WinFuture-Forum.de: Jetzt ist der Computer wieder schnell - also doch Trojaner, Maleware? - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Jetzt ist der Computer wieder schnell - also doch Trojaner, Maleware? C:\windows\sytem32\drivers\etc\hosts

#1 Mitglied ist offline   Sina 

  • Gruppe: aktive Mitglieder
  • Beiträge: 609
  • Beigetreten: 15. Mai 05
  • Reputation: 3

  geschrieben 18. März 2011 - 21:22

Hallo

In letzter Zeit stürzte mein Computer immer wieder ohne Vorwarnung ab und wenn ich mehrere Programme öffne, kommt er total ins Schleudern. Bleibt hängen, schläft ein.

Da er schon ziemlich alt ist (für Computerfachleute wahrscheinlich Steinzeit) dachte ich erst, nun ist es soweit, er gibt allmählich seinen Geist auf. Da ich aber trotz Steinzeit an dem guten Stücke hänge, wollte ich zuerst doch noch mal schauen, ob ich nicht Abhilfe schaffen kann.

Bei meiner Fehlersuche habe ich auch Norton Power Eraser durchlaufen lassen.
Der hat mir etliche Dateien als „bösartig“ angezeigt, aber bis auf eine waren es alles original Dateien von Orginal-Programm-CDs.

Die einzige, die ich nicht kannte, hieß:
C:\windows\sytem32\drivers\etc\hosts


Habe dann im Internet nach ihr gesucht und dabei herausgefunden, dass man sie mit Textpad öffnet kann und sie offenbar dazu dient, einzelne Internetseiten zu verbieten.

Da sie Kilometer lang war, habe ich erstmal fast alles gelöscht.
Danach schien mir der Computer wieder einen Hauch besser mit dem Öffnen von mehreren Programmen bzw. Internetseiten umgehen zu können.

Da ich ein Image habe, habe ich dann die Datei „etc“ (einschließlich aller Unterordner) gelöscht (C:\windows\sytem32\drivers\etc\hosts)

Die Dateien unter „etc“ hießen:
hosts (Größe 411.976 )
hosts 2010070-175103.backup (Größe 820)
Imhost.sam (Größe 3596)
networks (Größe 524)
protocol (Größe 841)
Service (Größe 7.111)

Jetzt ist es kein Problem mehr, z.B. ein YouTube Video zu schauen und gleichzeitig Musik laufen zu lassen und Firefox zu öffnen. Firefox startet nun ebenfalls wieder ruckzuck.

Der Taskmanager, der zuvor ständig „100%“ Auslastung angezeigt hat, ist jetzt wieder ganz unten (CPU Auslastung um die 6%), nur wenn ich ein weiteres Programm starte, geht er für eine ½ Sekunden auf ~ 30%


Also war unter C:\windows\sytem32\drivers\etc\hosts doch ein Trojaner, Maleware?
Oder an so ein Botnetz angekoppelt?
.

Dieser Beitrag wurde von Sina bearbeitet: 18. März 2011 - 21:22

Herzliche Grüße von Sina deren Englisch leider nicht der Hit ist
0

Anzeige

#2 Mitglied ist offline   Bullayer 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.976
  • Beigetreten: 08. Februar 08
  • Reputation: 34

geschrieben 18. März 2011 - 21:25

Die hosts-Datei ist kein Trojaner.

http://de.wikipedia....iki/Hosts-Datei
Sonntags kein Support - (2. Mose 20,8-11)
0

#3 Mitglied ist offline   Taxidriver05 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.601
  • Beigetreten: 14. Mai 09
  • Reputation: 43

geschrieben 18. März 2011 - 21:32

Ich denke, hier hat wer deine host-Datei manipuliert und deinen Rechner zum Teil eines Botnetzes gemacht.

Du solltest natürlüch nochmal genau checken, ob wirklich alles runter ist...
Dieses Programm könnte Dir dabei behilflich sein...
Gegebenenfalls auch mal HijackThis drüberlaufen lassen und den Inhalt der Logfile hier posten...
Aber bitte dann den CODEBOX-Tag dafür nutzen... ;)
Click Banner for "WinFuture.de RELOADED 2kX" Userstyles!
Styles ab sofort mit neuem Foren-Design!
Eingefügtes Bild
"Himmlische Ruhe und tödliche Stille haben dieselbe Phonzahl."
My Music
badania.de

0

#4 Mitglied ist offline   Mr. Floppy 

  • Gruppe: VIP Mitglieder
  • Beiträge: 4.115
  • Beigetreten: 01. Juli 08
  • Reputation: 271

geschrieben 18. März 2011 - 21:47

Hast Du zufällig mal den Rechner mit Spybot - Search & Destroy immunisiert? Das Tool fügt nämlich bekannte, schädliche Seiten zur hosts Datei hinzu, so daß man diese nicht mehr ansurfen kann (Stichwort: Blacklist). Das kann einen alten Rechner schon ausbremsen, weil jedes mal die Liste durchgegangen werden muß, wenn Du eine Seite aufrufst. Ob wirklich ein Schadprogramm gewütet hat, kann man daran sehen, wohin die Adressen umgeleitet werden. Wenn es nicht 127.0.0.1, also der eigene Rechner, ist, sollte man skeptisch werden.

Dieser Beitrag wurde von Mr. Floppy bearbeitet: 18. März 2011 - 21:49

0

#5 Mitglied ist offline   Sina 

  • Gruppe: aktive Mitglieder
  • Beiträge: 609
  • Beigetreten: 15. Mai 05
  • Reputation: 3

geschrieben 18. März 2011 - 21:57

Danke für Eure schnellen Antworten.

Ja, habe mit Spybot - Search & Destroy immunisiert.

Leider habe ich ja die die "hosts" gelöscht, kann also nicht mehr nachgucken.

Wenn man die "hosts" mit Textpad öffnet, kann man dann die Umleitung sehen?
Wenn ja, dann könnte ich die Datei ja aus meinem Image wieder herstellen

Herzliche Grüße von Sina deren Englisch leider nicht der Hit ist
0

#6 Mitglied ist offline   Taxidriver05 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.601
  • Beigetreten: 14. Mai 09
  • Reputation: 43

geschrieben 18. März 2011 - 21:59

Die Datei dürfte neu angelegt werde...

Im Übrigen sollte man die Datei nicht löschen, sondern ggf. nur ändern.
Interessant wäre es, zu wissen, was drin stand...
Click Banner for "WinFuture.de RELOADED 2kX" Userstyles!
Styles ab sofort mit neuem Foren-Design!
Eingefügtes Bild
"Himmlische Ruhe und tödliche Stille haben dieselbe Phonzahl."
My Music
badania.de

0

#7 Mitglied ist offline   Sina 

  • Gruppe: aktive Mitglieder
  • Beiträge: 609
  • Beigetreten: 15. Mai 05
  • Reputation: 3

geschrieben 18. März 2011 - 23:22

.
Nein, die Datei wurde trotz Neustart nicht neu angelegt.

Ich versuche gerade herauszufinden, für was die anderern Dateien gut (?) sind,
die auch unter "etc" lagen.

hosts 2010070-175103.backup (Größe 820)
Imhost.sam (Größe 3596)
networks (Größe 524)
protocol (Größe 841)
Service (Größe 7.111)


Habe aber bisher nichts gefunden.

EDIT:

Ich habe in der WIKI bezüglich der hots Datei noch diesen Satz gefunden:

"In den nicht mehr DOS-basierenden Windows-Versionen (ab Windows NT) wird die Datei meistens nicht mehr benötigt, da deren Aufgabe bei den heute aktuellen Betriebssystem-Versionen im Normalfall der Windows-Name-Server-Dienst übernimmt."




.

Dieser Beitrag wurde von Sina bearbeitet: 18. März 2011 - 23:26

Herzliche Grüße von Sina deren Englisch leider nicht der Hit ist
0

#8 Mitglied ist offline   Kirill 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.587
  • Beigetreten: 04. Dezember 06
  • Reputation: 121

geschrieben 12. April 2011 - 09:15

Nimm die Backupdatei von Hosts, schau mit Notepad nach, was drin ist und stell se ggf. einfach wieder her.

PS: Uns brauchst du nicht zu erzählen, was die Hosts-Datei ist :(
Most rethrashing{
DiskCache=AllocateMemory(GetTotalAmountOfAvailableMemory);}
0

#9 Mitglied ist offline   raserudi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 94
  • Beigetreten: 22. Juli 05
  • Reputation: 0

geschrieben 12. April 2011 - 09:22

Trotzdem Vorsicht! Es gab vor ein paar Jahren mal einen Virus der die host verändert hat. Mir fällt nur nicht mehr der Name ein.
0

#10 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 12.716
  • Beigetreten: 08. April 06
  • Reputation: 399

geschrieben 12. April 2011 - 19:18

anbei mal das org.

Angehängte Datei  hosts.7z (582bytes)
Anzahl der Downloads: 82

Enthalten ist eigendlich immer folgendes:

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#	  102.54.94.97	 rhino.acme.com		  # source server
#	   38.25.63.10	 x.acme.com			  # x client host

# localhost name resolution is handled within DNS itself.
#	127.0.0.1	   localhost
#	::1			 localhost

Eingefügtes Bild
0

#11 Mitglied ist offline   Kirill 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.587
  • Beigetreten: 04. Dezember 06
  • Reputation: 121

geschrieben 12. April 2011 - 19:21

Mist, ist das ein blöder Post. Hab erst nach dem Posten gecheckt, dass das das Beispiel ist und nicht das, was der Hilfesuchende noch wo gefunden hat.

Dieser Beitrag wurde von Kirill bearbeitet: 12. April 2011 - 19:22

Most rethrashing{
DiskCache=AllocateMemory(GetTotalAmountOfAvailableMemory);}
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0