Fehlt meine host-Datei? Und Popup-Problem

#0
09.08.2006, 22:42
Member
Avatar scotland

Beiträge: 44
#1 Hallo,

Ich habe mehr oder weniger ein großes Problem..

Sobald eine Internetverbindung besteht poppen die ganze Zeit Internetfenster auf.. mit irgendwelchen Securityseiten, Werbung usw.

Auch, wenn ich kein Internet-Explorer offen hab.


Ich habe Hijackthis, Adaware, Spybot S&D und eScan laufen lassen..
eScan hat über 4000 Dateien mit einem "P2P-Wurm" gefunden und entfernt.
Adaware und die anderen Porgramme haben ebenfalls Malware und sonstiges gefunden und gelöscht.


Diese Popups kommen aber leider immer noch.

Ich habe nun mal in meine host-Datei geschaut und bemerkt dass dort garkeine ist !?

Ich weiß nicht ob das normal ist oder nicht... normal dürfte das doch nicht so sein, oder?


Hier mal ein Screenshot:






Wenn ich die "hosts." mit dem Editor öffne steht garnichts drin.



Noch ein paar Infos zu meinem Betriebssystem:

Windows XP
Home Edition
Version 2002
Service Pack 2


Ich hoffe mir kann jemand helfen ..

Haben die Popups vielleicht was mit der hosts-Datei zu tun?


Greetz,

Scotland & vielen Dank im Voraus !
__________
# In Schottland ist die Welt noch in Ordnung #
Seitenanfang Seitenende
10.08.2006, 10:52
...neu hier
Avatar Nanomatic

Beiträge: 7
#2 Hallo,

also mit der HOST Datei (lmhost.sam) dürfte das nicht unbedingt zu tun haben.

Du sagst, es sei ein P2P Wurm, welcher denn genau?

Sollte es sich um WORM_SPYBOT.GEN handeln, dann versuchs mal mit diesen Infos:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SPYBOT.GEN&VSect=T

Ich gehe davon aus, dass Du noch Registry Einträge (trotz Löschen mit HijackThis) hast von der Zecke...
__________
Nanomatic : Meine Infosammlung
http://nanolinks.de
Seitenanfang Seitenende
10.08.2006, 11:01
Member
Avatar TurnRstereO

Beiträge: 1543
#3 Hello,

"böse" Programme haben eher das Bedürfnis die hosts-Datei zu modifizieren denn sie zu leeren.
Möglicherweise hat aber auch eine Bereinigungsaktion dafür gesorgt, dass sie nun leer ist.
Auf jeden Fall würde ich sie mit nem Editor wieder mit Leben füllen.
Habe hier letztens nen XP-Home aufgesetzt und der Standardinhalt der HOSTS sah so aus:

Zitat

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Schadet auf keinen Fall, wenn Du das wieder so übernimmst.

TS
Seitenanfang Seitenende
10.08.2006, 12:46
Member

Themenstarter
Avatar scotland

Beiträge: 44
#4 Hi,
also der P2P Wurm war dieser:

P2P-Worm.Win32.VB.dw

siehe Screenshot: --> http://www.directupload.net/show/d/775/yzX33Jwz.jpg

Nunja so sah die Liste aus.. bis über 4000 Dateien dann am Ende vom Scan.


In einer Wurm-Beschreibung steht:


Folgende Dateien werden überschrieben.
– %SYSDIR%\netstat.exe
– %SYSDIR%\ping.exe
– %SYSDIR%\tracert.exe
– %SYSDIR%\tasklist.exe
– %SYSDIR%\taskkill.exe
– %SYSDIR%\regedit.exe
– %SYSDIR%\cmd.exe


Das Problem ist, wenn ich in die Regedit reinwill, öffnet sich nur ein schwarzes
"DOS"-Fensterchen ..sonst nix.. genauso wie bei "regedit32"...

Was kann ich tun?Da scheint ja noch einiges "kaputt" zu sein ;)


TurnRstereO, danke, werde meine Hosts-Datei damit wieder auffüllen ;)
__________
# In Schottland ist die Welt noch in Ordnung #
Seitenanfang Seitenende
10.08.2006, 13:09
...neu hier
Avatar Nanomatic

Beiträge: 7
#5

Zitat

scotland postete

Das Problem ist, wenn ich in die Regedit reinwill, öffnet sich nur ein schwarzes
"DOS"-Fensterchen ..sonst nix.. genauso wie bei "regedit32"...
Hmmm. Hast Du "regedit" direkt in "ausführen" eingegeben, oder erst "cmd"? Normalerweise sollte Regedit sich sofort öffnen wenn Du es im "ausführen" eingibst.

Wenn Du WinXP verwendest, dann spielt es keine Rolle ob Du Regedit32 oder Regedit nimmst, da beide auf die selbe Datei zugreifen soweit ich weiss und nur aus Kompatibilitätsgründen in XP sind.

Leider bin ich da mit meinem Latein etwas am Ende und würde sehr wahrscheinlich zunächst schauen, ob die .exe Dateien beschädigt sind und dann evt. sehen dass ich die original .exe Dateien aus der frischen Xp Installation wieder in mein aktives System bekomme.

Aber ich hoffe Dir kann hier noch Jemand anderes besser helfen!

Viel Erfolg & Glück!
__________
Nanomatic : Meine Infosammlung
http://nanolinks.de
Seitenanfang Seitenende
10.08.2006, 14:32
Member

Beiträge: 3306
#6 Stell sicher das der PC garantiert virenfrei ist, mit einem Scanner von CD oder im abgesicherten Modus (besser: mehrere Scanner), bevor du weiter machst.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
10.08.2006, 14:57
Member

Themenstarter
Avatar scotland

Beiträge: 44
#7 Hi,

Jap ich habe das bei "Ausführen" eingetippt...

Ich habe es gerade nochmal probiert.. aber es geht immer noch nicht..

Ich habe mal einige Screenshots gemacht, vielleicht weiß ja jemand woran das liegt..

regedit:




cmd:




Regedit32:





@asdrubael: Wie mache ich das denn?
Ist das ein bestimmter Scanner den ich mir loaden muss und auf CD ziehen muss?
__________
# In Schottland ist die Welt noch in Ordnung #
Seitenanfang Seitenende
10.08.2006, 16:20
Member

Beiträge: 462
#8 Hi Scotland,

ich glaube auch, dass da noch einige Hinterlassenschaften des ungebetenen Gastes auf deinem Rechner sind. Du kannst zwar mit Hilfe der Spezialisten hier im Viren, Trojaner & Malware-Forum - nicht nur, aber besonders Sabina leistet da Einzigartiges und klemmt sich hinter jeden Übeltäter - versuchen, den Rechner "sauber" und wieder zum laufen zu bekommen.
Nur, bei solch einer offensichtlich massiven Infektion würde ich mir an deiner Stelle dann überlegen, ob es nicht doch sicherer und sinnvoller ist, deine wichtigen Dateien auf einem externen Medium zu sichern und dann Windows komplett neu zu installieren (inklusive Formatierung der Festplatte, also keine Reparatur-Installation). Denn, auch falls du das mit regedit, cmd und der Hosts-Datei wieder geregelt bekommst; du kannst so nicht davon ausgehen, dass dein Rechner 100%ig sauber ist.
Lies dazu einfachmal das hier: http://board.protecus.de/t13020.htm.

Gruß
RollaCoasta
__________
U can get it if u really want! (J.Cliff)
Dieser Beitrag wurde am 10.08.2006 um 16:26 Uhr von RollaCoasta editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: