Hostseintrag in der Logfileauswertung

[hsf41]

Hosts: # Copyright (c) 1993-2009 Microsoft Corp.

Laut Logfileauswertung muss dieser Eintrag gefixt werde, das ist aber nicht möglich.
Was bedeuted dieser Eintrag ?

mfG hsf41

[Petra]

Hallo hsf41,

zunächst bitte anklicken und lesen: Worauf muss ich während der Bereinigung achten?

Besonders wichtig ist, dass Du die Punkte in der vorgegebenen Reihenfolge abarbeitest.
Berichte mir, wenn etwas nicht funktioniert, damit ich die Anleitung ggfs. ändern kann!

Ja, der Hostseintrag sieht nicht gut aus. Ich kann aber nur etwas dazu sagen, wenn ich den Gesamtzustand des Rechners beurteilen kann. Mache bitte folgendes:



===== Punkt 1 =====

Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
  Mache hier zusätzlich einen Haken bei "Scanne alle Benutzer".
• User mit 64Bit-Systemen machen auch einen Haken bei "Include 64Bit-Scan".
• Klicke nun auf Scan links oben.
  
  
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
• Sofern Dein realer Nachname Bestandteil des Benutzernamens ist:
  anonymisiere diesen durch 5 Sternchen *****, am besten im Editor durch "Suchen und Ersetzen".
  Vornamen oder sonstige Usernamen brauchen nicht anonymisiert werden.
  Beispiel: Lieschen Müller - hier Müller durch ***** ersetzen.
  Ist der Benutzername nur Lieschen kann er so bleiben, wie er ist.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

[hsf41]

Hallo Petra

vielen Dank für Deine prompte Antwort.

Hier meine beiden Files

mfG hsf41

[Petra]

Hallo hsf41,


===== Punkt 1 =====

Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:Processes
killallprocesses

:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=make&s={searchTerms}&f=4
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2019560811-2071552105-3984750276-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2019560811-2071552105-3984750276-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2019560811-2071552105-3984750276-1001\..\SearchScopes\{14969282-51BD-4B99-8E13-DCA9FC79C695}: "URL" = http://www.google.de/search?q={searchTerms}
IE - HKU\S-1-5-21-2019560811-2071552105-3984750276-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF64_11_3_300_262.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2011.11.18 16:19:55 | 000,002,047 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4 - HKU\S-1-5-21-2019560811-2071552105-3984750276-1001..\Run: [ecoPrint2 Ink Saver]  File not found
O4 - HKU\S-1-5-21-2019560811-2071552105-3984750276-1001..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O33 - MountPoints2\{cc7d577d-b5d3-11e0-9bf3-1c6f6534b382}\Shell - "" = AutoRun
O33 - MountPoints2\{cc7d577d-b5d3-11e0-9bf3-1c6f6534b382}\Shell\AutoRun\command - "" = U:\EasySuite.exe

:Files
echo,Y|cacls "%WinDir%\system32\drivers\etc\hosts" /G everyone:f /c
ipconfig /flushdns /c
C:\Users\hsf41\AppData\Local\{*}

:Commands
[purity]
[resethosts]
[emptytemp]

• Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


===== Punkt 2 =====

Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf)

Lade Malwarebytes Anti-Malware (ca. 8 MB) von einem dieser Downloadspiegel herunter:

FilePony.de - MajorGeeks.com - BestTechie

• Anwendbar auf Windows 2000, XP, Vista und Windows 7.
• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista und Windows 7 das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
• Aktiviere "Vollständigen Suchlauf durchführen" => Scan.
• Wähle alle verfügbaren Laufwerke aus und starte den Scan.
• Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
• Bei Funden in C:\System Volume Information den Haken entfernen.
  Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
  Er könnte jedoch trotz Malware noch gebraucht werden.
  
• Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Logdateien" finden.
• Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung.

[hsf41]

Hallo Petra

Ich habe Deine Anleitungen durchgelesen, es sieht etwas kompliziert aus und ich habe Angst mein WIN7 zu zerstören.

Eine weitere Info:

ich habe auf meinem Zweitrechner einem Netbook mit WinXP installiert, nach dem Ausführen von HijackThis denselben Hosteintrag gefunden.
Jetzt bin ich verunsichert, weil auf beiden PC's derselbe Eintrag im Log ist.

Meine Frage, ist dieser Hosteintrag so gefährlich, dass ich ihn löschen muss???

mfG hsf41

[Petra]

Hallo hsf41,

da brauchst Du keine Angst zu haben. Was erscheint Dir daran kompliziert, womit kommst Du nicht zurecht?

Der Hosts-Eintrag so wie Du ihn eingangs geschildert hast, taucht in den Logfiles so nicht auf, sondern sieht ganz normal aus:

O1 HOSTS File: ([2012.05.23 14:51:08 | 000,000,897 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 google-analytics.com
O1 - Hosts: 127.0.0.1 www.google-analytics.com

hier wurden nur die beiden Google-Einträge zusätzlich hinzugefügt, damit URL mit diesen Adressen ins Leere laufen.

Zur Sicherheit setze ich mit dem obigen OTL-Fix u. a. die Hosts-Datei auf Standard zurück.

[hsf41]

Hallo Petra

ich habe den OTL-Fix ausgeführt,

wenn ich nun den Hijackscann starte kommt die Meldung. For some reason................(Anhang Meldung)

der Inhalt der Hostdatei ist....... (Anhang Inhalt Hostdatei)

die neue Auswertung ist..........(Anhang Auswertung)

[Petra]

Hallo hsf41,

die Hostsdatei ist so in Ordnung, Hijackthis ist einfach für Windows 7 nicht geeignet.

Bekomme ich noch die Logfiles von Punkt 1 und 2?

[hsf41]

Hallo Petra

Hier die Logs

[Petra]

Hallo hsf41,

===== Punkt 1 =====

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


===== Punkt 2 =====

Welche Java-Version ist installiert?

Kontrolliere über Systemsteuerung => Programme, welche Java-Version installiert ist.
Falls es nicht Java Version 7 Update 5 ist:
Systemsteuerung => Java => Aktualisierung => Jetzt aktualisieren.

Unter Systemsteuerung => Java => Aktualisierung einstellen:
Benachrichtigung ausgeben => Vor der Installation
Haken bei Automatisch nach Aktualisierung suchen machen und unter Erweitert auf "Wöchentlich" einstellen.

Eventuell vorhandene ältere Versionen von Java über Systemsteuerung => Programme deinstallieren und ggfs. auch im Firefox unter Addons => Erweiterungen die alten Java-Versionen entfernen.

Die Offline-Version von Java Version 7 Update 5 von Oracle findest Du hier. Achte bei der Installation darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.

User mit 64Bit-System sollten die 32Bit-Version installieren. Es hat sich mehrfach gezeigt, dass die 64Bit-Version Probleme bereitet.


Java-Cache leeren

Start => Systemsteuerung => Java => Allgemein => Temporäre Internet-Dateien "Einstellungen" => Dateien löschen => Haken setzen wo möglich => OK