Nach Installation kein EXE file in Ordner

Status
Not open for further replies.
Sandra fragte noch nach den Dateien. Hast du diese umbenannten Dateien noch, bzw sind sich noch im Quarantaeneverzeichniss von Antivir?
 
hallo,
ich habe sandras nachricht leider erst nach dem rename mit blacklight gelesen.
im zip-file für sandra befindet sich nur ne text datei mit folgender info:

Requested file archive from 05.03.2007 17:00:48
Created by Suspicious File Packer 0.2
Copyright © 2004-2005 Safer Networking Limited. All rights reserved.

Requests:
C:\WINDOWS\system32\hldrrr.exe

Operations:

ich glaub das ist nicht das was ihr braucht oder ?
soll ich's noch im abgesicherten modus versuchen? oder wie komm ich in die antivir quarantäne?
 
Bitte an detections AT spybot.info (AT= @) und an virus AT rokop-security.de Das Zip bitte mit Password infected versehen...

aktualisiere danach bitte dein Antivir, stelle es so ein

http://board.protecus.de/t23979.htm

starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

Nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) Zusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern.
http://support.microsoft.com/default.aspx?scid=kb;de;315246

Lasse Antivir dort deine Festplatten pruefen und alle Funde in die Quarantäne schieben.

Sag danach bitte, was Antivir noch gefunden hat.
 
Last edited by a moderator:
uups...

abgesicherter modus geht nicht. der save-start wird mit bluescreen abgebrochen.
-> hinweis auf mögliche viren/würmer die das system bei einem savestart
möglicherweise beschädigen könnten.

-antivir hab ich aktualisiert.
-systemwiederherstellung deaktiviert

...
 
blacklight hat nichts mehr angezeigt. habe dann mit cureit erst ein scan (system) durchgeführt, später noch ein komplettscan. gefunden und desinfiziert hat er nur die 2 renamed 'hldrr und wintems' files.
aufgefallen ist mir, dass während dem scan von cureit, antivir mehrmals eine virenmeldung einblendete. einige duzend male.
unter anderem dateien mit bezeichnungen wie ~5...~15...~3A...~D... usw. und worm/beagle dateien wie 392828.exe... etc. alle sind in der antivir quarantäne liste noch zu sehen.
C:\windows\exefld\392828.exe ....etc
C:\...lokale einstellungen\temp\~5.exe ...etc
(insgesamt 60 objekte)

nach wie vor bluescreen bei safestart versuch.

danke für weitere hilfe.

mfg marcel
 
Last edited:
hallo ralf,

ich habe alle steps durchgeführt, wie du beschrieben hast und sende dir noch den report von comboscan in 2 abschnitten (zu lang):


ComboScan v20070226.18 run by Maruzo on 2007-03-06 at 21:33:13
Computer is in Normal Mode.
--------------------------------------------------------------------------------

System Restore was disabled; re-enabling.
Failed to create restore point: System Restore is disabled (service is not running).
Performed disk cleanup.


-- HijackThis (run as Maruzo.exe) -----------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 21:33:52, on 06.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\Maruzo\Desktop\comboscan.exe
C:\PROGRA~1\HIJACK~1\Maruzo.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CD Anywhere Launcher] "C:\Programme\CDAnywhere_Trial\insdrive.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Dokumente und Einstellungen\Maruzo\Anwendungsdaten\hidires\hidr.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161293203640
O16 - DPF: {AAD68411-5B98-11D3-9B52-00001C0007B3} (EonX 3.0.0) - http://download.eonreality.com/eonx/4_0_0/eonx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CD9750A-A3C0-4FAC-BC7B-92F89483A35C}: NameServer = 195.186.1.111,195.186.4.111
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe


-- File Associations ------------------------------------------------------------

.bat - batfile - "%1" %*
.chm - chm.file - "C:\WINDOWS\hh.exe" %1
.cmd - cmdfile - "%1" %*
.com - comfile - "%1" %*
.exe - exefile - "%1" %*
.hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1
.inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1
.ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1
.js - JSFile - %SystemRoot%\System32\WScript.exe "%1" %*
.lnk - lnkfile - {00021401-0000-0000-C000-000000000046}
.pif - piffile - "%1" %*
.reg - regfile - regedit.exe "%1"
.scr - scrfile - "%1" /S
.txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1
.vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ----------------------

0R a347bus - C:\WINDOWS\system32\drivers\a347bus.sys
0R a347scsi - C:\WINDOWS\system32\drivers\a347scsi.sys
3R ati2mtag - C:\WINDOWS\system32\drivers\ati2mtag.sys
1R avgio - C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
3R avgntflt - C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
3R E100B (Intel(R) PRO Adapter Driver) - C:\WINDOWS\system32\drivers\e100b325.sys
2R hardlock - C:\WINDOWS\system32\drivers\hardlock.sys
2R Haspnt - C:\WINDOWS\system32\drivers\Haspnt.sys
3R hidusb (Microsoft HID Class-Treiber) - C:\WINDOWS\system32\drivers\hidusb.sys
1R intelppm (Intel-Prozessortreiber) - C:\WINDOWS\system32\drivers\intelppm.sys
2R MicroGuard (MicroGuard Copy Protection) - C:\WINDOWS\system32\drivers\mgnt.sys
3R mouhid (Maus-HID-Treiber) - C:\WINDOWS\system32\drivers\mouhid.sys
1R OMCI - C:\WINDOWS\system32\drivers\omci.sys
3R P16X (Creative SB Live! Series (WDM)) - C:\WINDOWS\system32\drivers\P16X.sys
2R PfModNT - C:\WINDOWS\system32\PFMODNT.SYS
0R PxHelp20 - C:\WINDOWS\system32\drivers\PxHelp20.sys
0R sptd - C:\WINDOWS\system32\drivers\sptd.sys
3R usbehci (Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller) - C:\WINDOWS\system32\drivers\usbehci.sys
3S usbprint (Microsoft USB-Druckerklasse) - C:\WINDOWS\system32\drivers\usbprint.sys
3S USBSTOR (USB-Massenspeichertreiber) - C:\WINDOWS\system32\drivers\usbstor.sys
2R WIBUKEY (WIBU-KEY Kernel Driver) - C:\WINDOWS\system32\drivers\Wibukey.sys
3S WudfPf (Windows Driver Foundation - User-mode Driver Framework Platform Driver) - C:\WINDOWS\system32\drivers\WudfPf.sys
3S WudfRd (Windows Driver Foundation - User-mode Driver Framework Reflector) - C:\WINDOWS\system32\drivers\WudfRd.sys


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

2R AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
2R AntiVirService (AntiVir PersonalEdition Classic Guard) - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
3S aspnet_state (ASP.NET-Zustandsdienst) - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
4S Ati HotKey Poller - C:\WINDOWS\system32\Ati2evxx.exe
2S ATI Smart - C:\WINDOWS\system32\ati2sgag.exe
3S clr_optimization_v2.0.50727_32 (.NET Runtime Optimization Service v2.0.50727_X86) - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
2R Creative Service for CDROM Access - C:\WINDOWS\System32\CTsvcCDA.exe
2R WMDM PMSP Service - C:\WINDOWS\System32\MsPMSPSv.exe
 
abschnitt 2:


-- Files created between 2007-02-06 and 2007-03-06 ------------------------------

2007-03-05 19:01:44 0 d-------- C:\Dokumente und Einstellungen\Maruzo\DoctorWeb<DOCTOR~1>
2007-03-05 16:31:42 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2007-03-05 16:31:42 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2007-03-05 16:31:41 0 d-------- C:\Programme\AntiVir PersonalEdition Classic<ANTIVI~1>
2007-03-05 15:47:38 0 d-------- C:\Programme\test2 com<TEST2C~1>
2007-03-05 15:15:08 0 d-------- C:\Programme\tests com<TESTSC~1>
2007-03-05 14:24:24 0 d-------- C:\Programme\HiJackThis<HIJACK~1>
2007-03-05 12:37:47 0 d-------- C:\Programme\Lavasoft
2007-02-28 19:01:51 0 d-------- C:\Programme\WinLemm
2007-02-23 23:43:23 0 d-------- C:\Programme\LucasFan Games<LUCASF~1>
2007-02-23 17:12:36 0 d-------- C:\Programme\Zak McKracken 2<ZAKMCK~1>
2007-02-23 15:41:15 0 d-------- C:\CHAMP
2007-02-20 18:34:46 196698 --a------ C:\WINDOWS\system32\GLRM.DLL
2007-02-20 18:34:44 0 d-------- C:\WINDOWS\EON
2007-02-17 15:42:35 0 d-------- C:\Programme\Electronic Arts<ELECTR~1>
2007-02-16 02:55:16 0 d-------- C:\Program Files<PROGRA~2>
2007-02-16 02:45:19 68888 --a------ C:\WINDOWS\system32\xinput1_3.dll<XINPUT~4.DLL>
2007-02-16 02:45:19 62744 --a------ C:\WINDOWS\system32\xinput1_2.dll<XINPUT~3.DLL>
2007-02-16 02:45:19 237848 --a------ C:\WINDOWS\system32\xactengine2_4.dll<XA3856~1.DLL>
2007-02-16 02:45:19 236824 --a------ C:\WINDOWS\system32\xactengine2_3.dll<XACTEN~4.DLL>
2007-02-16 02:45:19 15128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll<X3DAUD~2.DLL>
2007-02-16 02:45:19 2414360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-02-16 02:45:07 2297552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-02-16 02:21:49 0 d-------- C:\Programme\Sony
2007-02-16 02:17:51 0 d-------- C:\Programme\Smart Projects<SMARTP~1>
2007-02-14 15:00:06 0 d-------- C:\Programme\Any DWG DXF Converter<ANYDWG~1>
2007-02-13 18:46:49 442368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2007-02-13 18:27:39 5248 --a------ C:\WINDOWS\system32\drivers\a347scsi.sys
2007-02-13 18:27:39 160640 --a------ C:\WINDOWS\system32\drivers\a347bus.sys
2007-02-13 18:27:36 0 d-------- C:\Programme\Alcohol Soft<ALCOHO~1>
2007-02-06 12:17:28 0 d-------- C:\Programme\Google


-- Find3M Report ----------------------------------------------------------------

2007-03-05 16:26:15 0 d--h----- C:\Dokumente und Einstellungen\Maruzo\Anwendungsdaten\hidires
2007-03-05 15:23:15 0 d-------- C:\Programme\Mozilla Firefox<MOZILL~1>
2007-03-05 12:37:50 0 d-------- C:\Dokumente und Einstellungen\Maruzo\Anwendungsdaten\Lavasoft
2007-03-05 12:06:20 0 d-------- C:\Programme\eMule.de 0.46c v17<EMULED~1.46C>
2007-03-02 11:30:53 0 d--h----- C:\Programme\InstallShield Installation Information<INSTAL~1>
2007-02-17 15:37:42 0 d-------- C:\Dokumente und Einstellungen\Maruzo\Anwendungsdaten\Skype
2007-02-16 02:50:32 0 d---s---- C:\Dokumente und Einstellungen\Maruzo\Anwendungsdaten\Microsoft<MICROS~1>
2007-02-16 02:20:29 0 d-------- C:\Dokumente und Einstellungen\Maruzo\Anwendungsdaten\InstallShield<INSTAL~1>
2007-02-09 17:34:39 0 d-------- C:\Dokumente und Einstellungen\Maruzo\Anwendungsdaten\WinBau
2007-02-06 14:19:52 0 d-------- C:\Dokumente und Einstellungen\Maruzo\Anwendungsdaten\Graphisoft<GRAPHI~1>
2007-02-06 12:17:55 0 d-------- C:\Dokumente und Einstellungen\Maruzo\Anwendungsdaten\Google
2007-02-06 12:17:14 0 d-------- C:\Programme\Gemeinsame Dateien\InstallShield<INSTAL~1>
2007-02-05 11:38:02 0 d-------- C:\Programme\DivX
2007-02-01 05:56:06 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll<DIVX_X~2.DLL>
2007-02-01 05:56:05 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll<DIVX_X~3.DLL>
2007-02-01 05:56:05 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll<DIVX_X~1.DLL>
2007-02-01 05:56:04 639066 --a------ C:\WINDOWS\system32\DivX.dll
2007-01-31 22:27:01 524288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-01-31 00:15:10 118784 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe<DIVXCO~1.EXE>
2007-01-30 12:44:05 3159 --a------ C:\WINDOWS\mozver.dat
2007-01-30 06:03:40 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-01-30 06:03:34 118520 -----n--- C:\WINDOWS\system32\pxinsi64.exe
2007-01-30 06:03:34 116472 -----n--- C:\WINDOWS\system32\pxcpyi64.exe
2007-01-30 06:03:34 129784 -----n--- C:\WINDOWS\system32\pxafs.dll
2007-01-30 06:03:26 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-01-30 06:03:26 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-01-30 05:56:56 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-01-30 05:56:56 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-01-30 05:56:54 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2007-01-30 05:56:52 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-01-30 05:56:52 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-01-30 05:56:52 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-01-30 05:56:52 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-01-30 05:56:52 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-01-29 09:58:06 60416 -----n--- C:\WINDOWS\system32\tzchange.exe
2007-01-27 22:01:09 0 d-------- C:\Programme\ratDVD
2007-01-26 15:45:09 0 d-------- C:\Programme\World of Warcraft<WORLDO~1>
2007-01-23 23:04:41 0 d-------- C:\Dokumente und Einstellungen\Maruzo\Anwendungsdaten\Real
2007-01-23 23:00:39 0 d-------- C:\Programme\Gemeinsame Dateien<GEMEIN~1>
2007-01-23 23:00:39 0 d-------- C:\Programme\Gemeinsame Dateien\xing shared<XINGSH~1>
2007-01-23 23:00:37 0 d-------- C:\Programme\Gemeinsame Dateien\Real
2007-01-23 23:00:22 0 d-------- C:\Programme\Real
2007-01-22 19:02:02 0 d-------- C:\Programme\RegCleaner<REGCLE~1>
2007-01-21 16:24:57 0 d-------- C:\Programme\XviD
2007-01-21 14:01:52 0 d-------- C:\Programme\WIBUKEY
2007-01-21 13:58:27 0 d-------- C:\Programme\Graphisoft<GRAPHI~1>
2007-01-20 16:14:19 0 d-------- C:\Dokumente und Einstellungen\Maruzo\Anwendungsdaten\Apple Computer<APPLEC~1>
2007-01-20 15:24:42 405118 --a------ C:\WINDOWS\system32\perfh007.dat
2007-01-20 15:24:42 70580 --a------ C:\WINDOWS\system32\perfc007.dat
2007-01-20 15:21:35 0 d-------- C:\Programme\Game Cam v1.4<GAMECA~1.4>
2007-01-20 14:58:23 0 d-------- C:\Dokumente und Einstellungen\Maruzo\Anwendungsdaten\ATI
2007-01-20 14:55:25 0 d-------- C:\Programme\ATI Technologies<ATITEC~1>
2007-01-20 14:33:19 0 d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared<MICROS~1>
2007-01-16 20:34:40 0 d-------- C:\Programme\Windows Media Connect 2<WINDOW~4>
2007-01-12 09:27:42 232960 --a------ C:\WINDOWS\system32\webcheck.dll
2007-01-12 09:27:42 51712 -----n--- C:\WINDOWS\system32\msfeedsbs.dll<MSFEED~1.DLL>
2007-01-12 09:27:42 458752 -----n--- C:\WINDOWS\system32\msfeeds.dll
2007-01-12 09:27:42 6054400 --a------ C:\WINDOWS\system32\ieframe.dll
2007-01-08 19:04:54 105984 --a------ C:\WINDOWS\system32\url.dll
2007-01-08 19:04:08 102400 --a------ C:\WINDOWS\system32\occache.dll
2007-01-08 19:02:04 266752 --a------ C:\WINDOWS\system32\iertutil.dll
2007-01-08 19:02:04 44544 --a------ C:\WINDOWS\system32\iernonce.dll
2007-01-08 19:02:02 384000 --a------ C:\WINDOWS\system32\iedkcs32.dll
2007-01-08 19:02:02 383488 -----n--- C:\WINDOWS\system32\ieapfltr.dll
2007-01-08 19:02:02 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2007-01-08 19:02:02 230400 --a------ C:\WINDOWS\system32\ieaksie.dll
2007-01-08 19:02:02 153088 --a------ C:\WINDOWS\system32\ieakeng.dll
2007-01-08 19:01:14 17408 --a------ C:\WINDOWS\system32\corpol.dll
2007-01-08 19:00:48 124928 --a------ C:\WINDOWS\system32\advpack.dll
2007-01-08 18:08:14 56832 --a------ C:\WINDOWS\system32\ie4uinit.exe
2007-01-08 18:08:10 13824 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-12-20 21:05:00 520192 -----n--- C:\WINDOWS\system32\ati2sgag.exe
2006-12-19 22:49:41 135168 --a------ C:\WINDOWS\system32\shsvcs.dll
2006-12-19 19:17:03 334336 --a------ C:\WINDOWS\system32\wiaservc.dll
2006-12-17 03:50:46 263168 --a------ C:\WINDOWS\system32\ati2dvag.dll
2006-12-17 03:44:38 118784 --a------ C:\WINDOWS\system32\atipdlxx.dll
2006-12-17 03:44:27 102400 --a------ C:\WINDOWS\system32\Oemdspif.dll
2006-12-17 03:44:20 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2006-12-17 03:44:13 42496 --a------ C:\WINDOWS\system32\ati2edxx.dll
2006-12-17 03:44:03 110592 --a------ C:\WINDOWS\system32\ati2evxx.dll
2006-12-17 03:42:46 434176 --a------ C:\WINDOWS\system32\ati2evxx.exe
2006-12-17 03:42:03 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2006-12-17 03:41:46 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2006-12-17 03:35:43 2676672 --a------ C:\WINDOWS\system32\ati3duag.dll
2006-12-17 03:30:42 1289472 --a------ C:\WINDOWS\system32\ativvaxx.dll
2006-12-17 03:30:22 3107788 --a------ C:\WINDOWS\system32\ativvaxx.dat
2006-12-17 03:23:32 6684672 --a------ C:\WINDOWS\system32\atioglx1.dll
2006-12-17 03:21:02 5304320 --a------ C:\WINDOWS\system32\atioglxx.dll
2006-12-17 03:17:16 241664 --a------ C:\WINDOWS\system32\atikvmag.dll
2006-12-17 03:16:06 303104 --a------ C:\WINDOWS\system32\ATIDEMGR.dll
2006-12-17 03:16:00 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2006-12-17 03:10:56 315392 --a------ C:\WINDOWS\system32\ati2cqag.dll
2006-12-13 00:08:19 757760 -----n--- C:\WINDOWS\Unnero.exe
2006-12-13 00:08:18 155648 -----n--- C:\WINDOWS\system32\NeroCheck.exe<NEROCH~1.EXE>
2006-12-13 00:08:18 49152 -----n--- C:\WINDOWS\system32\MultiSZ.dll
2006-12-13 00:08:14 106496 -----n--- C:\WINDOWS\system32\TwnLib20.dll
2006-12-13 00:08:14 35328 -----n--- C:\WINDOWS\system32\picn20.dll
2006-12-13 00:08:14 275312 -----n--- C:\WINDOWS\system32\ImagXpr5.dll
2006-12-13 00:08:14 532480 -----n--- C:\WINDOWS\system32\imagx5.dll
2006-12-13 00:08:14 507904 -----n--- C:\WINDOWS\system32\imagr5.dll
2006-12-12 17:24:42 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll<DIVXWM~1.DLL>


-- Registry Dump ----------------------------------------------------------------


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"hldrrr"="C:\\WINDOWS\\system32\\hldrrr.exe"
"german.exe"="C:\\WINDOWS\\system32\\wintems.exe"
"drvsyskit"="C:\\Dokumente und Einstellungen\\Maruzo\\Anwendungsdaten\\hidires\\hidr.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"diagent"="C:\\Programme\\Creative\\SBLive\\Diagnostics\\diagent.exe startup"
"UpdReg"="C:\\WINDOWS\\UpdReg.EXE"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"CD Anywhere Launcher"="\"C:\\Programme\\CDAnywhere_Trial\\insdrive.exe\""
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\CLIStart.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"hldrrr"="C:\\WINDOWS\\system32\\hldrrr.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
@=""

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

SafeBoot registry key needs to be repaired. This machine cannot enter Safe Mode.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3687397c-b86a-11db-baaa-0007e948dd25}]
Shell\AutoRun\command H:\Setup.exe


-- End of ComboScan: finished at 2007-03-06 at 21:34:12 -------------------------
 
Bitte fixe folgende Dinge(anhaken und fix checked druecken:

O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Dokumente und Einstellungen\Maruzo\Anwendungsdaten\hidires\hidr.exe

Diesen Ordner bitte komplett loeschen:
C:\Dokumente und Einstellungen\Maruzo\Anwendungsdaten\hidires


SafeBoot registry key needs to be repaired. This machine cannot enter Safe Mode.
Click to expand...


Hm, leider koennen wir combofix dazu nicht nutzen. Versuche bitte die Anleitung :
http://didierstevens.wordpress.com/2007/02/19/restoring-safe-mode-with-a-reg-file/

Im Grunde einfach nur die Zip Datei herunterladen, entpacken und die reg Datei doppelklicken und zur Registrierung hinzufuegen.

Schau bitte auch, ob du die Systemwiederherstellung wieder aktivieren kannst.
 
hallo ralf,

also ich hab den ordner gelöscht und die SafeBoot-Reg installiert. Systemwiederherstellungspunkte hab ich alle gelöscht und Laufwerke wieder auf überprüfen gestellt (funktioniert). Auch Safestart funktioniert wieder !!!

Muss ich da noch was machen mit den luschen registry ablegern vom virus und wurde SafeBoot Reg überschrieben ?

Das war ja vielleicht n bösartiges Ding ! Hab noch nie sowas tiefgründig zerstörerisches erlebt...

Auf jeden Fall danke Dir und dem Team für die professionelle Hilfe und hoffe, dass ich euch wenigstens ein brauchbares Lehrstück war !

!!! THANKS !!!


:bigthumb: :bigthumb: :bigthumb: :bigthumb: :bigthumb: :bigthumb: :bigthumb: :bigthumb: :bigthumb: :bigthumb:
 
Normalerweise sollt nun wieder alles funktionieren, sofern deine AV-Programme nichts mehr finden. Die heruntergeladene reg-Datei kannst du wieder loeschen.
 
Hallo,

Falls das Problem noch nicht behoben ist:

Die hldrrr.exe ist nur ein Symptom für die Infektion "W32.Bagle".
Aber wirklich schuld ist die hidr.exe.
Solange hidr.exe nicht weg ist, fängt man sich die hldrrr.exe immer wieder ein. Für letztere haben wir bald eine neue Erkennungsregel und können die Datei entfernen.

Mittels Rootkit Revealer kann man die Datein sehen.
Vielleicht können Sie Spybot oder andere Antivirenprodukte und Windows von der CD booten, das würde helfen. :)

Mit freundlichen Grüssen
Sandra
Team Spybot
 
Status
Not open for further replies.
Back
Top