Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc
 

Hallo

Ich wünsche Euch einen schönen Tag, hoffe auf Hilfe und bin hier ganz neu.

System: XP Prof, SP3, 2 GB Speicher

Plötzlich kam mein Computer in letzter Zeit total ins Schleudern, wenn ich mehrere Programme öffnete, die Auslastung lag dann schnell bei ~ 80% und mehr.

Firefox braucht ewig, um zu starten und wenn ich z.B. ein Video im Internet anschaute, ist die Auslastung ruckzuck auf 100% gestiegen und mein Computer ohne Vorwarnung abgestürzt.

Da er schon ziemlich alt ist (für Computerfachleute wahrscheinlich Steinzeit) dachte ich halt, nun ist es soweit, er gibt allmählich seinen Geist auf.
Aber trotz Steinzeit hänge ich an dem guten Stücke und wollte deshalb zuerst doch noch mal schauen, ob ich nicht Abhilfe schaffen kann?

Bei meiner Fehlersuche habe ich auch Norton Power Eraser durchlaufen lassen.
Der hat mir etliche Dateien als „bösartig“ angezeigt, aber bis auf eine Datei waren das alles original Dateien von Orginal-Programm-CDs.

Die einzige Datei, die ich nicht kannte, hieß:
C:\windows\sytem32\drivers\etc\hosts

Habe dann im Internet nach ihr gesucht und dabei herausgefunden, dass man sie mit Textpad öffnet kann und sie offenbar auch dazu dienen kann, einzelne Internetseiten zu verbieten.

Da „hosts“ Kilometer lang war, habe ich erstmal fast alles gelöscht, was in ihr stand.
Danach schien mir der Computer wieder einen Hauch besser mit dem Öffnen von mehreren Programmen bzw. Internetseiten umgehen zu können.

Da ich ein Image habe, habe ich dann die Datei „etc“ (einschließlich aller Unterordner) gelöscht

C:\windows\sytem32\drivers\etc
Die Dateien unter „etc“ hießen:
hosts (Größe 411.976 )
hosts 2010070-175103.backup (Größe 820)
Imhost.sam (Größe 3596)
networks (Größe 524)
protocol (Größe 841)
Service (Größe 7.111)

Danach war es kein Problem mehr, z.B. ein Video zu schauen und gleichzeitig Musik laufen zu lassen und Firefox zu öffnen.
Firefox startete nun ebenfalls wieder ruckzuck.

Trotz mittlerweile einiger Neustarts wurde die Datei C:\windows\sytem32\drivers\etc auch nicht wieder hergestellt. Irgendwelche Probleme scheint ihr Fehlen nicht zu verursachen.

Zwischenzeitlich habe ich das Programm Malwarebytes durchlaufen lassen.
Dieses hat nachfolgende Dateien erkannt:

QUIZPro.exe
Ist ein Karteikastenprogramm,
siehe hxxp://www.pcfreunde.de/download/d2363/quizpro/

MSVCP60.DLL
gehört zur RezkonvSuite v0.99,
Kochbuchprogramm
siehe hxxp://blog.rezkonv.de/)

Security Center – 3x, betraf wohl die Firewall von Microsoft
Von mir wurden die automatischen Updates deaktiviert und Norton hat die MS Firewall ausgeschaltet, um seine eigene Firewall zu installieren.


Wie gesagt, ich habe ein Image und deshalb habe ich Malwarebytes die angezeigten Probleme beheben lassen.

Komischweise schnellt nun die Auslastung, wenn ich z.B. im Internet ein Video angucke, wieder sehr in die Höhe und bleibt zuerst bei mindestens 50%, nach einiger Zeit steigt sie auf 80% bis 100% Auslastung.

Meine Enkelin meinte, ich sei womöglich an Botnetz angeschlossen gewesen und sei es vielleicht jetzt wieder?
.
Herzliche Grüße von Sina
.

Das ist ein planloses/kopfloses vorgehen, denn der Ordner etc in system32/drivers ist ein Systemordner!! Wieso löscht du den so einfach? :balla:

Bitte alle Logs posten, das subjektive Schildern sagt weniger aus als ein Log. Lass das Interpretieren der Logs den Experten ;)

.
Hallo Arne

Vielen Dank für Deine Antwort.

Falls Du Dich wunderst, warum ich überhaupt suche, ob mein Computer etwas abgekriegt hat und nicht einfach das Image zurück spiele – es könnte ja sein, dass auch in meinem Image schon Schadstoffware enthalten ist. Und dann würde ich diese immer wieder am Bein haben.

Den Ordner habe ich gelöscht, weil in der WIKI stand - Zitat -

"Vor der Einführung des Domain Name Systems (DNS) wurden Rechnernamen im Internet über diese Hosts-Dateien aufgelöst. Die Verteilung und Aktualisierung dieser Dateien war allerdings ein logistisches Problem.

Deshalb werden Hosts-Dateien im Internet sowie in größeren Netzwerken heutzutage selten bis nicht mehr verwendet.

Auch Loopback-Adressen benötigen heutzutage keinen Eintrag in der Hosts-Datei.

In den nicht mehr DOS-basierenden Windows-Versionen (ab Windows NT) wird die Datei meistens nicht mehr benötigt, da deren Aufgabe bei den heute aktuellen Betriebssystem-Versionen im Normalfall der Windows-Name-Server-Dienst übernimmt.

Besonders Windows-Betriebssysteme sind häufig das Ziel von Viren, die die Hosts-Datei so modifizieren, dass Benutzer auf gefälschte Onlinedienste geleitet werden."
Zitat Ende

Ich habe mir gedacht, wo nichts ist, kann auch nichts modifiziert /umgeleitet werden. Und da ich bisher keine Probleme habe, scheint mein Computer die Datei nicht sonderlich zu vermissen.

Deshalb hatte ich auch schön überlegt, ob ich nicht \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath
ebenfalls löschen sollte?
.

Und wenn man sich auskennt wird man wissen, dass das Löschen des etc Ordners mehr Probleme hinzufügt als beseitigt.

Dir ist übrigens auch bekannt, dass bei einem kompromittierten System die hostsdatei nicht unbedingt in "%windir%\system32\drivers\etc" liegen muss? Die Registry macht es möglich! ;)

Eben deswegen. :rolleyes:
Lösch mal verzweifelt Systemverzeichnisse während du selbst keine Ahnung hast was du da überhaupt machst und aus welchem Grund.

Hallo

Ich bin nicht verzweifelt, sondern sehr neugierig.

So, nun habe ich das Images zurückgespielt.

Java, Adobe Flash Player etc. sind deshalb natürlich nicht auf dem neusten Stand.

1.
Zuerst ein kurzen Scan mit Malewarebytes (update gemacht)
Siehe Anhang

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.


2. Langer Scan mit Malewarebytes, siehe Anhang

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Dateien:
c:\programme\quizpro v4.2.0\install\QUIZPro.exe (Malware.Packer.Gen) -> No action taken.
c:\programme\rezkonvsuite v0.99\install\MSVCP60.DLL (Malware.Packer.Gen) -> No action taken.


3.
Mit SUPERAntiSpyware habe ich gleich einen ausführlichen Scan gemacht.

Habe keine Möglichkeit entdeckt, ein Protokoll abzuspeichern
Deshalb ein Bildschirmfoto

Hat, wie Malewarebytes, die Disabled Security Center Option gefunden.

Dazu noch einen Trojan Agent / Gen-Krpytik


4.
Ausführlicher Scan mit Microsoft Security Essentials.

Dabei ist der Computer abgestürzt.

Danach noch mal ein Versuch, der dann auch geklappt hat.

Hier wurden die Sachen, die die anderen Programme gefunden haben, nicht gefunden.

Dafür aber:
Elemente:
containerfile:C:\Programme\Registry System Wizard v1.8.6 Build 68 mit WinFAQ v7.8\rswsetup.exe
file:C:\Programme\Registry System Wizard v1.8.6 Build 68 mit WinFAQ v7.8\rswsetup.exe->(inno#000044)

Microsoft Security Essentials hat die Datei gleich gelöscht / bereinigt.

5.
Die Auslastung ist jetzt oft im Bereich 4%, zwischendurch saust er aber immer wieder auf 100%.

Neugierig? Und warum löscht man dann Systemverzeichnisse?
Anleitung zu SASW beachten!

Wozu brauchst du diese Registry-Tools?

Habe ich doch schon geschrieben, Wiki.


Habe SASW , wegen MS Security Essentials wieder gelöscht, kam Fehlermeldung.


Registry System Wizard, Download bei heise
Findet man die Schlüssel schneller.