Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.03.2011, 11:43   #1
SinaSina
 
Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc - Icon17

Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc



Hallo

Ich wünsche Euch einen schönen Tag, hoffe auf Hilfe und bin hier ganz neu.

System: XP Prof, SP3, 2 GB Speicher

Plötzlich kam mein Computer in letzter Zeit total ins Schleudern, wenn ich mehrere Programme öffnete, die Auslastung lag dann schnell bei ~ 80% und mehr.

Firefox braucht ewig, um zu starten und wenn ich z.B. ein Video im Internet anschaute, ist die Auslastung ruckzuck auf 100% gestiegen und mein Computer ohne Vorwarnung abgestürzt.

Da er schon ziemlich alt ist (für Computerfachleute wahrscheinlich Steinzeit) dachte ich halt, nun ist es soweit, er gibt allmählich seinen Geist auf.
Aber trotz Steinzeit hänge ich an dem guten Stücke und wollte deshalb zuerst doch noch mal schauen, ob ich nicht Abhilfe schaffen kann?

Bei meiner Fehlersuche habe ich auch Norton Power Eraser durchlaufen lassen.
Der hat mir etliche Dateien als „bösartig“ angezeigt, aber bis auf eine Datei waren das alles original Dateien von Orginal-Programm-CDs.

Die einzige Datei, die ich nicht kannte, hieß:
C:\windows\sytem32\drivers\etc\hosts

Habe dann im Internet nach ihr gesucht und dabei herausgefunden, dass man sie mit Textpad öffnet kann und sie offenbar auch dazu dienen kann, einzelne Internetseiten zu verbieten.

Da „hosts“ Kilometer lang war, habe ich erstmal fast alles gelöscht, was in ihr stand.
Danach schien mir der Computer wieder einen Hauch besser mit dem Öffnen von mehreren Programmen bzw. Internetseiten umgehen zu können.

Da ich ein Image habe, habe ich dann die Datei „etc“ (einschließlich aller Unterordner) gelöscht

C:\windows\sytem32\drivers\etc
Die Dateien unter „etc“ hießen:
hosts (Größe 411.976 )
hosts 2010070-175103.backup (Größe 820)
Imhost.sam (Größe 3596)
networks (Größe 524)
protocol (Größe 841)
Service (Größe 7.111)

Danach war es kein Problem mehr, z.B. ein Video zu schauen und gleichzeitig Musik laufen zu lassen und Firefox zu öffnen.
Firefox startete nun ebenfalls wieder ruckzuck.

Trotz mittlerweile einiger Neustarts wurde die Datei C:\windows\sytem32\drivers\etc auch nicht wieder hergestellt. Irgendwelche Probleme scheint ihr Fehlen nicht zu verursachen.

Zwischenzeitlich habe ich das Programm Malwarebytes durchlaufen lassen.
Dieses hat nachfolgende Dateien erkannt:

QUIZPro.exe
Ist ein Karteikastenprogramm,
siehe hxxp://www.pcfreunde.de/download/d2363/quizpro/

MSVCP60.DLL
gehört zur RezkonvSuite v0.99,
Kochbuchprogramm
siehe hxxp://blog.rezkonv.de/)

Security Center – 3x, betraf wohl die Firewall von Microsoft
Von mir wurden die automatischen Updates deaktiviert und Norton hat die MS Firewall ausgeschaltet, um seine eigene Firewall zu installieren.


Wie gesagt, ich habe ein Image und deshalb habe ich Malwarebytes die angezeigten Probleme beheben lassen.

Komischweise schnellt nun die Auslastung, wenn ich z.B. im Internet ein Video angucke, wieder sehr in die Höhe und bleibt zuerst bei mindestens 50%, nach einiger Zeit steigt sie auf 80% bis 100% Auslastung.

Meine Enkelin meinte, ich sei womöglich an Botnetz angeschlossen gewesen und sei es vielleicht jetzt wieder?
.
Herzliche Grüße von Sina
.

Alt 19.03.2011, 14:00   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc - Standard

Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc



Zitat:
Da ich ein Image habe, habe ich dann die Datei „etc“ (einschließlich aller Unterordner) gelöscht
Das ist ein planloses/kopfloses vorgehen, denn der Ordner etc in system32/drivers ist ein Systemordner!! Wieso löscht du den so einfach?

Zitat:
Zwischenzeitlich habe ich das Programm Malwarebytes durchlaufen lassen.
Dieses hat nachfolgende Dateien erkannt:
Bitte alle Logs posten, das subjektive Schildern sagt weniger aus als ein Log. Lass das Interpretieren der Logs den Experten
__________________

__________________

Alt 19.03.2011, 17:43   #3
SinaSina
 
Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc - Standard

Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc



.
Hallo Arne

Vielen Dank für Deine Antwort.

Falls Du Dich wunderst, warum ich überhaupt suche, ob mein Computer etwas abgekriegt hat und nicht einfach das Image zurück spiele – es könnte ja sein, dass auch in meinem Image schon Schadstoffware enthalten ist. Und dann würde ich diese immer wieder am Bein haben.

Den Ordner habe ich gelöscht, weil in der WIKI stand - Zitat -

"Vor der Einführung des Domain Name Systems (DNS) wurden Rechnernamen im Internet über diese Hosts-Dateien aufgelöst. Die Verteilung und Aktualisierung dieser Dateien war allerdings ein logistisches Problem.

Deshalb werden Hosts-Dateien im Internet sowie in größeren Netzwerken heutzutage selten bis nicht mehr verwendet.

Auch Loopback-Adressen benötigen heutzutage keinen Eintrag in der Hosts-Datei.

In den nicht mehr DOS-basierenden Windows-Versionen (ab Windows NT) wird die Datei meistens nicht mehr benötigt, da deren Aufgabe bei den heute aktuellen Betriebssystem-Versionen im Normalfall der Windows-Name-Server-Dienst übernimmt.

Besonders Windows-Betriebssysteme sind häufig das Ziel von Viren, die die Hosts-Datei so modifizieren, dass Benutzer auf gefälschte Onlinedienste geleitet werden."
Zitat Ende

Ich habe mir gedacht, wo nichts ist, kann auch nichts modifiziert /umgeleitet werden. Und da ich bisher keine Probleme habe, scheint mein Computer die Datei nicht sonderlich zu vermissen.

Deshalb hatte ich auch schön überlegt, ob ich nicht \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath
ebenfalls löschen sollte?
.
__________________

Alt 19.03.2011, 20:52   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc - Standard

Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc



Zitat:
Falls Du Dich wunderst, warum ich überhaupt suche, ob mein Computer etwas abgekriegt hat
Und wenn man sich auskennt wird man wissen, dass das Löschen des etc Ordners mehr Probleme hinzufügt als beseitigt.

Zitat:
Auch Loopback-Adressen benötigen heutzutage keinen Eintrag in der Hosts-Datei.
Dir ist übrigens auch bekannt, dass bei einem kompromittierten System die hostsdatei nicht unbedingt in "%windir%\system32\drivers\etc" liegen muss? Die Registry macht es möglich!

Zitat:
Deshalb hatte ich auch schön überlegt, ob ich nicht \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath
ebenfalls löschen sollte?
Eben deswegen.
Lösch mal verzweifelt Systemverzeichnisse während du selbst keine Ahnung hast was du da überhaupt machst und aus welchem Grund.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.03.2011, 23:19   #5
SinaSina
 
Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc - Standard

Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc



Hallo

Zitat:
Zitat von cosinus Beitrag anzeigen
[...] Lösch mal verzweifelt Systemverzeichnisse während du selbst keine Ahnung hast was du da überhaupt machst und aus welchem Grund.
Ich bin nicht verzweifelt, sondern sehr neugierig.

So, nun habe ich das Images zurückgespielt.

Java, Adobe Flash Player etc. sind deshalb natürlich nicht auf dem neusten Stand.

1.
Zuerst ein kurzen Scan mit Malewarebytes (update gemacht)
Siehe Anhang

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.


2. Langer Scan mit Malewarebytes, siehe Anhang

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Dateien:
c:\programme\quizpro v4.2.0\install\QUIZPro.exe (Malware.Packer.Gen) -> No action taken.
c:\programme\rezkonvsuite v0.99\install\MSVCP60.DLL (Malware.Packer.Gen) -> No action taken.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6110

20.03.2011 13:59:35
2011-03-20 Malwarebytes langer Scan

Art des Suchlaufs: Vollständiger Suchlauf 
Laufzeit: 55 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\quizpro v4.2.0\install\QUIZPro.exe (Malware.Packer.Gen) -> No action taken.
c:\programme\rezkonvsuite v0.99\install\MSVCP60.DLL (Malware.Packer.Gen) -> No action taken.
         

3.
Mit SUPERAntiSpyware habe ich gleich einen ausführlichen Scan gemacht.

Habe keine Möglichkeit entdeckt, ein Protokoll abzuspeichern
Deshalb ein Bildschirmfoto

Hat, wie Malewarebytes, die Disabled Security Center Option gefunden.

Dazu noch einen Trojan Agent / Gen-Krpytik


4.
Ausführlicher Scan mit Microsoft Security Essentials.

Dabei ist der Computer abgestürzt.

Danach noch mal ein Versuch, der dann auch geklappt hat.

Hier wurden die Sachen, die die anderen Programme gefunden haben, nicht gefunden.

Dafür aber:
Elemente:
containerfile:C:\Programme\Registry System Wizard v1.8.6 Build 68 mit WinFAQ v7.8\rswsetup.exe
file:C:\Programme\Registry System Wizard v1.8.6 Build 68 mit WinFAQ v7.8\rswsetup.exe->(inno#000044)

Microsoft Security Essentials hat die Datei gleich gelöscht / bereinigt.

Code:
ATTFilter
Microsoft Security Essentials

Kategorie: Trojaner-Benachrichtigung

Beschreibung: Dieses Programm stellt im Hintergrund eine Verbindung mit dem Internet her.

Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.

Security Essentials hat Programme erkannt, die Ihre Privatsphäre gefährden oder Ihren Computer beschädigen könnten. Sie können auf die von diesen Programmen verwendeten Dateien weiterhin zugreifen, ohne sie zu entfernen (nicht empfohlen). Wählen Sie zum Zugreifen auf diese Dateien die Aktion "Zulassen" aus, und klicken Sie dann auf "Aktionen anwenden". Wenn diese Option nicht verfügbar ist, melden Sie sich als Administrator an, oder bitten Sie den Sicherheitsadministrator um Unterstützung.

Elemente: 
containerfile:C:\Programme\Registry System Wizard v1.8.6 Build 68 mit WinFAQ v7.8\rswsetup.exe
file:C:\Programme\Registry System Wizard v1.8.6 Build 68 mit WinFAQ v7.8\rswsetup.exe->(inno#000044)
         
5.
Die Auslastung ist jetzt oft im Bereich 4%, zwischendurch saust er aber immer wieder auf 100%.

Miniaturansicht angehängter Grafiken
-2011-03-20-malewarebytes-langer-scan.jpg   -2011-03-20-superantispyware_1.jpg  

Alt 21.03.2011, 10:17   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc - Standard

Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc



Zitat:
Ich bin nicht verzweifelt, sondern sehr neugierig.
Neugierig? Und warum löscht man dann Systemverzeichnisse?
Zitat:
Habe keine Möglichkeit entdeckt, ein Protokoll abzuspeichern
Deshalb ein Bildschirmfoto
Anleitung zu SUPERAntiSpyware beachten!

Zitat:
containerfile:C:\Programme\Registry System Wizard v1.8.6 Build 68 mit WinFAQ v7.8\rswsetup.exe
file:C:\Programme\Registry System Wizard v1.8.6 Build 68 mit WinFAQ v7.8\rswsetup.exe->(inno#000044)
Wozu brauchst du diese Registry-Tools?
__________________
--> Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc

Alt 21.03.2011, 12:09   #7
SinaSina
 
Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc - Standard

Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc



Zitat:
Zitat von cosinus Beitrag anzeigen
Neugierig? Und warum löscht man dann Systemverzeichnisse?
Habe ich doch schon geschrieben, Wiki.


Zitat:
Zitat von cosinus Beitrag anzeigen
Anleitung zu SUPERAntiSpyware beachten!
Habe SASW , wegen MS Security Essentials wieder gelöscht, kam Fehlermeldung.


Zitat:
Zitat von cosinus Beitrag anzeigen
Wozu brauchst du diese Registry-Tools?
Registry System Wizard, Download bei heise
Findet man die Schlüssel schneller.

Antwort

Themen zu Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc
.dll, 100%, auslastung, automatische, bot, center, computer, dateien, eraser, firewall, firewall ausgeschaltet, gelöscht, image, internet, internetseite, malwarebytes, musik, norton power eraser, problem, probleme, programme, seite, seiten, sp3, starten, updates, windows




Ähnliche Themen: Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc


  1. C:\end wurde von spybot erkannt
    Log-Analyse und Auswertung - 07.01.2014 (23)
  2. Windows 7: IE öffnet sich mehrmals ungefragt (Delta Search -> bösartig)
    Log-Analyse und Auswertung - 29.08.2013 (7)
  3. trojan.fake.ms wurde von malwarebytes erkannt auf einen xp rechner
    Plagegeister aller Art und deren Bekämpfung - 16.08.2013 (11)
  4. Virus wurde erkannt: ADWARE/Yontoo.E.1
    Log-Analyse und Auswertung - 12.02.2013 (4)
  5. C:\Windows\System32\Drivers\spxi.sys
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (2)
  6. iaStorV.sys wird von Norton Power Eraser als bösartig erkannt
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (3)
  7. USB Gerät wurde nicht erkannt - Brauche Lösung!
    Netzwerk und Hardware - 14.05.2011 (1)
  8. USB-Gerät wurde nicht erkannt
    Plagegeister aller Art und deren Bekämpfung - 06.05.2011 (3)
  9. Datei C:\Windows\System32\drivers\mhpccj.sys
    Plagegeister aller Art und deren Bekämpfung - 28.05.2010 (19)
  10. Troyaner in sytem32 erkannt...
    Plagegeister aller Art und deren Bekämpfung - 26.12.2009 (1)
  11. SATA Festplatte wurde nicht erkannt.
    Netzwerk und Hardware - 13.01.2009 (25)
  12. TR/Crypt.XPACK.Gen wurde von AntiVir erkannt - HILFE!
    Plagegeister aller Art und deren Bekämpfung - 05.11.2008 (1)
  13. USB Gerät wurde nicht erkannt
    Netzwerk und Hardware - 21.04.2007 (2)
  14. wkssvr.exe - bösartig?
    Plagegeister aller Art und deren Bekämpfung - 31.08.2006 (2)
  15. dll C:\windows\sytem32\olepro32.dll
    Plagegeister aller Art und deren Bekämpfung - 22.11.2005 (2)
  16. ebfgq.exe Bösartig ??
    Plagegeister aller Art und deren Bekämpfung - 12.02.2005 (1)
  17. Trojaner TR/Dldr.IstBar.A wurde von Antivir in Opera als OPR000NK.JS erkannt
    Log-Analyse und Auswertung - 08.01.2005 (1)

Zum Thema Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc - Hallo Ich wünsche Euch einen schönen Tag, hoffe auf Hilfe und bin hier ganz neu. System: XP Prof, SP3, 2 GB Speicher Plötzlich kam mein Computer in letzter Zeit total - Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc...
Archiv
Du betrachtest: Wurde als bösartig erkannt C:\windows\sytem32\drivers\etc auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.