Registry Eintrag für die hosts Datei wird abgeklemmt und andere Probleme.

#1 Irgendwas oder irgendwer will ständig den Registry Eintrag für die hosts Datei abklemmen. Das wird von meinem Registry Überwacher (Regrun) zwar zuverlässig verhindert, aber es nervt.
Das geschieht seit ich eine größere Daten DVD (halt eine Komplettdatensicherung) gebrannt habe. Von der Brennerei habe ich nicht so viel Ahnung, deshalb hier meine Beobachtungen. Vielleicht kann sich da jemand zu äußern. Ich will ja nicht hoffen, daß da sich ein Virus bei mir breitgemacht hat:
Ich habe nun eine Datensicherung auf DVD gemacht. Dafür habe ich das Brennprogramm CDBurner XP verwendet, weil mir Nero zu komplex erschien. So viel Erfahrung mit Brennprogrammen habe ich nicht, weil wir die Datensicherung sonst immer reihrum auf den Desktop Rechnern machen. Der Backup Rechner, den ich dafür normalerweise verwende, hat jetzt aber seinen Geist aufgegeben (auch schon älteres Modell).
Dieses Brennprogramm ist mir unangenehm aufgefallen, weil es alle offenen Dateien (also alle Dateien, dir irgendwie in Benutzung waren: z.B. Email Datendatei) nicht mitbrannte. Das sind ja nun die, die man bei einer Datensicherung gerne gesichert hätte. Es dauert auch sehr lange (ca. 70 Minuten für ca, 3,8 GB) die sogennnte Kompilation zusammenzustellen. Das eigentlich Brennen geht dann relativ schnell (knapp 20 Minuten). Außerdem habe ich den Eindruck, daß er alle zu brennenden Dateien – in welcher Form auch immer – in den Speicher lädt und daß auf diese Weise der Virus aktiv werden konnte. Ziemlich genau an Abschluß des Brennvorgangs begannen die eingangs geschilderten Probleme und noch folgendes:diverse Services u.a. die die für die USB Sticks zuständig waren, wurden abgeschaltet. Außerdem habe ich keine Email Funktionalität. Der entsprechende Port (110?) muß blockiert sein. Weder mein Antispam Programm noch der Mailclient, schaffen es noch Mails abzufragen. Ich habe auch überprüft ob die Firewall (Agnitum Outpost) schuld ist. Nein, die ist definitiv unschuldig.
Nachtrag: Das mit der Mailabfrage habe ich hinbekommen, weiß aber noch nicht wie. Letztlich habe ich diverse Services an- und abgeschaltet. Das habe ich bei mir dokumentiert; muß also noch herausfinden woran es denn lag. Nur das eingangs formulierte Problem ist noch da.
Vielleicht kann sich da jemand zu äußern. Ich will ja nicht hoffen, daß da sich ein Virus bei mir breitgemacht hat.
Vielen Dank
Liborius
__________
"Ich habe ein einfaches Rezept, um fit zu bleiben - Ich laufe jeden Tag Amok"
(Hildegard Knef)

#2 Was sagt denn RegRun, wer ( =welches Prog) an die Hosts-Datei ran will?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#3 Da sagt er nichts. Eigentlich ist dafür ja Agnitum zuständig, der grundsätzlich die Kontrolle über alle Programme ausübt. Es gibt da die Punkte Prozessspeicher, versteckte Prozesse und Komponenten. Nun unser Bösewicht will offenbar nicht nach draußen (oder noch nicht) und da kommt dann vielleicht auch nichts von der eigentlich nicht zuständigen Firewall. Der blinde Etraust von CA sieht überhaupt nichts. Den habe ich bei der Gelegenheit rausgeschmissen.


Liborius
__________
"Ich habe ein einfaches Rezept, um fit zu bleiben - Ich laufe jeden Tag Amok"
(Hildegard Knef)

#4 Dann müssen wir halt mal versuchen, der Sache auf den Grund zu gehen!

HijackThis 1.99.1
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Entpacke das Programm in einem eigenen Ordner.
Starte das Programm mit der HijackThis.exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#5 Hallo,
ie hosts Datei ist ok. Es ist wohl so, daß diese Datei in der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters verzeichnet ist und meine Überwachungsprogramm (Regrun) hat ja die Aufgabe, unautorisierte Änderungen an der Registry umgehend zu melden. Da hat es eigentlich so gut wie nie etwas zu melden. Deshalb ist es grundsätzlich auf 3 Minuten eingestellt. Derzeit habe ich es auf 15 Minuten umgestellt, weil es jetzt generell – immer wieder - meldet, daß der Verweis auf die hosts Datei in der Registry gelöscht worden sei. Regrun ist vom Hersteller offensichtlich so eingestellt worden, daß es mit dieser Löschung nicht einverstanden ist, macht die Löschung des Verweises rückgängig und meldet dies auch so. Dann habe ich noch die Möglichkeit diese – ja auftragskonforme – Verfahrensweise zu akzeptieren oder rückgängig zu machen. Letzteres wäre natürlich ein Spiel mit dem Teufel aber dann hätte ich Ruhe mit den Meldungen. Wer weiß was dann passiert... Denkbar wäre, daß da eine Malware irgend etwas Eigenes in die hosts Datei reinschreibt und dann seinerseits die Löschung des Verweises wieder rückgängig macht. Das würde man in einer Standardwindowskonfiguration ja gar nicht merken – bis dann andere Bösartigkeiten auftauchen. Wenn dem so wäre, wäre diese Malware jetzt in einer Endlosschleife gefangen.

Bis dann
Liborius
__________
"Ich habe ein einfaches Rezept, um fit zu bleiben - Ich laufe jeden Tag Amok"
(Hildegard Knef)

#6 Der Stand der Dinge

Also – wie versprochen – habe ich Spybot Search & Destroy 1.4 laufen lassen. Hat nichts gefunden. Kapersky läuft inzwischen auch. Das kränklich blässliche Icon ergab sich dadurch, daß ein (sein) Dienst nicht gestartet war. Das ist jetzt geschehen.
Und er läuft schneller un mit weniger Systembelastung als Antivir!
Kapersky hat auch nichts gefunden.
Möglicherweise muß ich mich hier für unnötige Alarmmeldungen (bzw. deren Bearbeitung) entschuldigen.
Was immer noch ist, ist daß hier irgendwas etwas mit der hosts Datei anfangen will. Aber man kann sich ja an alles gewöhnen.
Auf jeden Fall wäre (nach dem jetzigen Stand der Dinge) ein Neuaufsetzen des W XP Overkill gewesen.
Liborius
__________
"Ich habe ein einfaches Rezept, um fit zu bleiben - Ich laufe jeden Tag Amok"
(Hildegard Knef)