Virus hat system32 versteckt und hosts eintragungen gemacht?

Dieses Thema Virus hat system32 versteckt und hosts eintragungen gemacht? im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Gabriel@B, 27. Juni 2005.

Thema: Virus hat system32 versteckt und hosts eintragungen gemacht? Hallo, einen stark befallenen Windows Server 2000 konnte ich mit Hilfe von verschiedenen Tools ein wenig säubern....

  1. Hallo,

    einen stark befallenen Windows Server 2000 konnte ich mit Hilfe von verschiedenen Tools ein wenig säubern. Doch die verwunderung wie so viele Viren laufen und sich Installieren konnten trotz Tobit Antivirus blieb. Nun habe ich festgestellt das ich nicht in das Verzeichnis c:\winnt\system32 kann!
    Kann es sein das ein Virus mir den Zugriff verweigert bzw Windows so manipuliert hat das man mti dem Explorer nicht darauf zugreifen kann?
    Über Dos bin ich dann mal in das Verzeichnids c:\winnt\system32\drivers\etc gegangen und habe die Datei hosts geöffnet und dort gibt es mehrere Eintragungen. Alle Updateseiten werden auf 127.0.0.1 weitergeleitet. Kein Wunder als das der Virenscanner nicht Funktionierte es konnten keine Updates geladen werden da der Virenscanner immer auf den Localhost umgeleitet wurde.

    Leider ist die Datei schreibgeschütz und ich kann sie daher nicht mit Dos verändern oder überschreiben.
    Ich weiss das System muss neu aufgesetzt werden, was auch gerade auf einem neuen Server geschieht bis dieser aber Einsatzfähig ist. Soll der alte noch so Sicher wie möglich laufen.

    Also was kann ich jetzt tun? Gibt es einen Dos Befehl mit dem ich das löschen der Datei erzwingen bzw den Schreibschutz rausnehmen kann?

    Oder sehe ich vielleicht etwas total falsch?

    Danke für Hilfe

    Gruss Gabriel
     
  2. Hi

    unter DOS heisst der Befehl attrib.

    Mit dem Parameter -r wird der Schreibschutz aufgehoben, ob das unter WIN2000 funktioniert weiss ich nicht.

    mit attrib/? kannst du dir weitere Parameter aufzeigen lassen.

    Viel Erfolg

    Gruss
    Dakota
     
  3. Danke der Befehl funtkioniert!

    Somit wäre mir in der Richtung schonmal geholfen. Kennt denn jemand den Virus? Weiss man ihn loswird? Und wie ich wieder in der system32 verzeichnis kommen kann?
     
  4. Hier die manipulierte Hosts Datei
    Code:
    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
    # für Windows 2000 verwendet wird.
    #
    # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
    # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
    # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
    # Hostnamen stehen.
    # Die IP-Adresse und der Hostname müssen durch mindestens ein
    # Leerzeichen getrennt sein.
    #
    # Zusätzliche Kommentare (so wie in dieser Datei) können in
    # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
    # aber müssen mit dem Zeichen->#' eingegeben werden.
    #
    # Zum Beispiel:
    #
    #   102.54.94.97   rhino.acme.com     # Quellserver
    #    38.25.63.10   x.acme.com       # x-Clienthost
    
    127.0.0.1    localhost
    
    127.0.0.1 [url]www.symantec.com[/url]
    127.0.0.1 securityresponse.symantec.com
    127.0.0.1 symantec.com
    127.0.0.1 [url]www.sophos.com[/url]
    127.0.0.1 sophos.com
    127.0.0.1 [url]www.mcafee.com[/url]
    127.0.0.1 mcafee.com
    127.0.0.1 downloads-us1.kaspersky-labs.com
    127.0.0.1 updates1.kaspersky-labs.com
    127.0.0.1 updates2.kaspersky-labs.com
    127.0.0.1 updates3.kaspersky-labs.com
    127.0.0.1 downloads1.kaspersky-labs.com
    127.0.0.1 downloads2.kaspersky-labs.com
    127.0.0.1 downloads3.kaspersky-labs.com
    127.0.0.1 ftp.downloads1.kaspersky-labs.com
    127.0.0.1 ftp.downloads2.kaspersky-labs.com
    127.0.0.1 ftp.downloads3.kaspersky-labs.com
    127.0.0.1 liveupdate.symantecliveupdate.com
    127.0.0.1 [url]www.viruslist.com[/url]
    127.0.0.1 viruslist.com
    127.0.0.1 f-secure.com
    127.0.0.1 [url]www.f-secure.com[/url]
    127.0.0.1 kaspersky.com
    127.0.0.1 kaspersky-labs.com
    127.0.0.1 [url]www.avp.com[/url]
    127.0.0.1 [url]www.kaspersky.com[/url]
    127.0.0.1 avp.com
    127.0.0.1 [url]www.networkassociates.com[/url]
    127.0.0.1 networkassociates.com
    127.0.0.1 [url]www.ca.com[/url]
    127.0.0.1 ca.com
    127.0.0.1 mast.mcafee.com
    127.0.0.1 my-etrust.com
    127.0.0.1 [url]www.my-etrust.com[/url]
     
  5. Alles raus löschen ausser 127.0.0.1 localhost

    Cheers,
    Joshua
     
  6. Da mir das Rauslöschen mit Edit Hosts zu dumm war, habe ich einfach eine normale Datei von einem Sauberen Server genommen und die verhandene Hosts Datei damit überschrieben. Bei Type hosts zeigt er mir jetzt nur noch den localhost an.

    Weiss den jemand welcher Schädling das ist?
     
Die Seite wird geladen...

Virus hat system32 versteckt und hosts eintragungen gemacht? - Ähnliche Themen

Forum Datum
Virusmeldung c:windows system32/rdriv.sys Viren, Trojaner, Spyware etc. 24. Juli 2005
Svchost.exe uploaded mit 500 kb/s. Virus? Windows 10 Forum 18. Juli 2015
Ad-Virus auf meinem Rechner Windows 7 Forum 25. Sep. 2014
Virus, der meine Taskleiste & die Icons auf dem Desktop verschwinden gelassen hat?! Windows 7 Forum 12. Sep. 2014
IE11 zeigt komplettes eBay nur als Text-Seite!!!??? Virus? Web-Browser 26. Dez. 2013