2.7k Aufrufe
Gefragt in Security Viren von yussuf_islam Mitglied (849 Punkte)
Hallo,
ich nutze unter Windows7 eine aktuelle Version von Avast, welcher
nichts Bedrohliches findet oder meldet.
Nun erschien aber rechts unten in der Leiste eine
Sicherheitswarnung mit dem Hinweis, dass ich mal Windows-
Defender starten sollte.
Darauf habe ich geklickt und dann wurde folgender Fund gemeldet:
"...
SettingsModifier: Win32/PossibleHostsFileHijack
...
Kategorie: Einstellungsveränderer
Beschreibung: Das Verhalten dieses Programms ist potenziell
unerwünscht.
Empfehlung:
Überprüfen Sie die Benachrichtigungen, um festzustellen, warum
die Software ermittelt wurde. Wenn Ihnen die Funktionsweise der
Software nicht gefällt oder Sie den Softwareherausgeber nicht
kennen und ihm nicht vertrauen, sollten Sie erwägen, die Software
zu blockieren oder zu entfernen.
Ressourcen:
file: C:\Windows\system32\drivers\etc\hosts
..."
Windows-Defender hat ja nicht den besten Ruf. Und Avast hat, wie
gesagt, nichts gefunden.

Frage: a) ist dies ein Fehlalarm des Defenders?
b) macht es Sinn, überhaupt den Defender ab und an zu starten,
wenn man schon ein richtiges Antiviren-Programm hat?

Für Antworten: danke im Voraus

6 Antworten

0 Punkte
Beantwortet von road-runner Experte (5.8k Punkte)
Hallo,

avast ist wie andere Antivirenprogramme auch kein Tool, mit denen man PUPs (potentiell unerwünschte Programme) auf dem Rechner finden kann. Dazu solltest Du eher Malwarebytes free nutzen. Avast und Malwarebytes ergänzen sich gut.

Den Windows Defender habe ich gleich am Tag der Installation abgeschaltet. Soweit ich mich erinnere und wen ich mich nicht irre, wurde er regelmäßig Letzter in den verschiedenen Tests von AV-Programmen. So kann ich auch nicht beurteilen, ob ein Fehlalarm vorliegt.

Wenn Malwarebytes aber auch nichts findet, ist die Wahrscheinlichkeit eines Fehlalarms vom Defender extrem hoch (bei 99,99999%).

Gruss

Road-Runner
0 Punkte
Beantwortet von kjg17 Profi (34.4k Punkte)
Hallo Bernd,

Defender hat lediglich festgestellt, dass in deiner Hostdatei 'benutzerdefiniert' einigen Hostnamen bestimmte IP-Adressen zugeordnet wurden. Dabei kann es sich um 'bösartige' Umleitungen auf andere Websites durch Maleware, aber auch um gewollte Zuordungen auf den Localhost 127.0.0.1 handeln, um eine Verbindung zu bestimmten Web-Adressen zu verhindern.

Du müsstest also mal unter C:\Windows\system32\drivers\etc\ die Datei 'hosts' mit dem Editor öffnen und die Einträge überprüfen. Dabei sind nur die Zeilen interessant, welche nicht mit # auskommentiert sind.

Wenn dort alles O.K. ist und du weiterhin mit aktiviertem Defender arbeiten willst, kannst du in den Einstellungen von Defender unter 'Ausgeschlossene Dateien und Verzeichnisse' die Hostdatei unter dem angegebenen Pfad suchen und hinzufügen lassen. Die Hostdatei wird dann nicht mehr durch Defender überprüft und somit entfällt auch die Meldung.

Gruß
Kalle
0 Punkte
Beantwortet von yussuf_islam Mitglied (849 Punkte)
Danke euch für die Hinweise!
In der Datei "hosts" steht nur ein Eintrag ohne #, nämlich:
27.0.0.1 google-analytics.com
Dann gibt es noch eine Datei hosts.ics, die aber Outlook nicht öffnen
kann, weil es angeblich keine gültige Internetkalenderdatei wäre.
Gruß
Bernd
0 Punkte
Beantwortet von kjg17 Profi (34.4k Punkte)
Hallo Bernd,

hast du einfach nur die 1 bei der IP vergessen, oder fehlt die tatsächlich?

Die IP von google-analytics.com ist jedenfalls 173.194.44.19, entsprechende Anforderungen würden durch deine Hostdatei dann aber auf die IP 27.0.0.1 umgeleitet.

Jedenfalls ist das keine lokale IP und der Server für diese IP scheint sich in den USA zu befinden. Ich würde diesen Eintrag entweder löschen, mit # + Leezeichen ungültig machen oder auf 127.0.0.1 abändern.

Und natürlich auch mal den Rechner gründlich auf Maleware prüfen, sonst könnte der Eintrag jederzeit wieder auftauchen.

Gruß
Kalle
0 Punkte
Beantwortet von yussuf_islam Mitglied (849 Punkte)
Hallo Kalle,
danke für den Hinweis!
Du hast Recht: beim Kopieren ist die "1" am Anfang verloren gegangen.
Dort steht tatsächlich: 127.0.0.1
Gruß
Bernd
0 Punkte
Beantwortet von halfstone Profi (18.1k Punkte)
Hi yussuf_islam,

dieser Eintrag wurde sicher mal von dir per Hand gemacht oder von einem Tool, das das Tracking von Google Analytics unterbinden soll.

Jede Anfrage an Google Analytics wird durch diesen Eintrag in die hosts Datei auf deinen eigenen Rechner umgeleitet und kann somit nicht mehr getrackt werden.

Den Eintrag kannst du löschen oder so lassen, aber das ist sicher kein Fall für einen Fund einer unerwünschten Software.

Also würde ich hier die Meldung einfach ignorieren.

Gruß Fabian
...