Nach Installation kein EXE file in Ordner

[raman]

Als erstes solltest du diese Datei O:\WINDOWS\svchost.exe hier ueberpruefen: http://www.virustotal.com/en/indexf.html Sollte widererwartend keiner oder nur wenige die Datei als Schaedling identifizieren, schicke sie bitte an virus@rokop-security.de . Schreib, was gefunden wurde...

Blacklight findet keine versteckten Dateien mehr?

Zu BartPE. Ich weiss nicht, wie gut du dich mit PE Cd beschaeftigt hast, hier gibt es eine recht gute und umfangreiche Sammlung von Plugins:
http://www.ubcd4win.com/
Dort enthalten ist auch ein AVPE7 Plugin. Ansonsten sind Drweb Cureit, Ewido micro, und andere Commandlinescaner die in z.B. F-Prot oder Mcafee enthalten sind, leicht unter PE CDs einsetztbar.

Ausserdem ist Spybots Runalyzer http://forums.spybot.info/forumdisplay.php?f=8 unter Bart/WinPE sehr hilfreich, da es die Registrierung des auf dem Rechner befindlichen Betriebsystem anzeigen und leicht bearbeiten kann

[huhu22]

so,
hab mal noch nen scan von nem ziemlich jungfräulichem XP auf anderer Partition gemacht, keine neuen erkenntnisse -

Blacklicght hatte nichts mehr gefunden -

bart - schon mal gemacht aber es kostst doch immer viel zeit, schön wär man könnte seinen spybot und antivir einfach wie installiert darein packen -

was das nun bedeuten mag:

Complete scanning result of "svchost.exe", received in VirusTotal at 02.17.2007, 22:59:25 (CET).

AntiVir 7.3.1.37 02.17.2007 no virus found
Authentium 4.93.8 02.16.2007 no virus found
Avast 4.7.936.0 02.16.2007 no virus found
AVG 386 02.17.2007 no virus found
BitDefender 7.2 02.17.2007 BehavesLike:Win32.Malware
CAT-QuickHeal 9.00 02.16.2007 no virus found
ClamAV devel-20060426 02.17.2007 no virus found
DrWeb 4.33 02.17.2007 BACKDOOR.Trojan
eSafe 7.0.14.0 02.16.2007 no virus found
eTrust-Vet 30.4.3408 02.17.2007 no virus found
Ewido 4.0 02.17.2007 no virus found
Fortinet 2.85.0.0 02.17.2007 no virus found
F-Prot 4.2.1.29 02.16.2007 no virus found
F-Secure 6.70.13030.0 02.17.2007 no virus found
Ikarus T3.1.0.31 02.17.2007 no virus found
Kaspersky 4.0.2.24 02.17.2007 no virus found
McAfee 4965 02.16.2007 no virus found
Microsoft 1.2204 02.17.2007 no virus found
NOD32v2 2067 02.17.2007 no virus found
Norman 5.80.02 02.16.2007 no virus found
Panda 9.0.0.4 02.17.2007 W32/MSN.A.worm
Prevx1 V2 02.17.2007 Trojan.SystemPoser
Sophos 4.14.0 02.16.2007 no virus found
Sunbelt 2.2.907.0 02.17.2007 no virus found
Symantec 10 02.17.2007 no virus found
TheHacker 6.1.6.059 02.16.2007 no virus found
UNA 1.83 02.16.2007 no virus found
VBA32 3.11.2 02.17.2007 no virus found
VirusBuster 4.3.19:9 02.17.2007 no virus foundAntiVir 7.3.1.37 02.17.2007 no virus found
Authentium 4.93.8 02.16.2007 no virus found
Avast 4.7.936.0 02.16.2007 no virus found
AVG 386 02.17.2007 no virus found
BitDefender 7.2 02.17.2007 BehavesLike:Win32.Malware
CAT-QuickHeal 9.00 02.16.2007 no virus found
ClamAV devel-20060426 02.17.2007 no virus found
DrWeb 4.33 02.17.2007 BACKDOOR.Trojan
eSafe 7.0.14.0 02.16.2007 no virus found
eTrust-Vet 30.4.3408 02.17.2007 no virus found
Ewido 4.0 02.17.2007 no virus found
Fortinet 2.85.0.0 02.17.2007 no virus found
F-Prot 4.2.1.29 02.16.2007 no virus found
F-Secure 6.70.13030.0 02.17.2007 no virus found
Ikarus T3.1.0.31 02.17.2007 no virus found
Kaspersky 4.0.2.24 02.17.2007 no virus found
McAfee 4965 02.16.2007 no virus found
Microsoft 1.2204 02.17.2007 no virus found
NOD32v2 2067 02.17.2007 no virus found
Norman 5.80.02 02.16.2007 no virus found
Panda 9.0.0.4 02.17.2007 W32/MSN.A.worm
Prevx1 V2 02.17.2007 Trojan.SystemPoser
Sophos 4.14.0 02.16.2007 no virus found
Sunbelt 2.2.907.0 02.17.2007 no virus found
Symantec 10 02.17.2007 no virus found
TheHacker 6.1.6.059 02.16.2007 no virus found
UNA 1.83 02.16.2007 no virus found
VBA32 3.11.2 02.17.2007 no virus found
VirusBuster 4.3.19:9 02.17.2007 no virus found

File size: 671232 bytes
MD5: 25ad7f581141c26068dde735c2e0f7fc
SHA1: 4786dbead53e05031ffd751d69ff9d1321680950
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=cbaa73291631


ich bennen die datei nun um und boote wieder das angeschlagene windows.. diese sychost könte schon länger im system gewesen sein, meinen taskmanager hab ich eigentlich öfters im blick, ist mir aufgefallen das ich immer mehrere sychost prozesse hatte, aber wie oben geschrieben fühlte mich ja sicher -

[huhu22]

so http://www.hijackthis.de/ bemängelt nur noch das vorhanden sein des registry eintrages - jetzt müsste alles im grünen bereich sein?

Logfile of HijackThis v1.99.1
Scan saved at 23:25:37, on 17.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
O:\WINDOWS\System32\smss.exe
O:\WINDOWS\system32\winlogon.exe
O:\WINDOWS\system32\services.exe
O:\WINDOWS\system32\lsass.exe
O:\WINDOWS\system32\svchost.exe
O:\WINDOWS\System32\svchost.exe
O:\WINDOWS\system32\spoolsv.exe
E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\sched.exe
E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\avguard.exe
O:\WINDOWS\system32\mgabg.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O:\WINDOWS\system32\svchost.exe
O:\WINDOWS\Explorer.EXE
O:\WINDOWS\system32\PDesk\PDesk.exe
E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
E:\1508 prog\audio\intunes\iTunesHelper.exe
C:\Programme\FreePDF_XP\fpassist.exe
E:\1508 prog\tools\antivirspyetc\spybot14\Spybot - Search & Destroy\TeaTimer.exe
O:\WINDOWS\system32\NOTEPAD.EXE
E:\1508 prog\tools\CrystalCPUID46\CrystalCPUID.exe
C:\Programme\iPod\bin\iPodService.exe
O:\WINDOWS\system32\wscntfy.exe
O:\WINDOWS\system32\rundll32.exe
O:\WINDOWS\System32\svchost.exe
E:\1508 prog\tools\antivirspyetc\check.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=O:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\1508 prog\mmedia\acrobat6profD\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\1508PR~1\tools\ANTIVI~1\spybot14\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\1508 prog\mmedia\acrobat6profD\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\1508 prog\mmedia\acrobat6profD\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Matrox Powerdesk] O:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [avgnt] "E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\1508 prog\audio\intunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\1508 prog\tools\antivirspyetc\spybot14\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Verknüpfung mit CrystalCPUID.exe.lnk = E:\1508 prog\tools\CrystalCPUID46\CrystalCPUID.exe
O4 - Global Startup: Acrobat Assistant.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = E:\1508 prog\office xp\Office10\OSA.EXE
O4 - Global Startup: today.txt
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download...odndupload.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-30.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1166782932781
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1166782893718
O17 - HKLM\System\CCS\Services\Tcpip\..\{699083C2-7872-4293-B737-060CFD3565B3}: NameServer = 192.168.178.11
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - O:\WINDOWS\system32\mgabg.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Genuine Advantage (svchost) - Unknown owner - O:\WINDOWS\svchost.exe (file missing)

die sychost wurde nur von 4en und das noch diffus idnentifiziert, schicken?

Danke für alles!

[raman]

Augenscheinlich ist das System so nun sauber. Ob wir alles erwischt haben, kann ich dir nicht sagen. Du kannst ja Kontrollscans mit den anderen AV Programmen machen. Du kannst Spybot auch von dem Rechner(Festplatte) aus starten, auf dem es installiert ist. Nur weiss ich nicht, welche Registrierung es dann untersucht. Ob es die vom Bartpe System oder von der orginal Reg. des Rechners prueft.

Achso, immer her mit der Datei!

[maruzo]

hallo, ich habe exakt dasselbe problem. spybot,antivir,zonealarm exe's werden deaktiviert bzw. sind verschwunden... dazu kommt noch, dass der ie bzw. mozilla nach 5 min. nur noch html schriften anzeigt. weiter erscheint immer ein login fenster (citty chat) mit passwort/login aufforderung.

ich habe mit hijack ein logfile erstellt. mit blacklight weiss ich nicht genau. muss ich da blbeta.exe oder blbetac.exe benutzen?

danke für weitere instruktionen.

gruss marcel

[raman]

Du brauchst die blbeta.exe und die Hijackthis.exe solltest du vor dem Start in z.B. test.com umbenennen. Du muesstest beide so erzeugen Logs(Blacklight und Hijackthis) hier posten...

[maruzo]

Hallo Ralf,

also ich poste Dir das hijack log (test.com) und das blacklight log (test2.com)...


hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 15:15:24, on 05.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\tet com\test.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CD Anywhere Launcher] "C:\Programme\CDAnywhere_Trial\insdrive.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://update.microsoft.com/w...?1161293203640
O16 - DPF: {AAD68411-5B98-11D3-9B52-00001C0007B3} (EonX 3.0.0) - http://h**p://download.eonreality.co...4_0_0/eonx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CD9750A-A3C0-4FAC-BC7B-92F89483A35C}: NameServer = 195.186.1.111,195.186.4.111
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe





blacklight log:

03/05/07 15:47:49 [Info]: BlackLight Engine 1.0.55 initialized
03/05/07 15:47:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/05/07 15:47:49 [Note]: 7019 4
03/05/07 15:47:49 [Note]: 7005 0
03/05/07 15:47:52 [Note]: 7006 0
03/05/07 15:47:52 [Note]: 7011 1560
03/05/07 15:47:52 [Note]: 7026 0
03/05/07 15:47:52 [Note]: 7026 0
03/05/07 15:47:52 [Note]: 7024 3
03/05/07 15:47:52 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
03/05/07 15:47:52 [Note]: 7024 3
03/05/07 15:47:52 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
03/05/07 15:47:59 [Note]: FSRAW library version 1.7.1021
03/05/07 15:48:00 [Info]: Hidden file: c:\Dokumente und Einstellungen\<name>\Anwendungsdaten\hidires\hidr.exe
03/05/07 15:48:00 [Note]: 10002 2
03/05/07 15:48:00 [Info]: Hidden file: c:\Dokumente und Einstellungen\<name>\Anwendungsdaten\hidires\m_hook.sys
03/05/07 15:48:00 [Note]: 10002 2
03/05/07 15:48:00 [Note]: 10002 3
03/05/07 15:48:00 [Note]: 10002 3
03/05/07 15:48:00 [Note]: 10002 2
03/05/07 15:48:00 [Note]: 10002 2
03/05/07 15:48:36 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt
03/05/07 15:48:36 [Note]: 10002 3
03/05/07 15:48:36 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml
03/05/07 15:48:36 [Note]: 10002 3
03/05/07 15:48:36 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png
03/05/07 15:48:36 [Note]: 10002 3
03/05/07 15:48:36 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png
03/05/07 15:48:36 [Note]: 10002 3
03/05/07 15:48:36 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt
03/05/07 15:48:36 [Note]: 10002 3
03/05/07 15:48:36 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg
03/05/07 15:48:36 [Note]: 10002 3
03/05/07 15:48:36 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg
03/05/07 15:48:36 [Note]: 10002 3
03/05/07 15:48:36 [Note]: 10002 2
03/05/07 15:48:36 [Note]: 10002 2
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\imepaden.hlp
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\imepadsm.dll
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\imepadsv.exe
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\imlang.dll
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\PADRS404.DLL
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs411.dll
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs412.dll
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs804.dll
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Note]: 10002 2
03/05/07 15:51:31 [Note]: 10002 2
03/05/07 15:51:45 [Info]: Hidden file: C:\WINDOWS\system32\hldrrr.exe
03/05/07 15:51:45 [Note]: 10002 2
03/05/07 15:51:45 [Info]: Hidden file: c:\WINDOWS\system32\wintems.exe
03/05/07 15:51:45 [Note]: 10002 2

[raman]

Du musst folgende Dinge mit Blacklight umbenennen(rename)

03/05/07 15:51:45 [Info]: Hidden file: C:\WINDOWS\system32\hldrrr.exe
03/05/07 15:51:45 [Note]: 10002 2
03/05/07 15:51:45 [Info]: Hidden file: c:\WINDOWS\system32\wintems.exe
03/05/07 15:47:52 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
03/05/07 15:48:00 [Info]: Hidden file: c:\Dokumente und Einstellungen\<name>\Anwendungsdaten\hidires\hidr.exe
03/05/07 15:48:00 [Info]: Hidden file: c:\Dokumente und Einstellungen\<name>\Anwendungsdaten\hidires\m_hook.sys


Dann solltest du ANtivir und Spybot wieder installieren koennen und den Rest beseitigen.

Weisst du, wo, bzw wie du dir diesen Bagle eingefangen hast?

[spybotsandra]

Hallo,

Wir brauchen eine Datei, die wir in Ihrem Report für Ihr System gefunden haben, für eine weitere und direkte Prüfung.
Bitte laden Sie den Suspicious File Packer von unserer Webseite herunter um dieses Vorgehen zu vereinfachen.
http://www.safer-networking.org/files/sfp.zip
Dann installieren Sie ihn und öffnen ihn. Kopieren Sie einfach den genannten Dateipfad mit Kopieren/Einfügen im ersten Schritt.

C:\WINDOWS\system32\hldrrr.exe

Dann wählen Sie "Fortsetzen".
Durch Anklicken dieser Schaltfläche wird auf Ihrem Desktop eine Datei erzeugt, welche die besagten Datei beinhaltet.
Anschliessend senden Sie bitte eine E-Mail mit der besagten Datei im Anhang mit dem Betreff "Spybot Attacked".
Mit Hilfe dieser Dateien können wir die Datenbank von Spybot-S&D ergänzen, so dass die Bedrohungen, die wir auf Ihrem PC gefunden haben, in einem der nächsten Updates enthalten sein wird.
Wenn Sie merken, dass einige dieser Files nicht gefunden oder in den Filepacker kopiert werden können, dann versuchen Sie die Prozedur noch einmal im abgesicherten Modus.

Vielen Dank und liebe Grüsse
Sandra
Team Spybot

[maruzo]

Hallo Ralf,

vielen Dank erstmal für Deine schnelle Hilfe. Es scheint, dass alles wieder in Ordnung ist. Konnte Spybot und Antivir wieder installieren.

Ich kann mich leider nicht erinnern, wo ich das Problem eingefangen habe, aber das Szenario spielte sich wie folgt ab:

Antivir meldete immerwieder ein Trojahner und Zonealarm meldete ein unbekannten Zugriff aufs Internet. Beide Zugriffe wurden von mir verweigert. Als ich dann, genervt von den immer wederkehrenden Meldungen, stinger drüberlaufen liess, fand dieser zu meinem Erstaunen nichts aussergewöhnliches. Auch Ativir konnte das Problem nicht ausschalten.

Dann installierte ich Adaware, deinstallierte aber zuvor Antivir (da ich glaubte die beiden würden sich nicht vertragen) und das war der grosse Fehler glaube ich. Just nach dem Akt brach der Virus aus. Ich konnte nichteinmal mehr n' Savestart machen (Bluescreen)

Zonealarm.exe würde gelöscht. Antivir und Spybot liessen sich nicht mehr installieren. (Stinger konnte immer noch nichts finden). Und immer wieder erschien das Anmeldefenster für Citychat ??? mit login und passwort aufforderung, 5 min später brach das Internet zusammen (im Browser waren nur noch HTML Befehle sichtbar).


Danke nochmals !!!
MFG Marcel