Wiederherstellen der manipulierten "hosts"-Systemdatei

Norbert

Moderator
Teammitglied
Aufgrund des Beitrags Gefälschter Firefox manipuliert Computer
möchte ich hier die von der Antispam e.V. erstellte Anleitung
zum Bearbeiten der "hosts"-Systemdatei vorstellen:
Wiederherstellen der manipulierten hosts.

Zwar betrifft diese Anleitung ein Problem mit einer Abzocker-Webseite,
kann aber auch sehr schön als allgemein gültiges Beispiel angesehen werden.

Als Ergänzung dazu wäre es auch sinnvoll, sich eine Verknüpfung mit dem Inhalt
notepad.exe C:\WINDOWS\system32\drivers\etc\hosts
z.B. auf den Desktop zu legen.
Je nach Windows-Version muss noch der Pfad angepasst werden:
  • Vista: C:\WINDOWS\system32\drivers\etc\
  • XP: C:\WINDOWS\system32\drivers\etc\
  • 2000: C:\WINNT\system32\drivers\etc\
  • 98\ME: C:\WINDOWS\
Oder so: HostsXpert - Host Datei Editor

Somit hat man diese Datei immer im Schnellzugriff und kann sie hin und wieder mal zur Kontrolle sichten.

Manche Virenscanner oder Desktop-Firewalls erlauben es auch, die hosts-Datei gegen Manipulationen zu schützen.
Falls vorhanden, sollte diese Option genutzt und auf "sperren" gestellt werden (siehe Bilder, evtl. Neustart oder Neuanmeldung erforderlich).
Dabei daran denken, sie wieder ggf. vorübergehend zu entsperren, wenn man darin Änderungen vornehmen möchte.
 

Anhänge

  • Avira_hosts.jpg
    Avira_hosts.jpg
    145,8 KB · Aufrufe: 737
  • Online Armor - hosts.jpg
    Online Armor - hosts.jpg
    190,4 KB · Aufrufe: 4.915
Zuletzt bearbeitet:
B

Brummelchen

Gast
Im Prinzip ist es ganz einfach, solche Dateien zu schützen - einfach zum Schreiben öffnen,
aber nicht schliessen. Der Prozess dafür muss natürlich geschützt sein, das ist bei Avira ja
der Fall, also kann man den nicht mal eben abschiessen. So sollte eigentlich jedes gute
HIPS arbeiten. http://de.wikipedia.org/wiki/Intrusion_Prevention_System

Das Bild bei dir ist allerdings die Avira Suite -> Virenscanner + Firewall.
Das reguläre AV-Programm (Antivir Premium) bietet das IMO so nicht.
Allerdings bin ich kein Freund der Suite:
http://www.matousec.com/projects/firewall-challenge/results.php
 

QuHno

Außer Betrieb
Zusätzlich kann man die HOSTS Datei auch direkt dazu benutzen, bösartige Seiten zu blocken.

Vorgefertigte HOSTS Dateien, die einen Großteil der "üblichen Verdächtigen" blocken, gibt es z.B. auf MVPS.org (engl)
 

Norbert

Moderator
Teammitglied
Das Bild bei dir ist allerdings die Avira Suite -> Virenscanner + Firewall.
Das reguläre AV-Programm (Antivir Premium) bietet das IMO so nicht.
Das ist richtig. Wie im Bild zu sehen, ist es eine Option der Firewall, die bei der Premium-Version ja nicht dabei ist.

Zusätzlich kann man die HOSTS Datei auch direkt dazu benutzen, bösartige Seiten zu blocken.
Ja, eine einfache Sache, die ich schon für mehrere suspekte Webseiten genutzt habe.;)
{ Beispiel: 127.0.0.1 Abzocker.de }

Download einer vorgefertigten hosts-Datei mit weit über 16000 Einträgen (aus dem Link von QuHno):
http://www.mvps.org/winhelp2002/hosts.zip
 
Zuletzt bearbeitet:

QuHno

Außer Betrieb
Zu der vorgefertigten HOSTS Datei muss hinzu gesagt werden, dass HOSTS Dateien > 135KB, wie die von MVPS, 2k, XP und Vista massiv ausbremsen können, wenn der Service "DNS Client" läuft. Dieser kann in vielen Fällen deaktiviert werden, jedoch nicht wenn der Rechner zu einer Domäne gehört oder Software wie z.B. IPCOP läuft. Siehe dazu auch speziell diesen Abschnitt bei MVPS.

Ich persönlich bevorzuge eine etwas schlankere HOSTS Datei und blocke lieber in Opera über die urlfilter.ini, da ich dort auch Wildcards einsetzen kann und erst gar keine Anfragen vom Browser an die geblockten Seiten abgesandt werden, die dann mit Hilfe der HOSTS Datei in das "127.0.0.1 localhost" Nirvana umgeleitet werden müssen.

Vorgefertigte urlfilter.ini Dateien und andere Formate gibt es z.B. auf yoyo.org - ich habe meine allerdings ein wenig überarbeitet, da sie doch sehr speziell auf Werbung zielt, ich aber eher an Tracking Cookies und Malware Blockierung Interesse habe und die Einnahmen der Seitenbetreibern nicht durch blocken sämtlicher Werbung all zu sehr schmälern möchte. ;)
 

Norbert

Moderator
Teammitglied
Danke für den Tipp mit dem DNS-Client. Bei mir läuft er noch und diese große HOSTS-Datei habe ich in meine HOSTS mit eingefügt. Ich lass es zunächst mal so und werde das mit der Geschwindigkeit beobachten. Sollte der Rechner doch zu sehr ausgebremst werden, muss ich mal sehen, wie man das in Firefox einbauen kann. Sowas ähnliches wie die urlfilter.ini gibt es da ja nicht, glaube ich. Adblock Plus dürfte dafür ungeeignet sein, da diese Erweiterung ja nur eingehende Seiten filtert, der Zugriff nach draußen ist weiterhin möglich.
 

QuHno

Außer Betrieb
Rechtsklick auf die Datei > Eigenschaften und den Haken rein bei Schreibgeschützt.
... was man schon mit einer einfachen einzeiligen Batch-Datei wieder aushebeln kann, was aber nichts daran ändert, dass der Haken dennoch gesetzt werden sollte.

Brummelchens Lösung geht da deutlich weiter ;)
 
B

Brummelchen

Gast
Nützt aber alles nichts, wenn wie derzeit die DNS-Server in den
TCPIP-Optionen (Registry) manipuliert werden. Aktuell steht bei
manchen Usern, die zB auch keine Antiviren-Updates laden können,
DNS-Server aus der Ukraine drin ;)

http://www.hijackthis.de/
--> O17

http://whois.domaintools.com/<ip_einfügen>
 
B

Brummelchen

Gast
Jo

O17 - HKLM\System\CCS\Services\Tcpip\..\{13C957A4-D705-49FD-A431-8D1E87CA6154}: NameServer = 62.220.18.8 89.246.64.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{13C957A4-D705-49FD-A431-8D1E87CA6154}: NameServer = 62.220.18.8 89.246.64.8

Nur ein Muster, das sind die DNS von Versatel.
 

Norbert

Moderator
Teammitglied
So, ich habe die Ergänzung mit der vorgefertigten und riesigen HOSTS Datei wieder herausgenommen.

Zwar habe ich nichts von einem Ausbremsen des Systems trotz laufendem DNS-Client bemerkt, es wurden jedoch auch Inhalte geblockt, die keineswegs suspekt sind. Diese riesige Hosts nach den entsprechenden Einträgen abzugrasen, ist mir nun doch zu aufwendig. Daher werde ich es wieder so wie vorher halten und entsprechende Einträge weiterhin manuell vornehmen.
 

Fireball

treuer Stammgast
Auf Windoof Rechnern kann man auch die Freeware Spybot Search and Destroy installieren. Mit einem klick auf "Immunisieren" wird ebenfalls die Hosts verwendet
um die DNS-Auflösung "bösartiger" Sites zu unterbinden.
Man muss zwar nach jedem Update neu Immunisieren, ist aber für Laien einfacher wie die /etc/hosts ständig zu übernudeln.
 

QuHno

Außer Betrieb
Bevor SS&D auf meinen Rechner kommt nehme ich doch lieber gleich einen gesicherten DNS, bei dem direkt der ganze Crap rausgefiltert wird. Belastet mein System nicht, bringt letztendlich mehr und ich muss mich auch nicht mehr drum kümmern...
 

 ﴾͡๏̯͡๏﴿.tk

nicht mehr wegzudenken
bzgl hosts datei

unter hostblock ist ein tool zu finden womit einfach Einträge zur Hosts Datei hinzugufügt werden können + ein ~13kb hosts file
( der Autor des tools hostet auf funpic so dass ein layerad weggeklickt werden muss)

Eine erweitere hosts Datei blockt Werbung w.images + gefährliche sites Browser übergreifend

unter 6.gp/wiki sind 2 downloads von mir
obige 13kb + etwas mehr
dl.dropbox.com/u/2427128/hosts.sfx.exe
es ist keine Installation, die hosts datei wird in den /etc Ordner entpackt und Überschreibt die standart Datei nach Zustimmung
Kurzadr von obigem http://6.gp/hosts
oder ungepackt http://dl.dropbox.com/u/2427128/hosts#_=13kb_hosts_Datei

Ich praktiziere das Hinzufügen per Verknüpfung ( notepad.exe gefolgt vom pfad der hosts Datei. Die hosts Datei kann dann auch per ctrl alt + h geöffnet werden →Feld shortcut u. h drücken)
 
Zuletzt bearbeitet:

 ﴾͡๏̯͡๏﴿.tk

nicht mehr wegzudenken
auch nicht schlecht die Möglichkeit , doch drauf zu kommen

bei Kyrills/meiner host file wird auch an Werbe-images z.b bei gmx.de
gedacht

Bei eurer Lösung würden die Werbeimages durch eure Seite ersetzt
(oder sehe ich das falsch)

Bei der portablen version bekomme ich
"subscript used with none-array variable" deshalb obige Vermutung

Wie sieht es eigentlich mit der Übernahme der gelisteten bad domains aus?
 

QuHno

Außer Betrieb
﴾͡๏̯͡๏﴿.tk;935524 schrieb:
Bei eurer Lösung würden die Werbeimages durch eure Seite ersetzt
(oder sehe ich das falsch)
Ja, denn Werbung wird überhaupt nicht ersetzt, da es sich um einen Schutz vor Abzock-Seiten handelt und nicht um eine Werbung-blockier-HOSTS Datei.
 

MaXg

assimiliert
ot:
....Würde unsere Liste die Erweiterung auf reine Werbeserver schlappe 70.000 weitere Einträge kosten, was in etwa der Schmerzgrenze von 1MB Dateigröße entspricht.


Zum Filtern von Werbung gibt es wesentlich bessere Lösungen als die hosts Datei.
Meine Favoriten:
Einzelplatz = ein richtiger Browser + ADBlock
Netzwerk = Dansguardian
 
Oben