Hosts verseucht

[alicio]

Hallo
da ein Haufen Websites nicht mehr funktionieren, wie google oder yahoo, hab ich zuerst Antivir laufen lassen, nix gefunden.
Dann Spybot und Adawar und alles gefixt was da gefunden wurde.
Nix gebracht.
Dann Hijackthis und Logfile auswerten lassen, und dort hab ich dann gesehen das die ganzen Websites im Hosts Datei gesperrt/umgelenkt werden und zwar zu einer bestimmten IP die aber nicht erreichbar ist. Also ist dat ein alter Virus, ansonsten macht es ja kein Sinn das die Ip zu nix führt.
Hab versucht die einträge mit Hijackthis zufixen, geht nicht.
Dann geh ich in den Hosts Ordner und sehe eine Datei host.msn die täuschen soll das es die original Hosts ist. Ist es aber nicht.
Die original Hosts ist versteckt als Systemdatei und schreibgeschützt.
Der Schreibschutz lässt sich nicht wegmachen, es kommt Fehlermeldung.
Die Datei lässt sich auch nicht löschen.
Es muss also der Virus noch im Hintergrund laufen der das verursacht.
Kennt jemand diesen Virus und weiß wie ich das Problem ohne Format lösen kann?
danke

 

[Browny-te quila]

Ich hab meine Glaskugel grad verlegt...
Du könntest ruhig mal nenen was für sachen du mit Spybot und Adawar gefixt hast undz.b. auch die Ip auf die umgeleitet wird.

 

[PsychoPC]

würd mal autostart prüfen auf unbekannte exe dateien mit msconfig wäre erstmal als tipp

 

[h3@d1355_h0r53]

Poste doch mal die hosts Datei bzw. die "bösen" Auszüge daraus. Versteckt sein sollte ja kein Problem darstellen, den Schreibschutz kannst du auch komplett umgehen wenn du z.B. mit Ubuntu live bootest und dann die entsprechende hosts Datei löschst.

 

[keiji]

Formatieren & neuinstallieren.
Das ist die bessere Alternative, als mit mehreren Programmen am System rumzufrickeln.

 

[gdfs]

also ich hab mir das jetzt n paar mal durch gelesen. meine meinung, installier win neu.
das spart dir zeit.

 

[Flo89]

Du hast Vista oder 7?

Dann kannst du die Datei im Windows-Verzeichnis nicht bearbeiten.

Kopiere die hosts-Datei an einen "normalen" Ort, zum Beispiel auf den Desktop. Dann den ganzen Müll rauslöschen und die Datei anschließend zurück in den etc-Ordner.

 

[Scheinweltname]

mal ne Frage: Diese IP-Adresse in der Datei hosts ist nicht zufällig 127.0.0.1? Das wäre der localhost und wäre richtig.

Spybot schreibt die Datei hosts (ohne Dateiendung!) mit tausenden von Einträgen voll, um viele viele bekannte Malware-Seiten zu blockieren.

Die Hosts-Datei lässt sich am einfachsten ändern, indem man den Editor als Admin startet und damit "hosts" öffnet. Dann lassen sich Änderungen speichern (keine Datei-Endung wie *.txt oder so anhängen!).

Übrigens dürfte windows die Endung egal sein; es öffnet diejenige Datei OHNE jegliche Dateiendung. Mit einer "host.msn" dürfte Windows überhaupt nix anfangen können. Nutzt du zufällig hotmail, msn-messenger o.ä.? Dann dürfte die Datei eher daher kommen.

guck mal bei dem Link in meiner Sig zu hosts. Sehen die Einträge bei dir so aus wie in der Mitte des verlinkten posts? Dann wäre das vollkommen in Ordnung.

 

[alicio]

Danke für die zahlreichen Antworten.
Die Ip zu der umgeleitet werden sollte war etwas komplizierter, also ich konnte das Problem lösen indem ich die Hosts Datei auf Desktop verschoben habe und dort dann die Änderungen vornehmen und dann zurück verschoben.
Es waren alle Google Seiten, Yahoo und ein Haufen Antivirus/Spyware Websites die da drin standen.
Alles rausgenommen und läuft et!
Danke!

 

[emlyn d.]

symptom behoben, aber wie sieht es mit der ursache aus?