O que está gravando no meu arquivo hosts?

1

Eu tenho uma situação estranha em que estou esvaziando meu arquivo de hosts, mas quando faço ping em algo que costumava ter uma entrada no arquivo de hosts, o arquivo de hosts é preenchido com as entradas que acabei de remover.

As entradas são específicas para vários servidores na rede, portanto, não são apenas endereços IP aleatórios. No entanto, como alguns dos endereços IP foram alterados, as entradas não são mais válidas, mas não posso removê-las e confiar no DNS interno da rede.

O que poderia estar atualizando o arquivo hosts?

Edit: Então parece que correr ipconfig /flushdnsé o que está adicionando as entradas novamente. Eu nunca me deparei com isso antes.

Edit2: deveria ter apontado anteriormente, isso está em uma caixa do windows

Edit3: Parece que é svchost.exe que está fazendo isso. Veja esta captura de tela aqui:Captura de tela do processmonitor

windows networking dns hosts-file Piers Karsenbarg
fonte

Respostas:

3

O Windows Security Essentials e outro software antivírus corrigem o arquivo do host. Incluindo a remoção de referências aos servidores de anúncios que você tenta bloquear. e reverter as alterações com base no fato de o seu editor de texto ser um malware. Se isso acontecesse há menos de uma hora no Windows 8.

roubar
fonte
Aconteceu apenas em segundo plano ou quando você liberou o DNS?
Piers Karsenbarg
depois que eu salvei no arquivo hosts, na minha mente instantaneamente.
Rob
Você sabe se existe alguma maneira de impedir que isso aconteça?
Piers Karsenbarg
desabilite os fundamentos de segurança e desative o AV ou exclua esse arquivo / pasta do AV
rob
0

Pode ser qualquer processo com acesso root. Você pode escrever um pequeno script que verifique periodicamente quais arquivos estão usando o arquivo / etc / hosts:

#!/bin/bash
while true
do
  fuser /etc/hosts >> /tmp/hosts_monitoring
  sleep 0.1
done

Execute-o por alguns minutos e verifique o /tmp/hosts_monitoring. Ele informará qual ID do processo gravou no arquivo.

mtak
fonte
Desculpe, deveria ter especificado que é uma caixa de janelas
Piers Karsenbarg
0

Você precisa baixar um programa como o Process Monitor

Você pode ver o que está acessando o arquivo

Process Monitor é uma ferramenta avançada de monitoramento para Windows que mostra sistema de arquivos em tempo real, registro e atividade de processo / thread. Ele combina os recursos de dois utilitários Sysinternals herdados, Filemon e Regmon, e adiciona uma extensa lista de aprimoramentos, incluindo filtragem rica e não destrutiva, propriedades abrangentes de eventos, como IDs de sessão e nomes de usuário, informações confiáveis ​​do processo, informações de processo confiáveis, pilhas de threads completas com suporte integrado a símbolos para cada operação, registro simultâneo em um arquivo e muito mais. Seus recursos exclusivamente poderosos farão do Process Monitor um utilitário essencial no seu kit de ferramentas para solução de problemas e caça-malware do sistema.

http://technet.microsoft.com/en-gb/sysinternals/bb896645.aspx

Dave
fonte
svchost.exe é a única coisa que parece ser tocá-lo (veja a imagem)
Piers Karsenbarg