hier ausgeführt ?
Das verschiebt die Datei, also nicht weiter bedenklich, zumindest war es bei mir so!
Das verschiebt die Datei, also nicht weiter bedenklich, zumindest war es bei mir so!
Ja . Dachte mir, dass es damit zusammenhängt. Also ist es nicht weiter schlimm? Aus welchem Grund wurde die Datei verschoben?
Dieser Beitrag wurde von Sandokan bearbeitet: 06. Juli 2006 - 14:22
#4
geschrieben 06. Juli 2006 - 14:25
Musst du Rika fragen, aus welchem Grund genau.
Entweder weil es dort mehr Sinn macht oder weil das ja eine IE File ist meines Wissens, kann diese dann nicht mehr so einfahc von Malware verändert werden.
Entweder weil es dort mehr Sinn macht oder weil das ja eine IE File ist meines Wissens, kann diese dann nicht mehr so einfahc von Malware verändert werden.
"Wir können Regierungen nicht trauen, wir müssen sie kontrollieren"
(Marco Gercke)
(Marco Gercke)
#5
geschrieben 06. Juli 2006 - 14:28
Ok, Vielen Dank.
Dann werde ich die Datei über HijackThis lieber "zurückholen".
S.
Dann werde ich die Datei über HijackThis lieber "zurückholen".
S.
#6
geschrieben 06. Juli 2006 - 14:53
Zitat
Musst du Rika fragen, aus welchem Grund genau.
Ist das nicht offensichtlich. In %windir%\system32\drivers ist es doch vollkommen deplaziert.
Zitat
oder weil das ja eine IE File ist
Unsinn. Es ist eine Nachschautabelle für DNS-Auflösung.
Zitat
kann diese dann nicht mehr so einfahc von Malware verändert werden.
Nein, genauso einfach wie vorher: Für Benutzer gar nicht, für Admins immer.
Zitat
Dann werde ich die Datei über HijackThis lieber "zurückholen".
Dann solltest du aber auch die Dateien wieder zurückschieben.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#7
geschrieben 06. Juli 2006 - 15:08
Zitat
Ist das nicht offensichtlich. In %windir%\system32\drivers ist es doch vollkommen deplaziert.
Wieso wurde die da denn reingetan?
Zitat
Unsinn. Es ist eine Nachschautabelle für DNS-Auflösung.
Hab mich vertan stimmt :/
Aber nur der IE ist doch dafür anfällig wenn dort Änderungen vorgenommen worden sind oder?
Zitat
Nein, genauso einfach wie vorher: Für Benutzer gar nicht, für Admins immer.
Was ist mit dummer Malware die davon ausgeht, dass die File in system32\drivers ist?
"Wir können Regierungen nicht trauen, wir müssen sie kontrollieren"
(Marco Gercke)
(Marco Gercke)
#8
geschrieben 06. Juli 2006 - 15:36
Zitat
Wieso wurde die da denn reingetan?
Nein, bei Microsoft macht niemand irgendwelche dummen Sachen...
Zitat
Aber nur der IE ist doch dafür anfällig wenn dort Änderungen vorgenommen worden sind oder?
Nein, jede Anwendung, die DNS-Auflösung betreibt. Naja, mit Ausnahme lokaler DNS-Server.
Zitat
Was ist mit dummer Malware die davon ausgeht, dass die File in system32\drivers ist?
Auch dumme Malware lädt kluge Malware nach.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#9
geschrieben 06. Juli 2006 - 19:18
#10
geschrieben 06. Juli 2006 - 20:00
del %systemroot%\system32\drivers\etc\gmreadme.txt move %systemroot%\system32\drivers\etc\gm.dls "%~2" move %systemroot%\system32\drivers\etc "%~1" reg add "HKLM\SOFTWARE\Microsoft\DirectMusic" /v GMFilePath /d "%~2" /f reg add "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v DataBasePath /d "%~1" /f
Wie du siehst werden die Dateien verschoben und der in der Registry konfigurierte Pfad ebenfalls angepasst, daß die Dateien halt auch dort sind, wo Windows sie erwartet. Wenn du jetzt nur den Pfad zurücksetzt, dann zeigt er ins Leere.
Dieser Beitrag wurde von Rika bearbeitet: 06. Juli 2006 - 20:00
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Thema verteilen:
Seite 1 von 1