Wiki/Wiederherstellen der manipulierten hosts

Werkzeuge

LANGUAGES

Wiederherstellen der manipulierten hosts

Hier wird erklärt, wie man die hosts-Systemdatei, die zeitweise nach Download und Installation von Schadsoftware manipuliert wurde, wieder säubert.

Im Januar 2009 tauchte eine Abzock-Webseite namens "software-stream.de" auf, wo Downloads von ansonsten frei erhältlicher Software kostenpflichtig angeboten wurden. Zeitweise wurden dort auch Install-Dateien vorgehalten, die nach dem Ausführen die sogenannte "Hosts"-Systemdatei veränderten.

Inzwischen ist die betreffende Webseite nicht mehr aktiv.

Da jedoch auch andere Schadprogramme manchmal solche willkürlichen Änderungen an der Hosts-Datei vornehmen, haben wir uns dazu entschlossen, den Artikel stehenzulassen, weil die Regeln zu Beseitigung der Fehler prinzipiell in anderen Fällen auch gelten.

Inhaltsverzeichnis

Welche Windows-Systeme werden von der Schadsoftware angegriffen?

Benutzer von Windows-Vista sind (soweit uns bekannt) nicht betroffen, weil die betreffende Systemdatei dort einem speziellen Schutz unterliegt, der von dieser Malware nicht umgangen werden kann. Nicht betroffen dürften ebenfalls alle Nutzer von Windows 2000 und älterer Systeme sein, weil dort durch einen "Programmierfehler" der verseuchten Software die hosts in einem falschen Pfad gesucht wird und demzufolge das Programm ohnehin abstürzt, bevor etwas passiert ist. Betroffen sind jedoch auf jeden Fall alle Nutzer von Windows-XP, die von der Webseite software-stream.de etwas heruntergeladen und installiert haben. Da die hosts-Datei eine wichtige Systemdatei ist, betrifft dieses Problem in diesem Fall alle Browser.

Beachten Sie, dass der Betreiber die Webseite ständig ändert, und dass zeitweise auch Dateien zum Download angeboten werden, bei denen keine Manipulation an der hosts stattfindet. Dort wird man aber vor dem Download nach persönlichen Daten gefragt und bekommt eine böse Rechnung, die man aber ignorieren sollte.

Was macht diese Schadsoftware?

Die Manipulation der hosts-Datei verhindert den Browser-Aufruf von Webseiten wie computerbetrug.de, antispam-ev.de, infopirat.com, frag-einen-anwalt.de, boocompany.com und anderer. Es handelt sich um einen ganz bewussten Sabotageakt, um auf den Rechnern der Opfer den Aufruf wichtiger Verbraucherschutzportale zu blockieren, damit sie sich wegen böser Rechnungen und Mahnungen seitens der ominösen Firma "onTheRoad Networx" in Rostock nicht über ihre Verbraucherrechte informieren können.

Das Schadprogramm greift statisch schreibend auf "c:\windows\system32\drivers\etc\hosts" zu. Es wird dabei eine ganz neue hosts erzeugt, die alte wird leider ersatzlos gelöscht. Was unter Umständen auch zu erheblichen Netzwerkproblemen führen kann.

Was ist die hosts-Datei?

Diese Hosts-Datei ist dafür da, um dem Computer für einige wichtige Webseiten im Internet eine Vorgabe zu geben, auf welche IP-Adressen er den Browser hin verbinden soll. Der Computer kann nämlich diese Namen wie z.B. "google.de" nicht verstehen, sondern er braucht dazu die sogeannte "IP-Adresse" des Internetrechners, auf dem die Webseite von google betrieben wird. Dies ist z.B. 66.249.93.104 für "google.de". Eine IP-Adresse ist also eine Art "internationale Hausnummer" jedes Rechners, der mit dem Internet verbunden ist. Bekommt der Browser diese Information nicht, kann er die Webseite auch nicht aufrufen. Man erhält dann eine weiße Seite mit einer Fehlermeldung: "...konnte nicht gefunden werden".

Normalerweise holt sich der Browser die IP-Adressen selbsttätig aus dem Internet. Es gibt jedoch einige wenige Namen von Webseiten, wo man vielleicht dem Browser eine feste Vorgabe liefern möchte, damit er nicht mehr das Internet nach den IP-Adressen fragt, sondern damit er festgelegte Einträge benutzt. Genau diese Einträge kann man in der Hosts-Datei festlegen. Findet der Browser dort einen Eintrag für eine bestimmte URL, so fragt er nicht mehr im Internet nach der IP-Adresse, sondern benutzt die dort für diese URL fest hinterlegte IP-Adresse.

Die hosts-Datei wird gern von Software zum Schutz des Computers bearbeitet, weil man dort eine radikale Möglichkeit hat, um bestimmte Webseiten, die z.B. Tracking-Cookies, Spyware, Malware verbreiten, quasi "auszusperren".

Oft enthält jedoch die hosts nur eine einzige Zeile zur Festlegung der lokalen Netzwerk-Adresse "127.0.0.1" für den eigenen Rechner. Eine typische Hosts nach frischer Windows-Installation kann dann z.B. so aussehen:

# Zeilen, die mit einem "#" anfangen, sind nur Kommentare
# und werden vom System nicht gelesen.
# Diese Zeilen dienen nur zur Erklärung der Schreibweise in
# der Hosts-Datei.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost


# Die nächste Zeile bitte nicht ändern!
127.0.0.1 localhost
# Dieser Eintrag definiert die lokale Netzwerkadresse für den eigenen Rechner

Zeilen, die mit "#" anfangen, oder Leerzeilen, werden vom System ignoriert. Man kann also beliebig Kommentarzeilen mit "#" am Anfang dort hineinschreiben.

Will man jetzt den Computer vor einer bestimmten bösartigen Webseite namens "boese-seite.de" schützen, so fügt man in der hosts folgende Zeilen an:

127.0.0.1  boese-seite.de
127.0.0.1  www.boese-seite.de

Dieser Eintrag bewirkt dann, dass der Browser fortan die IP-Adresse für "boese-seite.de" nicht mehr im Internet sucht, sondern dass er immer auf den eigenen Rechner verbindet, nämlich auf die lokale Netzwerkadresse 127.0.0.1. Dabei kann dann auch nichts passieren, weil es auf dem eigenen Rechner diese bösartige Seite nicht gibt. Der Browser kann die Seite auf dem eigenen Rechner nicht finden. Man erhält dann eine weiße Seite mit Fehlermeldung: "...konnte nicht gefunden werden". Böse Webseiten lassen sich damit quasi "erden", neutralisieren.

Leider machen sich auch bösartige Programmierer diese Funktion zunutze. Denn damit kann man die Adressauflösung so umbiegen, dass bestimmte, dem Hacker unliebsame Webseiten entweder ganz blockiert werden, oder dass ein Browser-Aufruf von z.B. "google.de" plötzlich ganz woanders hinführt. Z.B. auf eine präparierte Webseite des Hackers, wo dann Spyware lauert. Oder auf eine Pornoseite etc.

Daher spielen Hacker sehr gern mit dieser hosts-Datei herum und manipulieren sie unauffällig durch Viren oder Spyware.

Auch der Geschäftsführer der ominösen Firma "onTheRoad Networx" in Rostock ist der Meinung, seine Opfer hätten gefälligst keine Verbraucherschutzseiten wie "computerbetrug.de" oder "antispam-ev.de" mehr aufzusuchen. Er ist auch durchaus der Meinung, die Opfer nicht etwa vorher fragen zu müssen, ob sie damit einverstanden sind. Sondern er macht das lieber still und klammheimlich. Seine Install-Dateien erzeugt eine völlig neue hosts, und dort stehen z.B. Zeilen, wie:

127.0.0.1  www.antispam-ev.de
127.0.0.1  www.computerbetrug.de
127.0.0.1  forum.computerbetrug.de

und so weiter.

Dadurch werden diese Internet-Namen auf den eigenen Rechner "umgebogen", der Browser kann aber dort natürlich die Webseiten nicht finden, und man bekommt eine weiße Seite mit Fehlermeldung.

Das war der Sinn der Übung.

Daher müssen Sie sich jetzt über diese hosts-Datei hermachen und die Mülleinträge, wie unten beschrieben, dort wieder herauslöschen.

Problematisch ist allerdings, dass die Schadsoftware eine völlig neue hosts angelegt hat. In der Regel dürfte davon kein Backup der alten Version existieren. Das führt dazu, dass Einträge, die von Netzwerkadministratoren dort vorgenommen wurden, nun nicht mehr dort vorhanden sind, was zu Netzwerkproblemen führen kann. Diese Einträge müssten dann manuell wiederhergestellt werden. Es kann ebenfalls sein, dass eine Virenschutz- oder Security-Software vorher Einträge in der hosts angebracht hatte, die nun ebenfalls nicht mehr vorhanden sind. Das ist nicht unbedingt tragisch, aber im Zweifelsfall sollte evtl. die Schutzsoftware neu installiert werden.

Wo findet man die hosts-Datei?

Diese hosts-Datei findet man in folgendem Ordner:
Windows Vista:.C:\Windows\System32\drivers\etc\
Windows XP.....C:\WINDOWS\SYSTEM32\DRIVERS\ETC
Windows 2K.....C:\WINNT\SYSTEM32\DRIVERS\ETC
Win 98\ME......C:\WINDOWS

Beachten Sie: Die "hosts" hat keine Dateiendung, sondern heißt einfach nur "hosts", ohne Punkt und Endung. Sie müssen also in dem betreffenden Ordner alle Dateien anzeigen lassen, um sie zu finden!

Wie bearbeitet man die hosts-Datei?

Zur Bearbeitung der hosts-Datei kann man im Prinzip jeden Texteditor nehmen, wie z.B. den in Windows mitgelieferten Editor namens "notepad".

Wie mache ich das?

  • Klicke auf Start, Ausführen, gebe dort "notepad" ein.
  • Gehe auf Datei...öffnen und suche die hosts-Datei in dem hier weiter oben angegebenen Ordner auf, und öffne sie.
  • Lösche dann in der jetzt geöffneten hosts-Datei die Zeilen, die unten im Abschnitt "welche Zeilen soll man löschen?" angegeben sind.
  • Nach erfolgreicher Änderung der Datei auf Datei -> Speichern klicken, das wars!

Welche Zeilen soll man löschen?

Soweit feststellbar, hat software-stream.de eine neue hosts erzeugt, mit folgenden Zeilen, die allesamt zu löschen sind:

# added by WinDefender

127.0.0.1     ad.a8.net
127.0.0.1     asy.a8ww.net
127.0.0.1     a9rhiwa.cn #[Google.Warning]
127.0.0.1     www.a9rhiwa.cn
127.0.0.1     acezip.net #[SiteAdvisor.acezip.net]
127.0.0.1     www.acezip.net #[Win32/Adware.180Solutions]
127.0.0.1     phpadsnew.abac.com
127.0.0.1     a.abnad.net
127.0.0.1     b.abnad.net
127.0.0.1     c.abnad.net #[eTrust.Tracking.Cookie]
127.0.0.1     d.abnad.net
127.0.0.1     e.abnad.net
127.0.0.1     t.abnad.net
127.0.0.1     z.abnad.net
127.0.0.1     banners.absolpublisher.com
127.0.0.1     tracking.absolstats.com
127.0.0.1     adv.abv.bg
127.0.0.1     bimg.abv.bg
127.0.0.1     www2.a-counter.kiev.ua
127.0.0.1     track.acclaimnetwork.com
127.0.0.1     accuserveadsystem.com
127.0.0.1     www.augsblog.de
127.0.0.1     augsblog.de
127.0.0.1     www.antiabzocke.net
127.0.0.1     antiabzocke.net
127.0.0.1     abzocknews.de
127.0.0.1     www.abzocknews.de
127.0.0.1     pub40.bravenet.com
127.0.0.1     pub42.bravenet.com
127.0.0.1     pub43.bravenet.com
127.0.0.1     www.gti-verbraucherschutz-forum.de
127.0.0.1     gti-verbraucherschutz-forum.de
127.0.0.1     pub45.bravenet.com
127.0.0.1     pub49.bravenet.com
127.0.0.1     anti-abzocke.blogspot.com
127.0.0.1     www.antiabzocke.info
127.0.0.1     antiabzocke.info
127.0.0.1     www.accuserveadsystem.com
127.0.0.1     gtb5.acecounter.com
127.0.0.1     gtcc1.acecounter.com
127.0.0.1     gtp1.acecounter.com #[eTrust.Tracking.Cookie]
127.0.0.1     acestats.com
127.0.0.1     www.acestats.com
127.0.0.1     achmedia.com
127.0.0.1     board.protecus.de
127.0.0.1     protecus.de
127.0.0.1     www.protecus.de
127.0.0.1     ads.active.com
127.0.0.1     am1.activemeter.com
127.0.0.1     www.activemeter.com #[eTrust.Tracking.Cookie]
127.0.0.1     ads.activepower.net
127.0.0.1     frag-einen-anwalt.de
127.0.0.1     www.frag-einen-anwalt.de
127.0.0.1     www.fair-ebiz.org
127.0.0.1     fair-ebiz.org
127.0.0.1     stat.active24stats.nl #[eTrust.Tracking.Cookie]
127.0.0.1     www.computerbetrug.de
127.0.0.1     computerbetrug.de
127.0.0.1     forum.computerbetrug.de
127.0.0.1     antispam-ev.de
127.0.0.1     www.antispam-ev.de
127.0.0.1     1cat.com
127.0.0.1     i.1cat.com
127.0.0.1     www.1cat.com
127.0.0.1     gr1.cc
127.0.0.1     gr2.cc
127.0.0.1     gr3.cc
127.0.0.1     selectbonus.com
127.0.0.1     www.selectbonus.com
127.0.0.1     forum.boocompany.com
127.0.0.1     www.boocompany.com
127.0.0.1     boocompany.com
127.0.0.1     www.abzocknews.de
127.0.0.1     abzocknews.de
127.0.0.1     www.the-bdsm.com
127.0.0.1     trafficswitch.com #[Vivids Media GmbH]
127.0.0.1     www.trafficswitch.com
127.0.0.1     top50search.com
127.0.0.1     vip-teens.net #[Malicious.Links.Codec]
127.0.0.1     th.vip-teens.net
127.0.0.1     www.infopirat.com
127.0.0.1     infopirat.com
127.0.0.1     xxx-video-clips.org
127.0.0.1     xwarezzz.com # [Arundel Group][Harris Digital Publishing]
127.0.0.1     www.affiliatesuccess.net #[System Detective]
127.0.0.1     www.systemdetective.com #[Rogue/Suspect]
127.0.0.1     ztrack.net # [Azoogle.com INC][Impulse Leads][Epic Advertising]
127.0.0.1     i.1100i.com
127.0.0.1     board.gulli.com
127.0.0.1     images.1100i.com
127.0.0.1     c.azjmp.com #[SpySweeper.Spy.Cookie][Adware-Fizzle]
127.0.0.1     i.azjmp.com
127.0.0.1     x.azjmp.com
127.0.0.1     www.azjmp.com
127.0.0.1     images.azoogleads.com
127.0.0.1     www.gutefrage.net
127.0.0.1     gutefrage.net
127.0.0.1     www.nicht-abzocken.eu
127.0.0.1     nicht-abzocken.eu
127.0.0.1     images1.azoogleads.com
127.0.0.1     www.azoogleads.com
127.0.0.1     www.bluetime.com

Diese oben angegebenen Zeilen sollten Sie jedoch in jedem Fall löschen, wenn Sie sie in Ihrer hosts vorfinden. Danach sind die betreffenden Webseiten wieder erreichbar!

Falls diese Zeile:

127.0.0.1     localhost

in der hosts nicht enthalten ist, legen Sie sie neu an!
Sonst bekommen Sie böse Probleme mit Ihrem PC bzw. Netzwerk!

Tipp: sind Sie sich nicht sicher, können Sie einer Zeile immer ein #-Zeichen voranstellen, damit markieren Sie diese Zeile als Kommentarzeile, und sie wird nicht mehr ausgeführt.

Zugegeben ist dies hier mit etwas Arbeit verbunden. Aber das können wir Ihnen leider nicht ganz ersparen.




Benutzeroptionen:
 Anmelden 

 Spezialseiten 
Diese Seite wurde zuletzt am 2. August 2011 um 00:27 Uhr geändert. Diese Seite wurde bisher 35.572-mal abgerufen.
   © 1999 - 2024 Antispam e. V.
Kontakt | Impressum | Datenschutz

Partnerlink: REDDOXX Anti-Spam