Hallo

Ich wünsche Euch einen schönen Tag, hoffe auf Hilfe und bin hier ganz neu.

System: XP Prof, SP3, 2 GB Speicher

Plötzlich kam mein Computer in letzter Zeit total ins Schleudern, wenn ich mehrere Programme öffnete, die Auslastung lag dann schnell bei ~ 80% und mehr.

Firefox braucht ewig, um zu starten und wenn ich z.B. ein Video im Internet anschaute, ist die Auslastung ruckzuck auf 100% gestiegen und mein Computer ohne Vorwarnung abgestürzt.

Da er schon ziemlich alt ist (für Computerfachleute wahrscheinlich Steinzeit) dachte ich halt, nun ist es soweit, er gibt allmählich seinen Geist auf.
Aber trotz Steinzeit hänge ich an dem guten Stücke und wollte deshalb zuerst doch noch mal schauen, ob ich nicht Abhilfe schaffen kann?

Bei meiner Fehlersuche habe ich auch Norton Power Eraser durchlaufen lassen.
Der hat mir etliche Dateien als „bösartig“ angezeigt, aber bis auf eine Datei waren das alles original Dateien von Orginal-Programm-CDs.

Die einzige Datei, die ich nicht kannte, hieß:
C:\windows\sytem32\drivers\etc\hosts

Habe dann im Internet nach ihr gesucht und dabei herausgefunden, dass man sie mit Textpad öffnet kann und sie offenbar auch dazu dienen kann, einzelne Internetseiten zu verbieten.

Da „hosts“ Kilometer lang war, habe ich erstmal fast alles gelöscht, was in ihr stand.
Danach schien mir der Computer wieder einen Hauch besser mit dem Öffnen von mehreren Programmen bzw. Internetseiten umgehen zu können.

Da ich ein Image habe, habe ich dann die Datei „etc“ (einschließlich aller Unterordner) gelöscht

C:\windows\sytem32\drivers\etc
Die Dateien unter „etc“ hießen:
hosts (Größe 411.976 )
hosts 2010070-175103.backup (Größe 820)
Imhost.sam (Größe 3596)
networks (Größe 524)
protocol (Größe 841)
Service (Größe 7.111)

Danach war es kein Problem mehr, z.B. ein Video zu schauen und gleichzeitig Musik laufen zu lassen und Firefox zu öffnen.
Firefox startete nun ebenfalls wieder ruckzuck.

Trotz mittlerweile einiger Neustarts wurde die Datei C:\windows\sytem32\drivers\etc auch nicht wieder hergestellt. Irgendwelche Probleme scheint ihr Fehlen nicht zu verursachen.

Zwischenzeitlich habe ich das Programm Malwarebytes durchlaufen lassen.
Dieses hat nachfolgende Dateien erkannt:

QUIZPro.exe
Ist ein Karteikastenprogramm,
siehe hxxp://www.pcfreunde.de/download/d2363/quizpro/

MSVCP60.DLL
gehört zur RezkonvSuite v0.99,
Kochbuchprogramm
siehe hxxp://blog.rezkonv.de/)

Security Center – 3x, betraf wohl die Firewall von Microsoft
Von mir wurden die automatischen Updates deaktiviert und Norton hat die MS Firewall ausgeschaltet, um seine eigene Firewall zu installieren.


Wie gesagt, ich habe ein Image und deshalb habe ich Malwarebytes die angezeigten Probleme beheben lassen.

Komischweise schnellt nun die Auslastung, wenn ich z.B. im Internet ein Video angucke, wieder sehr in die Höhe und bleibt zuerst bei mindestens 50%, nach einiger Zeit steigt sie auf 80% bis 100% Auslastung.

Meine Enkelin meinte, ich sei womöglich an Botnetz angeschlossen gewesen und sei es vielleicht jetzt wieder?
.
Herzliche Grüße von Sina
.

Zitat:

Da ich ein Image habe, habe ich dann die Datei „etc“ (einschließlich aller Unterordner) gelöscht

Das ist ein planloses/kopfloses vorgehen, denn der Ordner etc in system32/drivers ist ein Systemordner!! Wieso löscht du den so einfach?

Zitat:

Zwischenzeitlich habe ich das Programm Malwarebytes durchlaufen lassen.
Dieses hat nachfolgende Dateien erkannt:

Bitte alle Logs posten, das subjektive Schildern sagt weniger aus als ein Log. Lass das Interpretieren der Logs den Experten

.
Hallo Arne

Vielen Dank für Deine Antwort.

Falls Du Dich wunderst, warum ich überhaupt suche, ob mein Computer etwas abgekriegt hat und nicht einfach das Image zurück spiele – es könnte ja sein, dass auch in meinem Image schon Schadstoffware enthalten ist. Und dann würde ich diese immer wieder am Bein haben.

Den Ordner habe ich gelöscht, weil in der WIKI stand - Zitat -

"Vor der Einführung des Domain Name Systems (DNS) wurden Rechnernamen im Internet über diese Hosts-Dateien aufgelöst. Die Verteilung und Aktualisierung dieser Dateien war allerdings ein logistisches Problem.

Deshalb werden Hosts-Dateien im Internet sowie in größeren Netzwerken heutzutage selten bis nicht mehr verwendet.

Auch Loopback-Adressen benötigen heutzutage keinen Eintrag in der Hosts-Datei.

In den nicht mehr DOS-basierenden Windows-Versionen (ab Windows NT) wird die Datei meistens nicht mehr benötigt, da deren Aufgabe bei den heute aktuellen Betriebssystem-Versionen im Normalfall der Windows-Name-Server-Dienst übernimmt.

Besonders Windows-Betriebssysteme sind häufig das Ziel von Viren, die die Hosts-Datei so modifizieren, dass Benutzer auf gefälschte Onlinedienste geleitet werden."
Zitat Ende

Ich habe mir gedacht, wo nichts ist, kann auch nichts modifiziert /umgeleitet werden. Und da ich bisher keine Probleme habe, scheint mein Computer die Datei nicht sonderlich zu vermissen.

Deshalb hatte ich auch schön überlegt, ob ich nicht \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath
ebenfalls löschen sollte?
.

Zitat:

Falls Du Dich wunderst, warum ich überhaupt suche, ob mein Computer etwas abgekriegt hat

Und wenn man sich auskennt wird man wissen, dass das Löschen des etc Ordners mehr Probleme hinzufügt als beseitigt.

Zitat:

Auch Loopback-Adressen benötigen heutzutage keinen Eintrag in der Hosts-Datei.

Dir ist übrigens auch bekannt, dass bei einem kompromittierten System die hostsdatei nicht unbedingt in "%windir%\system32\drivers\etc" liegen muss? Die Registry macht es möglich!

Zitat:

Deshalb hatte ich auch schön überlegt, ob ich nicht \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath
ebenfalls löschen sollte?

Eben deswegen.
Lösch mal verzweifelt Systemverzeichnisse während du selbst keine Ahnung hast was du da überhaupt machst und aus welchem Grund.

Hallo

Zitat:

Zitat von cosinus

[...] Lösch mal verzweifelt Systemverzeichnisse während du selbst keine Ahnung hast was du da überhaupt machst und aus welchem Grund.

Ich bin nicht verzweifelt, sondern sehr neugierig.

So, nun habe ich das Images zurückgespielt.

Java, Adobe Flash Player etc. sind deshalb natürlich nicht auf dem neusten Stand.

1.
Zuerst ein kurzen Scan mit Malewarebytes (update gemacht)
Siehe Anhang

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.


2. Langer Scan mit Malewarebytes, siehe Anhang

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Dateien:
c:\programme\quizpro v4.2.0\install\QUIZPro.exe (Malware.Packer.Gen) -> No action taken.
c:\programme\rezkonvsuite v0.99\install\MSVCP60.DLL (Malware.Packer.Gen) -> No action taken.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6110

20.03.2011 13:59:35
2011-03-20 Malwarebytes langer Scan

Art des Suchlaufs: Vollständiger Suchlauf 
Laufzeit: 55 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\quizpro v4.2.0\install\QUIZPro.exe (Malware.Packer.Gen) -> No action taken.
c:\programme\rezkonvsuite v0.99\install\MSVCP60.DLL (Malware.Packer.Gen) -> No action taken.
         

3.
Mit SUPERAntiSpyware habe ich gleich einen ausführlichen Scan gemacht.

Habe keine Möglichkeit entdeckt, ein Protokoll abzuspeichern
Deshalb ein Bildschirmfoto

Hat, wie Malewarebytes, die Disabled Security Center Option gefunden.

Dazu noch einen Trojan Agent / Gen-Krpytik


4.
Ausführlicher Scan mit Microsoft Security Essentials.

Dabei ist der Computer abgestürzt.

Danach noch mal ein Versuch, der dann auch geklappt hat.

Hier wurden die Sachen, die die anderen Programme gefunden haben, nicht gefunden.

Dafür aber:
Elemente:
containerfile:C:\Programme\Registry System Wizard v1.8.6 Build 68 mit WinFAQ v7.8\rswsetup.exe
file:C:\Programme\Registry System Wizard v1.8.6 Build 68 mit WinFAQ v7.8\rswsetup.exe->(inno#000044)

Microsoft Security Essentials hat die Datei gleich gelöscht / bereinigt.

Code: Alles auswählenAufklappen

ATTFilter

Microsoft Security Essentials

Kategorie: Trojaner-Benachrichtigung

Beschreibung: Dieses Programm stellt im Hintergrund eine Verbindung mit dem Internet her.

Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.

Security Essentials hat Programme erkannt, die Ihre Privatsphäre gefährden oder Ihren Computer beschädigen könnten. Sie können auf die von diesen Programmen verwendeten Dateien weiterhin zugreifen, ohne sie zu entfernen (nicht empfohlen). Wählen Sie zum Zugreifen auf diese Dateien die Aktion "Zulassen" aus, und klicken Sie dann auf "Aktionen anwenden". Wenn diese Option nicht verfügbar ist, melden Sie sich als Administrator an, oder bitten Sie den Sicherheitsadministrator um Unterstützung.

Elemente: 
containerfile:C:\Programme\Registry System Wizard v1.8.6 Build 68 mit WinFAQ v7.8\rswsetup.exe
file:C:\Programme\Registry System Wizard v1.8.6 Build 68 mit WinFAQ v7.8\rswsetup.exe->(inno#000044)
         

5.
Die Auslastung ist jetzt oft im Bereich 4%, zwischendurch saust er aber immer wieder auf 100%.

Zitat:

Ich bin nicht verzweifelt, sondern sehr neugierig.

Neugierig? Und warum löscht man dann Systemverzeichnisse?

Zitat:

Habe keine Möglichkeit entdeckt, ein Protokoll abzuspeichern
Deshalb ein Bildschirmfoto

Anleitung zu SUPERAntiSpyware beachten!

Zitat:

containerfile:C:\Programme\Registry System Wizard v1.8.6 Build 68 mit WinFAQ v7.8\rswsetup.exe
file:C:\Programme\Registry System Wizard v1.8.6 Build 68 mit WinFAQ v7.8\rswsetup.exe->(inno#000044)

Wozu brauchst du diese Registry-Tools?

Zitat:

Zitat von cosinus

Neugierig? Und warum löscht man dann Systemverzeichnisse?

Habe ich doch schon geschrieben, Wiki.

Zitat:

Zitat von cosinus

Anleitung zu SUPERAntiSpyware beachten!

Habe SASW , wegen MS Security Essentials wieder gelöscht, kam Fehlermeldung.

Zitat:

Zitat von cosinus

Wozu brauchst du diese Registry-Tools?

Registry System Wizard, Download bei heise
Findet man die Schlüssel schneller.