|
HiJackThis Logfile
Hallo Freunde,
habe mal einen Logfile laufen lassen und unter anderem erscheinen diese Einträge: O1 - Hosts: 149.5.18.172 [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]. O1 - Hosts: 149.5.18.172 ad-emea.doubleclick.net. O1 - Hosts: 149.5.18.172 [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]. O1 - Hosts: 108.163.215.51 [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]. O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net. O1 - Hosts: 108.163.215.51 [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]. Nach der Auswertung seien sie gefährlich und sollten gefixt werden. Führe Fix checked aus, aber die Einträge erscheinen wieder. Sind die Einträge wirklich so gefährlich und wie werde ich sie los, bzw. wo finde ich diese ? Vielen Dank für eure Hilfe ! |
Hey Senkrechtstarter,
Die oben angegebenen Sachen solltest du aus deiner host-Datei löschen. Dazu wechsel in das nach C:\Windows\system32\driver\etc und öffnest die host Datei im Editor. Wäre gut, wenn du zeitgleich Hijackthis mit "Do a scan only " geöffnet hast. Weil dann kannst du die jeweiligen Zeilen herauslöschen oder änderst die Ip von z.B: 149.5.18.172 "www.google-analytics.com" auf "127.0.0.1 www.google-analytics.com" und speicherst die host. Danach lässt du noch Malwarebytes oder Microsoft Security Essentials drüber laufen. Diese Einträge sorgen z.b für unnötieg Popups, oder sammeln Daten, verändern den Browser und sind daher potenziell als gefährlich eingestuft. Allein Google-Analytics nutzt folgende Einträge, die ich bereits in 127.0.0.1 geändert habe... Zitat:
Wenn ein Scan noch auffällige Einträge aufweist, dann solltest du es komplett posten, eventuell Benutzer rauslöschen . Mfg |
@ckjthedogmaster
Danke für deine Hilfe. Ich kann aber die Sachen unter C:\Windows.... nicht finden, da sind keine Einträge vorhanden. Ich habe dort: hosts.new imhosts.sam network protocol services Ich habe WIN 7 Home Premium 64bit, habe unter System32 und 64 gesucht. Malwarebytes laufen lassen, hat aber offensichtlich auch nichts gefunden, da die Sachen immer noch im HiJack LogFile sind. RATLOS ! |
Öffne mal die hosts.new im Editor und poste den Inhalt.
Mfg |
# Copyright (c) 1993-2006 Microsoft Corp.
# # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost ::1 localhost 149.5.18.172 [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]. 149.5.18.172 ad-emea.doubleclick.net. 149.5.18.172 [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]. Hab es jetzt gefunden wie Du sehen kannst war da viel Leerraum dazwischen. Hab sie im Editor gelöscht und die Änderung gespeichert. Wird es erst nach einem Neustart wirkdsam ? |
Ja, du musst dafür neu starten.
wenn du danach n HJT-Log machst, sollten die Einträge nicht mehr vorhanden sein. Mfg |
Der Eintrag ist noch drin, also muss ich jetzt noch System32 überprüfen, ich hatte es aus System64 gelöscht.
LG Edit: Unter System32 ist kein Eintrag vorhanden, sind aber immer noch im LogFile. Lasse jetzt mal Mircrosoft Essentials laufen und melde mich Nachmittags wieder. |
Hallo,
bin jetzt über HiJackThis mainmenue und other tools und open hostfiles gegangen. Habe dort versucht die Einträge zu löschen und habe mich extra mit dem Administrationskonto angemeldet. Es kommt folgende Fehlermeldung: The hosts file is looking for reading and can not be edited. Make sure you privileges to modify the hosts file and no program protecting it against changes. Also sind die Einträge wohl noch da. Kannst Du mit der Meldung was anfangen ? LG |
Hey,
bin jetzt kurzzeitig on... Kannst du deinen Post (#5) editieren und die Leerzeichen entfernen. Im Normalfall sind die Einträge in der Host- Datei nach dem Löschen weg. Der Ordner "etc" ist Schreibgeschützt. Um die Fehlermeldung zu umgehen musst du ins Windows-Verzeichnis gehen und in den Eigenschaften vom etc - Ordner den Haken bei "Schreibgeschützt" entfernen ( Unterverzeichnisse mit einbeziehen). Mach auch mal in den Ordneroptionen die "versteckten Dateien anzeigen" an und shaue bitte, ob da noch ne andere host- datei drin liegt. Im Anschluß darfst du nicht vergessen, das du diese Einstellung rückgängig machen solltest. Was mich ein wenig stört, das die Datei hosts.new heisst, oder hast du diese so erstellt? Normal heisst sie nur "hosts" . Ich bin frühestens heute abend erst wieder on... Sollten die Einträge trotz alledem nicht weg gehen, dann poste bitte ein komplettes HJT im Spoiler. Mfg |
Ich schick dir jetzt mal die Logfile, da die Einträge lt.HiJack immer noch vorhanden sind. Hoofe das es mit dem Spoiler klappt, habe es noch nie ausprobiert. LG |
Tag zusammen!
Habe genau den gleichen Mist im HighjackThis-Log wie Senkrechtstarter auch. Habe schon einen Wiederherstellungspunkt geladen und alle möglichen in Foren angepriesenen Scanner genutzt...laut Windows Security Essentials ist alles sauber und Malewarebytes hat auch nix gefunden. Ich bekomme diese sechs zusätzlichen Hosts auch bei HJT angezeigt. In der HostNEW-Datei aber nur drei... Ferner habe ich natürlich auch versucht diese Datei wie beschrieben zu ändern, was nicht ging. also habe ich einen Wiederherstellungspunkt genommen, wo sie am anfang nicht da war und dann aufeinmal auftauchte... Wäre für Tipps dankbar! |
Da ich ja zum Glück Backups auf externe Festplatte mache, bin ich gerade dabei diese einzuspielen. Damit dürfte der Mist beseitigt sein.
Ich frage mich aber nur woher diese Sch.... kommt und warum kein Virenschutzprogramm es erkennt und beseitigt. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:09 Uhr. |
Powered by vBulletin® (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.