Beiträge von Pumba

hallo erstmal loide,
habe die zeit genutzt und mich mit der noch offenen frage der genauen herkunft der fragwürdigen einträge in der hosts-datei befaßt. wie also bereits festgestellt, ist für eine indizierung der hosts-datei mit derartigem müll in der regel spyware verantwortlich. soweit waren wir ja vorher auch schon mal. als praxisbezogenes beispiel seien an dieser stelle zwei der sicherlich viel mehr möglichen schädlinge namentlich erwähnt, die ich nach offensivem internetgebrauch auf meiner kiste durch microsofts antispyware tool finden konnte:
eXact.Downloader Trojan Downloader (removed)
Travelling Salesman Spyware (removed)
zu der frage von michael815,
Pumba: hattest du beim Zugriffsversuch auf google das google-Bild oder gar nix? Wenns ein Hijacker war, würde ich SpySubtract drüber laufen lassen
beim aufrufen der seite google.de öffnete nicht wie erwartet diese seite allerdings auch keine gefährliche, kommerzielle oder schmuddelige seite. sah irgendwie aus, wie von einem provider, der den hinweis gab, daß die domain google.de nicht vergeben war. sieht für mich folglich eher so aus, daß der angriff zwar über meine maschine lief, jedoch google galt als mir. den ursprung dieses angriffes suche ich daher eher einem konkurrenten von google als kriminellen elementen zuzuordnen. auf der besagten seite gab es nur zwei links und keiner der beiden führte auf eine ander suchseite oder gar auf eine webseite, die sich dem kommerz verschrieben hat. so richtig klar ist das alles nicht, aber ich hoffe trotzdem, daß aus der erfahrung gezogene schlüsse auch anderen usern und lesern dieses forums nützlich sind. bis dann,
gruß, der pumba

Zitat von Dr. Evil

Ich habe hier im Forum mitgelesen und, da ich die genaue Position der Hosts-Dati nicht kannte etwas gegooglet.

Das macht hier eigentlich niemand und wie fender schon geschrieben hat, ist das Thema noch nicht unbedingt erledigt, da die frage, woher die Hosts-Datei ihren Inhalt hat noch nicht beantwortet ist.

also ich hab da mal mit dem spybot search&destroy und dem tool von microsoft so bissi was probiert und beim durchstöbern der einstellungen im MS-tool sprang mir die quelle der hosts-datei einträge ins gesicht. das tat weh.

ich füge mal einen screenshot bei, für alle diejenigen die's interessiert. sinngemäß steht dort, daß die einträge in der hosts-datei für die übersetzung der domainnamen zu ip-adressen genutzt werden. stichwort host file redirection , der originale wortlaut ist in der hilfe des MS-tools unter index -> host zu finden. wer das tool nicht braucht und trotzdem wissen will, was es mit der hosts-datei auf sich hat, hier der englischsprachige wortlaut aus der indexsuche im antispyware tool von MS

Your host file is used to perform domain-name-to-IP-address translation, also known as host file redirection, for Web sites. For example, assume the following entry is in the hosts file: 192.168.0.12 http://www.microsoft.com. If you enter http://www.microsoft.com in the Internet Explorer address bar, Windows uses the hosts file to resolve the entry to IP address 192.168.0.12 and the browser is directed to that address. However, the Web site may not be the one you expected; some spyware applications attempt to change your hosts file to redirect your browser to a different Web site. If spyware adds an entry like 192.168.0.12 http://www.woodgrovebank.com to the hosts file (and 192.168.0.12 is not the correct IP address for Woodgrove Bank), and you type http://www.woodgrovebank.com in the address bar, you would be redirected to 192.168.0.12 and not to http://www.woodgrovebank.com. In most circumstances, the hosts file should not be modified.

What is a host file redirect?

Some redirectors use this technique to redirect browsers from popular sites to their own sites. For example, it is possible to redirect all popular search engines to a Web site of your choice. This kind of attack can be difficult to fix, and repair often requires special software or detailed instructions from a customer support representative. Another technique involves changing auto.search.msn.com to redirect the browser to an attacker’s Web site. In this case, whenever you enter an incorrect URL, your browser is redirected to auto.search.msn.com. The name is then resolved to a different IP address. Resetting browser settings does not repair this issue because this sets your search page back to auto.search.msn.com, and leaves the hosts file unaltered.

weiter:

Your host file is used to perform domain-name-to-IP-address translation, also known as host file redirection, for Web sites. For example, assume the following entry is in the hosts file: 192.168.0.12 http://www.microsoft.com. If you enter http://www.microsoft.com in the Internet Explorer address bar, Windows uses the hosts file to resolve the entry to IP address 192.168.0.12 and the browser is directed to that address. However, the Web site may not be the one you expected; some spyware applications attempt to change your hosts file to redirect your browser to a different Web site. If spyware adds an entry like 192.168.0.12 http://www.woodgrovebank.com to the hosts file (and 192.168.0.12 is not the correct IP address for Woodgrove Bank), and you type http://www.woodgrovebank.com in the address bar, you would be redirected to 192.168.0.12 and not to http://www.woodgrovebank.com. In most circumstances, the hosts file should not be modified.

What is a host file redirect?
Some redirectors use this technique to redirect browsers from popular sites to their own sites. For example, it is possible to redirect all popular search engines to a Web site of your choice. This kind of attack can be difficult to fix, and repair often requires special software or detailed instructions from a customer support representative. Another technique involves changing auto.search.msn.com to redirect the browser to an attacker’s Web site. In this case, whenever you enter an incorrect URL, your browser is redirected to auto.search.msn.com. The name is then resolved to a different IP address. Resetting browser settings does not repair this issue because this sets your search page back to auto.search.msn.com, and leaves the hosts file unaltered.

Und hier für alle, die so wenig gut englisch sprechen wie ich, die automatische übersetzung aus dem word für windows. Mit einigen einzelnen worten stimmt die sinngemäße zuordnung in der übersetzung nicht, da das programm ja keine ahnung von computerfachbegriffen hat. an der stelle habe ichs dann etwas verständlicher gemacht (so hoffe ich jedenfalls) Aber ich finde die übersetzung trotzdem hilfreich und füge sie hier einfach an:

Ihre host-datei wird benutzt, um domain-Name-zu-IP-ADRESSEN zu übersetzen, bekannt als host file redirection,
Z.B. nehmen Sie an, daß die folgende Eintragung in der host-datei ist: 192.168.0.12 http://www.Microsoft.COM. Wenn Sie WWW .Microsoft.COM im Internet Explorer eintragen, wird der Browser auf diese Adresse 192.168.0.12, verwiesen. Jedoch die Web site wird möglicherweise nicht die sein, die Sie erwarten; einige spyware Anwendungen versuchen, Ihre hostsdatei zu ändern, um Ihren Browser zu einer anderen Website umzuadressieren. Wenn spyware eine Eintragung wie 192.168.0.12 http://www.woodgrovebank.COM hinzufügt zu der hostdatei (und 192.168.0.12 ist nicht die korrekte IPaddresse für Woodgrove Bank), und Sie tippen die adresse http://WWW.woodgrovebank.COM ein, würden sie zu 192.168.0.12 und nicht zu http://www.woodgrovebank.COM umgeleitet. Unter den meisten Umständen die host-datei sollte nicht geändert werden.

nochmal vielen dank an der stelle, an die fleißigen posts zu meiner frage. immer schön neugierig bleiben.
gruß, der pumba

okay, habe also das spybot s&d mal gesaugt und auf eienm meiner systeme installiert. (mit gemischten gefühlen aber ohne emotionen und erwartungen) nachdem das system gründlichst mittels mcafee virusscan pro und adaware pro incl. registery-deepscan untersucht wurde und die damit gefundenen krankheitserreger beseitigt wurden, habe ich neu gestartet und al ein paar unbeddenkliche seiten wie spiegel.de, t-online.de und heise.de geöffnet; alles funktioniert prima. so und nun spybot s&d installation->konfiguration(ist im standardmode einfach)-> sicherung der registery-> überprüfen--->
und was soll ich sagen, immer noch 26 objekte gefunden. und in diesem fall ein danke schön an diese empfehlung. das tool ist kostenlos offenbar auch leistungsfähig, da die kommerzielle software(!) für die ich schließlich ordentlich gelöhnt habe natürlich noch einen erheblichen teil der schädlinge
nicht ausfindig geschweige denn unschädlich machen konnte.

auch die möglichkeit, einege systemeinstellungen von vorne herein gegen modifikationen hermetisch abzuschotten ist von hause aus gegeben und sollet einen zusätzlichen zugewinn an systemsicherheit und stabilität ausmachen. ach ja und beim überprüfen des systems kann im erweiterten modus u.a. nach ungeliebten dialern gesucht werden. die meisten einstellungen sind individuell anpassbar. insgesamt möchte ich sagen nicht nur eine gute empfehlung sondern ein kleines feines und zugleich mächtiges proggi, das auf internet-pc's nicht fehlen sollte.

nochmal danke für den tip und schöne grüße,
der pumba

Zitat von fender

Spybot ist kein Windows Tweaks Gold Deluxe Super Speed Edition, sondern ein Anti-Spyware-Programm mit einigen weiteren WErkzeugen und im Gegensatz zur vollen Ad-Aware-Version kostenlos.

Ob du es zusätzlich zu Ad-Aware noch installieren willst, musst du selbst entscheiden.

Mich wunderts aber, dass du bei all den PC-Kenntnissen die HOST-Datei nicht kanntest :twisted:

haha, von wegen ich und kenntnisse.

wenn ich nur halb so viel wüßte wie ich müßte, dann würde ich an den meisten tagen nur halb so viel fragen.

nee aber mal ehrlich, von host-dateien und etc-verzeichnissen habe ich nur ganz entfernt aus der unix-welt gehört und natürlich aus deren derivaten wie linux...

wie versprochen, meldi ich mich an dieser stelle nochmal zum thema zu wort. bis dahin vielen herzlichen dank an alle, die sich für mein prob so ins zeug gelegt haben.

gruß, der pumba

Zitat von fender

Wir dachten eigentlich, das erzählt du uns!

Hast du mal nen Viren- und Spyware-Scan gemacht?

fender
habe mcafee als virenjäger, und adawre pro alsspyware-active blocker in verwendung und diese nochmal alle dateien in allen verzeichnissen in allen laufwerken sowie eine deep-registery-scan ausgeführt, glücklicherweise ohne besorgniserregende funde. viren=0 und spyware so etwa 30 kleinere als nicht bedenklich eingestufte trackingcookies.

zu der empfehlung, das proggi spybot auszuprobieren; da hätte ich mich doch eher herangetraut, wenn ich vorher weiß, was diese shareware bezweckt/ bewirkt. meine bisherige vorsicht mit den vielen bunten kleinen proggis, die es zuhauf im netz kostenlos zu saugen gibt, hat mir sicher dazu verholfen, meinen kompi nicht alle 6wochen neu installieren zu müssen. das soll jetzt um himmelswillen nicht heißen, daß diese proggis unnütz der meistens ungezifer sind. ich bin halt mit meiner zurückhaltung diesen programmen gegenüber bisher gut gefahren.

werde aber das tool auf dem drittrechner mal ziehen und installieren, um denn auch selber einschätzen zu können, ob das für mich wichtig ist oder eben nicht. um eine einzelne datei mit nem schreibschutz zu versehen (was ja der ansatz für den spybot-tip war) brauche ich außer einer eingabeaufforderung oder mittlerweile größtenteils einem dateiexplorer nun wirklich nichts anderes mehr. auch kein neues fensterlein mit noch mehr bunten farben und einstellmöglichkeiten/ parametern/ variablen, von denen ich zugegebenermaßen dann doch nicht so viel verstehe.

werde mich aber in jedem fall zu dem spybot noch mal an dieser stelle melden. auch auf die gefahr hin den sinn oder unsinn dieses tools nicht oder nicht vollständig erfaßt zu haben.
gruß, der pumba

na hallo,
das ist ja fachwissen und shareware vom ALDIfeinsten. Very Happy du hast offenbar erfahrungen mit diesem proggi. hast du denn schon herausgefunden, woher der inhalt dieser hosts-datei stammt? bzw welches programm oder plugin oder erweiterung diese datei indiziert?
gruß, der pumba
:roll::idea:

Zitat von fender

Du musst jetzt Dr.Evil helfen, die Welt zu erobern, mehr nicht. :roll:

Ich frag mich nur, wie das in deine HOST-Datei rein kam. Vielleicht ein Wurm? Was stand da denn so alles drin?

okay also da waren insgesamt 7 einträge drin jeweils in der gleichen syntax
als bespiel wie folgt eine ip-adresse gefolgt von einer webadresse und dann in den nächsten zeilen so fortlaufend
webadressen waren die ersten google. de gefolgt von google. com, dann google.net das müßte so ziemlich auch das selbe gewesen sein, was ich eingeklimpert habe, als google. de nicht mehr funzte. die ip-adressen waren bei den google-adressen gleich. dann folgten ip-adressen mit einer von mir besuchten treiberseite (treiber. de) dann wieder eine ander ip-adresse gefolgt von webadresse cracks.com (da hab ich wohl mal irgendwann nach einer sn gesucht, als ich mit meinem gekauften pc-spiel mir (ehrlich) erworbener produktnummer nicht mehr die cd-key-authorization bekam. und das mitten in einer internetsession. (ich habe bei der damaligen suche natürlich keinen erfolg gehabt. so fit bin ich denn doch nicht dabei)
ich denke mir, der inhalt dieser hosts date könnte aus dem IE-enthaltenen popupblocker generiert werden. ist aber nur so eine vage vermutung. mein gefährliches halbwissen reicht hier keineswegs aus.

wenn jemand da draußen genaueres weiß, dann binn ich natürlich sehr interessiert.
gruß, der pumba

u r the greatest. danke doc. das mit dem etc verzeichnis war wohl der richtige tip. habe einfach den kompletten inhalt der hosts-datei ge-del-t. und siehe da... alles ist wieder chic (schick) [nicht verwechseln mit chick! ;-))]

besten dank nochmal für die hilfe. aber nun mal ne persönliche frage, wenns erlaubt ist. wie kann man denn so was ohne ein betriessystemstudium wissen?? gut daß es loide wie dich gibt!

danke , danke , danke dr.evil

ps: muß man dieses thema irgendwie schließen oder auf erledigt setzen oder sogar den retter in der not mit einer dankesnote würdigen?
das ist eine ehrliche frage. ich habe nämlich vorher noch nie ein forum mit einer technischen frrage belastet.

das mit dem profilordner ist mir nicht bekannt gewesen, habe also gleich mal nachgeschaut und den auch gefunden. wenn alle stricke reißen, dann deinstalliere ich den ff nochmal, lösche auch das ff verzeichnis und den eordner mozilla in den "C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles"
danke für den tip.
jetzt hoffe ich noch auf dr. evil's hilfe, denn über die IP kriege ich ja ne verbindung zu google. das deutet doch dann aber auf einen fehlerhaften oder nicht funktionierenden dns-server hin oder?
gruß, der pumba

gute idee. habe ich glech gecheckt. das geht sofort. wassn nu los??
gruß, der pumba

ja sicher gibt es noch anderes als google aber klar ist mir nicht, was sich da von selber (?) verändert hat. und bevor ich da aufgebe zu suchen, will ich dann doch schon herausfinden, was da mit dem compi so passiert. hat eine ander macht die kontrolle über mein system übernommen? bin ich eine zielscheibe von mr. smith und konsorten aus der matrix geworden ohne das zu bemerken???
nee aber mal im ernst, solche veränderungen müssen doch ursachen haben. vielleicht hat ja einer der erfahreneren unter euch ein ähnliches problem selber schon gehabt oder hat davon gehört. bin jedenfalls an jedem rat interessiert.
gruß, der pumba

ja genau, einer der kumpels vom lionking. aber spaß beiseite. ich habe nun auch schon mal versucht den feuerfux zu deinstallieren, um bei der folgenden installation des ff die übernahme der daten aus IE zu verneinen. allerdings fragt mich die installation gar nicht mehr, ob ich diese daten übernehmen will. hmm, ratlos überleg und grübel.... das ff-verzeichnis habe ich vor der neuinst natürlich komplett entfernt.

also natürlich habe ich seitdem immer wieder versucht die googleseite zu öffnen, geht aber nicht. ihr könnt sicher allemann googeln , nur ich nich... heul :cry:

H I L F E ! ! !

gruß, der pumba

hallo an alle computererfahrenen feuerfüxe

ich habe seit gestern den firefoxbrowser in benutzung. will mal sehen, was damit besser / schlechter funktioniert. habe bisher IE genutzt und war so leidlich zufrieden. habe halt nichts anderes ausprobiert. seit gestern alerdings kann ich auf die suchseite google nicht mehr zugreifen. weder mit IE noch mit dem neuen browser. kann das irgendwie zusammenhängen oder ist das nur ein zufall. logisch wäre, das schjon der IE nicht mehr die google-seite öffnen konnte, da ich bei firefoxinstallation die IE-einstellungen übernehmen ausgewählt habe. ich bin mir aber sicher, noch vor drei tagen gegoogelt zu haben. habe ich mir durch java oder active-x vielleicht was zerschossen?. habe aber nichts derartiges verstellt. hat jemand ähnliche erfahrungen gemacht oder sogar eine logische erklärung dafür? dann gibts ja vielleicht auch berechtigte hoffnung auf eine lösung.

vielen dank für die hoffentlich zahlreichen posts,
gruß, der freund vom timon