Nach Installation kein EXE file in Ordner

Status
Not open for further replies.
C

central1954

New member
Nach reinstall Spybot S&D (fresh download) fehlt EXE file zum Starten.

Raffinierte intruder hebelt alle mechanismen aus...

Vorgeschichte:
Gestern Abend war ich erschreckt. Weder Firewall(Sygate) noch Grisoft AVG war aktiv. Update, Reaktivation und Neuinstallation sind fehlgeschlagen auch mit anderen AV. Einzig Panda Activescan lauft kurz und dann hängt auf. Meldet aber eine Menge schädlinge & Co...

Ausser Kapitulation - was kann ich tun?
 
Das ist eine BagleVariante. Du musst die Dateien, die dir Blacklight anzeigt mit hilfe des Rename Buttons einzelnd umbenennen, dann startet Blacklight den Rechner neu. Dann solltest du in der Lage sein, ein AV und auch Spybot zu installieren.

Ich wuerde zusaetzlich zu Spybot noch Antivir(classic) von www.free-av.de installlieren.


BTW: Weisst du, wo du dir das Ding eingefangen hast?
 
genau das selbe hier - spybot ist verschwunden, nach neuinstaalation keine exe da -

wenn ich im Explorer den Ordner öffne erscheint es als würde just in diesem moment eine datei erschwinden, das starten nach instalation klappt schon nicht... - auch mit funktion updates direkt runterladen geht nicht



beim googlen fand ich einige forumsbeiträge zu spybot verschwunden -

die angeforderten daten kommen per PM, ich danke auch und mach mir etwas sorgen...

update: antivir scheint auch nicht mehr zu funktionieren, der guard lässt sich nicht mehr aktivieren -
 
Last edited:
so ic hab mal die dateien welche Blacklight vorgeschlagen hat gelöscht, und nun lässt sich Spybot wieder installieren.

Vielen Dank für alles!
 
Bitte denke daran, das das leider auf deinem Rechner noch nicht alles war, was dort an Malware "wohnt".

Installiere bitte Antivir erneut, aktualisiere es und stelle es ein, wie hier beschrieben:
http://board.protecus.de/t23979.htm

starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

Nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) ZUusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern.
http://support.microsoft.com/default.aspx?scid=kb;de;315246

Lasse Antivir dort deine Festplatten pruefen und alle funde in die Quarantäne schieben. Starte den Rechner neu, poste den Bericht, den Antivir im abgesicherten Modus erstellt hat und dazu noch ein aktuelles Hijackthis log:

Du kannst die Ergebnisse hier hineinkopieren, du brauchst es nicht via PM zu schicken...
 
Vielen Dank Ralf,

ich hatte es fast befürchtet -

unerklärlicher weise lässt sich mein aktuelles Win nicht im abgesicherten Modus starten (normal läuft es problemfrei, im abgesciherten Reset nach ein paar sekunden, beunruhigend) - das ganze soll mir eine lehre sein, hab mich mit HW Firewall (Router) Spybot und Antivir auf der sicheren Seite gesehen, dachte man könnte auch suspekte Zips mal einfach öffen der Schutz regelt das schon - scheint das wenn Antivir anspricht es schon zu spät sein kann?

Würde am liebsten statt abgesichertem Modus mit BartPE o.ä. vorgehen, es schein aber keine einfache Lösung mit BartPe und Antivir zu geben?

Vieleicht hast Du oder ein anderer User einen schnellen Tipp welche Antivirentrojaner etc Software sich derzeit einfach in ein Bart PE Image integrieren lässt? (Idealerweise ohne das eine Instalation im aktuellen Win gemacht werden muss, Antivir deinstalieren, anderen Scanner drauf und wieder zurück klingt nach Restrisiken..) - GGf auch gerne tipp zu Alternative zu BartPE (bei überschaubarem Zeitaufwand beim erstellen der BootCd) - Vielen Dank für einene TIP oder Link!


Der Bericht von Antivir (heute NAcht nicht abgesicherter Modus) ist seitenlang, lieg aber daran das ich im Opera 10000e von Mails habe mit eltichen Viren drann, hatte mich nie gestört da ich sie ja nie öffnete - das Hijack Log beinhaltet vor allem immer noch die (falsche=) Sychost

ein paar dinge die mir seltsam vorkammen hab ich gestern schon zuvor manuell gelöscht -


Logfile of HijackThis v1.99.1
Scan saved at 09:23:45, on 17.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
O:\WINDOWS\System32\smss.exe
O:\WINDOWS\system32\winlogon.exe
O:\WINDOWS\system32\services.exe
O:\WINDOWS\system32\lsass.exe
O:\WINDOWS\system32\svchost.exe
O:\WINDOWS\System32\svchost.exe
O:\WINDOWS\system32\spoolsv.exe
E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\sched.exe
E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\avguard.exe
O:\WINDOWS\system32\mgabg.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O:\WINDOWS\system32\svchost.exe
O:\WINDOWS\svchost.exe
O:\WINDOWS\Explorer.EXE
O:\WINDOWS\system32\PDesk\PDesk.exe
E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
E:\1508 prog\audio\intunes\iTunesHelper.exe
C:\Programme\FreePDF_XP\fpassist.exe
E:\1508 prog\tools\antivirspyetc\spybot14\Spybot - Search & Destroy\TeaTimer.exe
O:\WINDOWS\system32\NOTEPAD.EXE
E:\1508 prog\tools\CrystalCPUID46\CrystalCPUID.exe
C:\Programme\iPod\bin\iPodService.exe
O:\WINDOWS\system32\rundll32.exe
O:\WINDOWS\system32\wscntfy.exe
O:\WINDOWS\System32\svchost.exe
O:\WINDOWS\system32\mmc.exe
O:\WINDOWS\system32\dmremote.exe
O:\WINDOWS\System32\dmadmin.exe
O:\WINDOWS\system32\rundll32.exe
O:\WINDOWS\system32\NOTEPAD.EXE
E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\avcenter.exe
E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\1508 prog\tools\rettung pe builder\www[1].STADTAUS.com_pebuilder319\pebuilder.exe
O:\WINDOWS\system32\notepad.exe
E:\1508 prog\tools\antivirspyetc\check.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
F2 - REG:system.ini: UserInit=O:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\1508 prog\mmedia\acrobat6profD\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\1508PR~1\tools\ANTIVI~1\spybot14\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\1508 prog\mmedia\acrobat6profD\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\1508 prog\mmedia\acrobat6profD\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Matrox Powerdesk] O:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [avgnt] "E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\1508 prog\audio\intunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\1508 prog\tools\antivirspyetc\spybot14\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Verknüpfung mit CrystalCPUID.exe.lnk = E:\1508 prog\tools\CrystalCPUID46\CrystalCPUID.exe
O4 - Global Startup: Acrobat Assistant.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = E:\1508 prog\office xp\Office10\OSA.EXE
O4 - Global Startup: today.txt
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166782932781
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166782893718
O17 - HKLM\System\CCS\Services\Tcpip\..\{699083C2-7872-4293-B737-060CFD3565B3}: NameServer = 192.168.178.11
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - O:\WINDOWS\system32\mgabg.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Genuine Advantage (svchost) - Unknown owner - O:\WINDOWS\svchost.exe
 
Last edited:
Als erstes solltest du diese Datei O:\WINDOWS\svchost.exe hier ueberpruefen: http://www.virustotal.com/en/indexf.html Sollte widererwartend keiner oder nur wenige die Datei als Schaedling identifizieren, schicke sie bitte an virus@rokop-security.de . Schreib, was gefunden wurde...

Blacklight findet keine versteckten Dateien mehr?

Zu BartPE. Ich weiss nicht, wie gut du dich mit PE Cd beschaeftigt hast, hier gibt es eine recht gute und umfangreiche Sammlung von Plugins:
http://www.ubcd4win.com/
Dort enthalten ist auch ein AVPE7 Plugin. Ansonsten sind Drweb Cureit, Ewido micro, und andere Commandlinescaner die in z.B. F-Prot oder Mcafee enthalten sind, leicht unter PE CDs einsetztbar.

Ausserdem ist Spybots Runalyzer http://forums.spybot.info/forumdisplay.php?f=8 unter Bart/WinPE sehr hilfreich, da es die Registrierung des auf dem Rechner befindlichen Betriebsystem anzeigen und leicht bearbeiten kann
 
so,
hab mal noch nen scan von nem ziemlich jungfräulichem XP auf anderer Partition gemacht, keine neuen erkenntnisse -

Blacklicght hatte nichts mehr gefunden -

bart - schon mal gemacht aber es kostst doch immer viel zeit, schön wär man könnte seinen spybot und antivir einfach wie installiert darein packen -

was das nun bedeuten mag:

Complete scanning result of "svchost.exe", received in VirusTotal at 02.17.2007, 22:59:25 (CET).

AntiVir 7.3.1.37 02.17.2007 no virus found
Authentium 4.93.8 02.16.2007 no virus found
Avast 4.7.936.0 02.16.2007 no virus found
AVG 386 02.17.2007 no virus found
BitDefender 7.2 02.17.2007 BehavesLike:Win32.Malware
CAT-QuickHeal 9.00 02.16.2007 no virus found
ClamAV devel-20060426 02.17.2007 no virus found
DrWeb 4.33 02.17.2007 BACKDOOR.Trojan
eSafe 7.0.14.0 02.16.2007 no virus found
eTrust-Vet 30.4.3408 02.17.2007 no virus found
Ewido 4.0 02.17.2007 no virus found
Fortinet 2.85.0.0 02.17.2007 no virus found
F-Prot 4.2.1.29 02.16.2007 no virus found
F-Secure 6.70.13030.0 02.17.2007 no virus found
Ikarus T3.1.0.31 02.17.2007 no virus found
Kaspersky 4.0.2.24 02.17.2007 no virus found
McAfee 4965 02.16.2007 no virus found
Microsoft 1.2204 02.17.2007 no virus found
NOD32v2 2067 02.17.2007 no virus found
Norman 5.80.02 02.16.2007 no virus found
Panda 9.0.0.4 02.17.2007 W32/MSN.A.worm
Prevx1 V2 02.17.2007 Trojan.SystemPoser
Sophos 4.14.0 02.16.2007 no virus found
Sunbelt 2.2.907.0 02.17.2007 no virus found
Symantec 10 02.17.2007 no virus found
TheHacker 6.1.6.059 02.16.2007 no virus found
UNA 1.83 02.16.2007 no virus found
VBA32 3.11.2 02.17.2007 no virus found
VirusBuster 4.3.19:9 02.17.2007 no virus foundAntiVir 7.3.1.37 02.17.2007 no virus found
Authentium 4.93.8 02.16.2007 no virus found
Avast 4.7.936.0 02.16.2007 no virus found
AVG 386 02.17.2007 no virus found
BitDefender 7.2 02.17.2007 BehavesLike:Win32.Malware
CAT-QuickHeal 9.00 02.16.2007 no virus found
ClamAV devel-20060426 02.17.2007 no virus found
DrWeb 4.33 02.17.2007 BACKDOOR.Trojan
eSafe 7.0.14.0 02.16.2007 no virus found
eTrust-Vet 30.4.3408 02.17.2007 no virus found
Ewido 4.0 02.17.2007 no virus found
Fortinet 2.85.0.0 02.17.2007 no virus found
F-Prot 4.2.1.29 02.16.2007 no virus found
F-Secure 6.70.13030.0 02.17.2007 no virus found
Ikarus T3.1.0.31 02.17.2007 no virus found
Kaspersky 4.0.2.24 02.17.2007 no virus found
McAfee 4965 02.16.2007 no virus found
Microsoft 1.2204 02.17.2007 no virus found
NOD32v2 2067 02.17.2007 no virus found
Norman 5.80.02 02.16.2007 no virus found
Panda 9.0.0.4 02.17.2007 W32/MSN.A.worm
Prevx1 V2 02.17.2007 Trojan.SystemPoser
Sophos 4.14.0 02.16.2007 no virus found
Sunbelt 2.2.907.0 02.17.2007 no virus found
Symantec 10 02.17.2007 no virus found
TheHacker 6.1.6.059 02.16.2007 no virus found
UNA 1.83 02.16.2007 no virus found
VBA32 3.11.2 02.17.2007 no virus found
VirusBuster 4.3.19:9 02.17.2007 no virus found

File size: 671232 bytes
MD5: 25ad7f581141c26068dde735c2e0f7fc
SHA1: 4786dbead53e05031ffd751d69ff9d1321680950
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=cbaa73291631


ich bennen die datei nun um und boote wieder das angeschlagene windows.. diese sychost könte schon länger im system gewesen sein, meinen taskmanager hab ich eigentlich öfters im blick, ist mir aufgefallen das ich immer mehrere sychost prozesse hatte, aber wie oben geschrieben fühlte mich ja sicher -
 
so http://www.hijackthis.de/ bemängelt nur noch das vorhanden sein des registry eintrages - jetzt müsste alles im grünen bereich sein?

Logfile of HijackThis v1.99.1
Scan saved at 23:25:37, on 17.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
O:\WINDOWS\System32\smss.exe
O:\WINDOWS\system32\winlogon.exe
O:\WINDOWS\system32\services.exe
O:\WINDOWS\system32\lsass.exe
O:\WINDOWS\system32\svchost.exe
O:\WINDOWS\System32\svchost.exe
O:\WINDOWS\system32\spoolsv.exe
E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\sched.exe
E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\avguard.exe
O:\WINDOWS\system32\mgabg.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O:\WINDOWS\system32\svchost.exe
O:\WINDOWS\Explorer.EXE
O:\WINDOWS\system32\PDesk\PDesk.exe
E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
E:\1508 prog\audio\intunes\iTunesHelper.exe
C:\Programme\FreePDF_XP\fpassist.exe
E:\1508 prog\tools\antivirspyetc\spybot14\Spybot - Search & Destroy\TeaTimer.exe
O:\WINDOWS\system32\NOTEPAD.EXE
E:\1508 prog\tools\CrystalCPUID46\CrystalCPUID.exe
C:\Programme\iPod\bin\iPodService.exe
O:\WINDOWS\system32\wscntfy.exe
O:\WINDOWS\system32\rundll32.exe
O:\WINDOWS\System32\svchost.exe
E:\1508 prog\tools\antivirspyetc\check.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=O:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\1508 prog\mmedia\acrobat6profD\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\1508PR~1\tools\ANTIVI~1\spybot14\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\1508 prog\mmedia\acrobat6profD\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\1508 prog\mmedia\acrobat6profD\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Matrox Powerdesk] O:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [avgnt] "E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\1508 prog\audio\intunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\1508 prog\tools\antivirspyetc\spybot14\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Verknüpfung mit CrystalCPUID.exe.lnk = E:\1508 prog\tools\CrystalCPUID46\CrystalCPUID.exe
O4 - Global Startup: Acrobat Assistant.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = E:\1508 prog\office xp\Office10\OSA.EXE
O4 - Global Startup: today.txt
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166782932781
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166782893718
O17 - HKLM\System\CCS\Services\Tcpip\..\{699083C2-7872-4293-B737-060CFD3565B3}: NameServer = 192.168.178.11
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - E:\1508 prog\tools\antivirspyetc\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - O:\WINDOWS\system32\mgabg.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Genuine Advantage (svchost) - Unknown owner - O:\WINDOWS\svchost.exe (file missing)

die sychost wurde nur von 4en und das noch diffus idnentifiziert, schicken?

Danke für alles!
 
Last edited:
Augenscheinlich ist das System so nun sauber. Ob wir alles erwischt haben, kann ich dir nicht sagen. Du kannst ja Kontrollscans mit den anderen AV Programmen machen. Du kannst Spybot auch von dem Rechner(Festplatte) aus starten, auf dem es installiert ist. Nur weiss ich nicht, welche Registrierung es dann untersucht. Ob es die vom Bartpe System oder von der orginal Reg. des Rechners prueft.

Achso, immer her mit der Datei!
 
spybot exe verschwunden

hallo, ich habe exakt dasselbe problem. spybot,antivir,zonealarm exe's werden deaktiviert bzw. sind verschwunden... dazu kommt noch, dass der ie bzw. mozilla nach 5 min. nur noch html schriften anzeigt. weiter erscheint immer ein login fenster (citty chat) mit passwort/login aufforderung.

ich habe mit hijack ein logfile erstellt. mit blacklight weiss ich nicht genau. muss ich da blbeta.exe oder blbetac.exe benutzen?

danke für weitere instruktionen.

gruss marcel
 
Du brauchst die blbeta.exe und die Hijackthis.exe solltest du vor dem Start in z.B. test.com umbenennen. Du muesstest beide so erzeugen Logs(Blacklight und Hijackthis) hier posten...
 
re:

Hallo Ralf,

also ich poste Dir das hijack log (test.com) und das blacklight log (test2.com)...


hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 15:15:24, on 05.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\tet com\test.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CD Anywhere Launcher] "C:\Programme\CDAnywhere_Trial\insdrive.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161293203640
O16 - DPF: {AAD68411-5B98-11D3-9B52-00001C0007B3} (EonX 3.0.0) - h**p://download.eonreality.com/eonx/4_0_0/eonx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CD9750A-A3C0-4FAC-BC7B-92F89483A35C}: NameServer = 195.186.1.111,195.186.4.111
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe





blacklight log:

03/05/07 15:47:49 [Info]: BlackLight Engine 1.0.55 initialized
03/05/07 15:47:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/05/07 15:47:49 [Note]: 7019 4
03/05/07 15:47:49 [Note]: 7005 0
03/05/07 15:47:52 [Note]: 7006 0
03/05/07 15:47:52 [Note]: 7011 1560
03/05/07 15:47:52 [Note]: 7026 0
03/05/07 15:47:52 [Note]: 7026 0
03/05/07 15:47:52 [Note]: 7024 3
03/05/07 15:47:52 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
03/05/07 15:47:52 [Note]: 7024 3
03/05/07 15:47:52 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
03/05/07 15:47:59 [Note]: FSRAW library version 1.7.1021
03/05/07 15:48:00 [Info]: Hidden file: c:\Dokumente und Einstellungen\<name>\Anwendungsdaten\hidires\hidr.exe
03/05/07 15:48:00 [Note]: 10002 2
03/05/07 15:48:00 [Info]: Hidden file: c:\Dokumente und Einstellungen\<name>\Anwendungsdaten\hidires\m_hook.sys
03/05/07 15:48:00 [Note]: 10002 2
03/05/07 15:48:00 [Note]: 10002 3
03/05/07 15:48:00 [Note]: 10002 3
03/05/07 15:48:00 [Note]: 10002 2
03/05/07 15:48:00 [Note]: 10002 2
03/05/07 15:48:36 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt
03/05/07 15:48:36 [Note]: 10002 3
03/05/07 15:48:36 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml
03/05/07 15:48:36 [Note]: 10002 3
03/05/07 15:48:36 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png
03/05/07 15:48:36 [Note]: 10002 3
03/05/07 15:48:36 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png
03/05/07 15:48:36 [Note]: 10002 3
03/05/07 15:48:36 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt
03/05/07 15:48:36 [Note]: 10002 3
03/05/07 15:48:36 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg
03/05/07 15:48:36 [Note]: 10002 3
03/05/07 15:48:36 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg
03/05/07 15:48:36 [Note]: 10002 3
03/05/07 15:48:36 [Note]: 10002 2
03/05/07 15:48:36 [Note]: 10002 2
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\imepaden.hlp
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\imepadsm.dll
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\imepadsv.exe
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\imlang.dll
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\PADRS404.DLL
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs411.dll
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs412.dll
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs804.dll
03/05/07 15:51:31 [Note]: 10002 3
03/05/07 15:51:31 [Note]: 10002 2
03/05/07 15:51:31 [Note]: 10002 2
03/05/07 15:51:45 [Info]: Hidden file: C:\WINDOWS\system32\hldrrr.exe
03/05/07 15:51:45 [Note]: 10002 2
03/05/07 15:51:45 [Info]: Hidden file: c:\WINDOWS\system32\wintems.exe
03/05/07 15:51:45 [Note]: 10002 2
 
Last edited:
Du musst folgende Dinge mit Blacklight umbenennen(rename)

03/05/07 15:51:45 [Info]: Hidden file: C:\WINDOWS\system32\hldrrr.exe
03/05/07 15:51:45 [Note]: 10002 2
03/05/07 15:51:45 [Info]: Hidden file: c:\WINDOWS\system32\wintems.exe
03/05/07 15:47:52 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
03/05/07 15:48:00 [Info]: Hidden file: c:\Dokumente und Einstellungen\<name>\Anwendungsdaten\hidires\hidr.exe
03/05/07 15:48:00 [Info]: Hidden file: c:\Dokumente und Einstellungen\<name>\Anwendungsdaten\hidires\m_hook.sys


Dann solltest du ANtivir und Spybot wieder installieren koennen und den Rest beseitigen.

Weisst du, wo, bzw wie du dir diesen Bagle eingefangen hast?
 
Hallo,

Wir brauchen eine Datei, die wir in Ihrem Report für Ihr System gefunden haben, für eine weitere und direkte Prüfung.
Bitte laden Sie den Suspicious File Packer von unserer Webseite herunter um dieses Vorgehen zu vereinfachen.
http://www.safer-networking.org/files/sfp.zip
Dann installieren Sie ihn und öffnen ihn. Kopieren Sie einfach den genannten Dateipfad mit Kopieren/Einfügen im ersten Schritt.

C:\WINDOWS\system32\hldrrr.exe

Dann wählen Sie "Fortsetzen".
Durch Anklicken dieser Schaltfläche wird auf Ihrem Desktop eine Datei erzeugt, welche die besagten Datei beinhaltet.
Anschliessend senden Sie bitte eine E-Mail mit der besagten Datei im Anhang mit dem Betreff "Spybot Attacked".
Mit Hilfe dieser Dateien können wir die Datenbank von Spybot-S&D ergänzen, so dass die Bedrohungen, die wir auf Ihrem PC gefunden haben, in einem der nächsten Updates enthalten sein wird.
Wenn Sie merken, dass einige dieser Files nicht gefunden oder in den Filepacker kopiert werden können, dann versuchen Sie die Prozedur noch einmal im abgesicherten Modus.

Vielen Dank und liebe Grüsse
Sandra
Team Spybot
 
re:

Hallo Ralf,

vielen Dank erstmal für Deine schnelle Hilfe. Es scheint, dass alles wieder in Ordnung ist. Konnte Spybot und Antivir wieder installieren.

Ich kann mich leider nicht erinnern, wo ich das Problem eingefangen habe, aber das Szenario spielte sich wie folgt ab:

Antivir meldete immerwieder ein Trojahner und Zonealarm meldete ein unbekannten Zugriff aufs Internet. Beide Zugriffe wurden von mir verweigert. Als ich dann, genervt von den immer wederkehrenden Meldungen, stinger drüberlaufen liess, fand dieser zu meinem Erstaunen nichts aussergewöhnliches. Auch Ativir konnte das Problem nicht ausschalten.

Dann installierte ich Adaware, deinstallierte aber zuvor Antivir (da ich glaubte die beiden würden sich nicht vertragen) und das war der grosse Fehler glaube ich. Just nach dem Akt brach der Virus aus. Ich konnte nichteinmal mehr n' Savestart machen (Bluescreen)

Zonealarm.exe würde gelöscht. Antivir und Spybot liessen sich nicht mehr installieren. (Stinger konnte immer noch nichts finden). Und immer wieder erschien das Anmeldefenster für Citychat ??? mit login und passwort aufforderung, 5 min später brach das Internet zusammen (im Browser waren nur noch HTML Befehle sichtbar).


Danke nochmals !!!
MFG Marcel
 
Status
Not open for further replies.
Back
Top