Trojaner-Board - Virenscanner keine zulässige Win32 Anwendung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virenscanner keine zulässige Win32 Anwendung (https://www.trojaner-board.de/48968-virenscanner-keine-zulaessige-win32-anwendung.html)

Virenscanner keine zulässige Win32 Anwendung

Hallo !
Wie ich leider bemerken musste, wird mein Virenscanner nicht mehr als Win32 Anwendung erkannt, ebensowenig wie z.b. Spybot oder Hijackthis. Ich habe mich in den anderen Threads umgesehen bin aber leider auch nicht schlau daraus geworden. Ich lasse momentan einen Online Scan sowie den im anderen Thread empfohlenen Blacklight Scanner laufen.

Ich weiß aus den von mir gefundenen Ergebnisse das jemand bereits dasselbe Problem gelöst hatte (natürlich ohne den Lösungsansatz zu posten ;) )
Und sei es noch soviel Arbeit im abgesicherten Modus, das wäre mir alle Mal lieber als das System neu aufzusetzen...

Für irgendwelche Ideen wäre ich also überaus dankbar !

Da ich leider mein Hijackthis nicht mehr starten kann kann ich keine detailierteren Informationen posten. Sollte ich es mit dem eScan Log probieren sobald der andere Online Scan durchgelaufen ist ?

Ich werde weitere Ergebnisse posten sobald sie mir vorliegen.

Vielen Dank schonmal.

P.S.: Habe jetzt das blacklight log vorliegen und hänge es bei Bedarf an, wollte nur nicht den Thread unnötig in die Länge ziehen bevor jemand eine Idee gepostet hat.

Hi,

poste das was Du hast...
Das hört sich allerdings nicht so gut an (Beagle/srosa...)
Läuft Combofix (s. Signatur)?

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Danke für die schnelle Antwort ich setze mich sofort dran. Wenn ich etwas im abges. Modus ausführen muss bitte dazu sagen.

EDIT: Combofix ist keine zulässige... etc. :(

Hier das Blacklight Log:

02/01/08 13:09:43 [Info]: BlackLight Engine 1.0.67 initialized
02/01/08 13:09:43 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/01/08 13:09:43 [Note]: 7019 4
02/01/08 13:09:43 [Note]: 7005 0
02/01/08 13:09:54 [Note]: 7006 0
02/01/08 13:09:54 [Note]: 7011 1320
02/01/08 13:10:06 [Note]: 7026 0
02/01/08 13:10:14 [Note]: 7026 0
02/01/08 13:10:14 [Note]: 7024 3
02/01/08 13:10:14 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hldrrr.exe
02/01/08 13:10:14 [Note]: 7024 3
02/01/08 13:10:14 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
02/01/08 13:10:28 [Note]: FSRAW library version 1.7.1024
02/01/08 13:18:39 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt
02/01/08 13:18:39 [Note]: 10002 3
02/01/08 13:18:39 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml
02/01/08 13:18:39 [Note]: 10002 3
02/01/08 13:18:39 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png
02/01/08 13:18:39 [Note]: 10002 3
02/01/08 13:18:39 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png
02/01/08 13:18:39 [Note]: 10002 3
02/01/08 13:18:39 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt
02/01/08 13:18:39 [Note]: 10002 3
02/01/08 13:18:39 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg
02/01/08 13:18:39 [Note]: 10002 3
02/01/08 13:18:39 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg
02/01/08 13:18:39 [Note]: 10002 3
02/01/08 13:18:39 [Note]: 10002 2
02/01/08 13:18:39 [Note]: 10002 2
02/01/08 13:28:24 [Info]: Hidden file: c:\WINDOWS\IME\SHARED\imepaden.hlp
02/01/08 13:28:24 [Note]: 10002 3
02/01/08 13:28:24 [Info]: Hidden file: c:\WINDOWS\IME\SHARED\imepadsm.dll
02/01/08 13:28:24 [Note]: 10002 3
02/01/08 13:28:24 [Info]: Hidden file: c:\WINDOWS\IME\SHARED\imepadsv.exe
02/01/08 13:28:24 [Note]: 10002 3
02/01/08 13:28:24 [Info]: Hidden file: c:\WINDOWS\IME\SHARED\imlang.dll
02/01/08 13:28:24 [Note]: 10002 3
02/01/08 13:28:25 [Info]: Hidden file: c:\WINDOWS\IME\SHARED\RES\PADRS404.DLL
02/01/08 13:28:25 [Note]: 10002 3
02/01/08 13:28:25 [Info]: Hidden file: c:\WINDOWS\IME\SHARED\RES\padrs411.dll
02/01/08 13:28:25 [Note]: 10002 3
02/01/08 13:28:25 [Info]: Hidden file: c:\WINDOWS\IME\SHARED\RES\padrs412.dll
02/01/08 13:28:25 [Note]: 10002 3
02/01/08 13:28:25 [Info]: Hidden file: c:\WINDOWS\IME\SHARED\RES\padrs804.dll
02/01/08 13:28:25 [Note]: 10002 3
02/01/08 13:28:25 [Note]: 10002 2
02/01/08 13:28:25 [Note]: 10002 2
02/01/08 13:28:45 [Note]: 10002 3
02/01/08 13:28:45 [Note]: 10002 3
02/01/08 13:28:45 [Note]: 10002 3
02/01/08 13:28:45 [Note]: 10002 3
02/01/08 13:28:45 [Note]: 10002 3
02/01/08 13:28:45 [Note]: 10002 3
02/01/08 13:28:45 [Note]: 10002 3
02/01/08 13:28:45 [Note]: 10002 3
02/01/08 13:28:45 [Note]: 10002 2
02/01/08 13:28:45 [Note]: 10002 2
02/01/08 13:29:54 [Info]: Hidden file: C:\WINDOWS\system32\wintems.exe
02/01/08 13:29:54 [Note]: 10002 2
02/01/08 13:30:28 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hldrrr.exe
02/01/08 13:30:28 [Note]: 10002 2
02/01/08 13:30:28 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\srosa.sys
02/01/08 13:30:28 [Note]: 10002 2
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\115421.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\140875.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\64812.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\101250.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\102046.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\102515.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\102859.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\104531.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\105468.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\105687.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\106703.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\107171.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\107328.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\107953.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\108437.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\108734.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\109703.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\110421.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\110859.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\110937.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\112593.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\113687.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\114781.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\115296.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:33 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\141062.exe
02/01/08 13:30:33 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\141109.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\141796.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\142000.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\142468.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\142703.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\142921.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\143046.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\143671.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\144781.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\146375.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\146421.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\148625.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\150203.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\154437.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\155218.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\156281.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\158140.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\158312.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\159890.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\160093.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\169812.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\170796.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\170953.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\171750.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\172156.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\173843.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\175625.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\175906.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\175937.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\177859.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\179421.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\181640.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\199703.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\211265.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\215078.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\64453.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\65828.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\67000.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\68359.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\71968.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\74484.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\74734.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\76046.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\76062.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\76718.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\77625.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\79359.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\79984.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\80328.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\81015.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\81734.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\82359.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\84421.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\84906.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\86218.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\86890.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\88484.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\88906.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\90640.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\92265.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\98546.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\99031.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\116765.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\117671.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\118109.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\119468.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\120734.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\120828.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\123390.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\123578.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\123796.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\125203.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\125953.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\127031.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\127453.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\128406.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\131109.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\131750.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\134218.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\134390.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\134609.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\134984.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\135171.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\down\139546.exe
02/01/08 13:30:34 [Note]: 10002 3
02/01/08 13:30:34 [Note]: 10002 2
02/01/08 13:30:35 [Note]: 10002 2
02/01/08 13:30:45 [Note]: 10002 3
02/01/08 13:30:45 [Note]: 10002 3
02/01/08 13:30:45 [Note]: 10002 3
02/01/08 13:30:45 [Note]: 10002 3
02/01/08 13:30:45 [Note]: 10002 3
02/01/08 13:30:45 [Note]: 10002 3
02/01/08 13:30:45 [Note]: 10002 3
02/01/08 13:30:45 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 3
02/01/08 13:30:46 [Note]: 10002 2
02/01/08 13:30:46 [Note]: 10002 2
02/01/08 13:35:01 [Note]: 7007 0

Hi,

beagle...
Kannst Du Icesword starten?
IceSword

Sonst gehen wir "per Hand" vor...

Moment: Mal sehen was man mit blacklight anstellen kann....
so, gehe mit Blacklight wie folgt vor:

Starte blacklight nochmal und lasse folgende Dateien, die es anzeigt umbenennen;
Hilfe: Nutzung des BlackLight-Programms zur Aufdeckung von Rootkit-Dateien und -Prozessen
Dateien:
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\SYSTEM32\DRIVERS\srosa.sys
Die hier gehören wohl dazu:
c:\WINDOWS\SYSTEM32\DRIVERS\down\ <- alle Dateien in dem Verzeichnis

scan --> next none auf rename ändern

Dann lass Blacklight den Rechner neu starten.

chris

Leider nicht, das Tool scheint auch geblockt zu werden. Ich habe ein Symantec Removal Tool gefunden was aber momentan noch läuft, kann also nichts über seine Funktionalität aussagen..

P.S.: Danke, deinen Edit grad erst gesehen. Ich lasse Blacklight gerade erneut durchlaufen und poste das Ergebnis deiner Anleitung in Kürze. Vielen Dank für deine Zeit ;)

Hi,

das ist ein ziemlich übler Rootkit, eigentlich wäre neu aufsetzten das Richtige...
Wer weis was schon alles auf Deinem Rechner von Remoteseite aus angestellt wurde...

chris

Ich weiß, ich hatte schonmal das Vergnügen mit sowas. Nur habe ich momentan meine OS-CD in meiner noch nicht komplett ausgeräumten Studi-Bude 4 Stunden fahrt von hier aus. Deswegen will ich erstmal alles probieren ihn wenigstens wieder auf den Stand zu bringen das die Programme wieder laufen damit ich die Backups sicher und virenfrei abspeichern kann.

Wie wäre es, wenn du dir erstmal eine Knoppix CD holst ( downloaden oder in einer LINUX Zeitschrift) damit kannste dann deine Arbeiten erledigen, bis du die Windows CD zum Aufsetzen hast.

Kam mir auch schon in den Sinn, nur muss ich leider noch mit einigen Programmen arbeiten (PS, Illustrator etc.) und habe momentan keine Möglichkeit direkt an meine Cd zu kommen ;(

Ich probiere erstmal alles ihn wieder "zum Laufen" zu bekommen bevor ich ihm den Gnadenstoß setze...

Das ein kompromittiertes System so schnell wie möglich neu aufgesetzt werden muss ist mir natürlich klar. Trotzdem bin ich für jeden Lösungsansatz dankbar!

Hi,

und was tut sich?
sonst versuchen wir per Hand vorzugehen...

chris

Edit2: Leider keine Veränderung. Programme werden noch immer geblockt.

Blacklight scannt noch.. man kann ja leider nicht bestimmte Ordner angeben die er durchsuchen soll. Dürfte aber gleich fertig sein, das Windows Verzeichnis ist gleich geschafft.

Ein nebenbei laufender Scan hat noch dies ergeben falls es irgendwie behilflich sein sollte:

C:\WINDOWS\SYSTEM32\mdelk.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of

Sobald ich den Rechner nach der Blacklight Methode neustarte editiere ich diesen Eintrag wieder.

Reboote jetzt.

Versuche mal Combofix herunterladen, speicher es aber nicht als combofix.exe sondern als combo-fix.exe ab. Dann sollte die Datei ausführbar sein.

Bagle ist allerdings eine wirklich bösartige Infektion, jegliche Bereinigung die jetzt hier durchgeführt wird, sollte nur als Zwischenlösung gelten bis du neuaufsetzen kannst.

lg myrtille

Hallo Myrtille, mehr sollte das sowieso nicht sein, nur leider brauche ich den Rechner momentan dringend. Ich habe es mit combo-fix probiert, den Trick kannte er anscheinend schon: cfix.exe hat dann funktioniert. Nur leider weiß mein Rechner nichts mit den .com Dateien anzufangen und kann die nircmd.com nicht öffnen... was zu der Fehlermeldung führt kmd.exe konnte nicht gefunden werden. Denke das hängt zusammen.

Hi,

gute Idee, versuche Combofix umzubenennen z.B. auf test.com...
Combofix macht normalerweise kurzen prozess damit...
Falls es nicht geht, wird es jetzt etwas komplex werden:

Hoffe wir kommen ihr "händisch" bei:

Abgesicherter Modus (F8 beim Booten);
zuerst deaktiviere den Dienst:

klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!
Suche dann sowas wie Megadrv3, prüfe ob die Datei (steht bei Eigenschaften)
die srosa.sys ist... Dann stoppen und deaktivieren:

"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert" für

srosa (Megadrv3)

Dienst jetzt löschen lassen:
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K.

sc delete srosa

Gehe in die Registry
Start - Ausführen - regedit

oben - Suchen - gib ein: srosa , pci32 , wintems.exe, hldrrr.exe - lösche alles, was du findest (suche auch nach dem Pfad "c:\WINDOWS\SYSTEM32\DRIVERS\down\")

HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
etc.

Falls das Löschen wegen fehlender Berechtigung nicht geht, versuche diese zu übernehmen:
Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

------------------------------------------------------------------

* 1.Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.

* Oder unter Start/Programme/Zubehör/Editor

* 2. kopiere diesen Code rein:

Zitat:

Zitat:

@ECHO OFF
attrib -s -r -h C:\WINDOWS\system32\drivers\hldrrr.exe
attrib -s -r -h C:\WINDOWS\system32\wintems.exe
attrib -s -r -h C:\WINDOWS\system32\drivers\srosa.sys
attrib -s -r -h C:\WINDOWS\SYSTEM32\mdelk.exe
del C:\WINDOWS\system32\drivers\hldrrr.exe
del C:\WINDOWS\system32\wintems.exe
del C:\WINDOWS\system32\drivers\srosa.sys
del C:\WINDOWS\SYSTEM32\mdelk.exe
rd /s /q C:\WINDOWS\exefld
rd /s /q C:\WINDOWS\system32\drivers\down

3. Speichere die Datei als hauwech.bat auf Desktop - bitte "Alle Dateien" angeben, nicht als txt-Datei abspeichern !!!
* 4. PC im abgesicherter Modus starten.
* 5. Doppel klick auf diese Datei hauwech.bat

Und wenn wir schon beim Hauen sind, noch einen auf die Mütze:

UnHackMe
UnHackMe - Rootkits finden

löschen:
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\SYSTEM32\mdelk.exe
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down

Und nun Gott mit Dir und möge Dir der Pinguin helfen (ist ein insider ;o)...

chris

Kurze Anmerkung:

Da nur Windows-Systemordner im Fokus sind wäre mMn die Wiederherstellungskonsole das Werkzeug der Wahl gewesen.

Marc

Hi ich habe gerade ( noch nicht im abges. Modus ) die Services nach etwas verdächtigem durchsucht. Es war aber rein garnichts zu finden ( Weder srosa, noch Megadrv o.ä.) auch alle anderen Services ohne oder mit mir nicht bekannter Beschreibung waren nicht mit dem Übeltäter verbunden. Sollte ich jetzt einfach entsprechend deiner Beschreibung weiter unten fortfahren?

Das Problem mit combofix ist ja, das mein Rechner scheinbar nicht mehr mit den .com Dateien umzugehen weiß die Combofix wahrscheinlich temporär entpackt und benötigt. :headbang:

Hi,

auf test.exe umbenennen (Combofix)...
Blacklight hat die Dateien angezeigt, ich wette sie sind da (oder hat Blacklight es tatsächlich geschafft?) Das ist seltsam...
Probiere es auf jeden Fall im abgesicherten Modus...
Falls Avenger oder Killbox laufen sollte, kann ich Dir dafür ebenfalls einen "Blindflug" zusammenstellen...

Avenger:
avenger.zip - The Avenger

Killbox:
Killbox - Pocket KillBox
oder
WinTotal - Software - KillBox

chris

Avenger-Script (abgesicherter Modus):
Avenger
avenger.zip - The Avenger
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:

Folders to delete:
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down

Files to delete:
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\SYSTEM32\mdelk.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Für den Fall, dass meine Anmerkung überlesen wurde:

Hier ist die Wiederherstellungskonsole das Werkzeug der Wahl. Alle Versuche im abgesicherten Modus sind unkontrollierter Blindflug.
Konsole starten und die Funde löschen. Dauer 2 min. Wenn es so nicht funktioniert, funktioniert es mit den anderen Tools erst recht nicht.

Marc

Das Problem bei Combofix ist das die Combofix.exe selber startet, dann aber im Prozess des entpackens die Datein nircmd.com benötigt die der Rechner offenbar nicht öffnen kann. Er entpackt das Ganz in einen kryptisch benannten Ordner nach c: sobald ich die nircmd.com in .exe umbenne startet sie aber ich weiß weiter leider auch nichts damit anzufangen bzw. welche exe ich im Combofix Ordner nun öffnen sollte.

Edit: @Marc -> Die Konsole habe ich wegen einer Warnung das sie durch Viren befallen werden kann irgendwann mal deaktiviert. Ich glaube also nicht das ich Wiederherstellungspunkte habe.

Zitat:

Zitat von trioptimum (Beitrag 319601)

Die Konsole habe ich wegen einer Warnung das sie durch Viren befallen werden kann irgendwann mal deaktiviert.

Wiederherstellungskonsole != Systemwiederherstellung

Lies Dir die verlinkte Seite durch.

Marc

Ah Entschuldige Marc ! Habe sogar schonmal damit gearbeitet ist nur Ewigkeiten her. Dafür bräuchte ich dann aber eine Windows-CD um die Konsole zu starten oder ?

@Chris: Beim Versuch in den abges. Modus zu kommen, kommt ein kurzer Bluescreen und der Rechner startet wieder im Normalmodus.. Scheinbar hat aber UnHackme zumindest die srosa Datei gelöscht und zeigt nur noch den Hldrrr.exe Befall an.
Edit: Korrigiere hat sich scheinbar nur vertan die Wintems Datei ist noch da. Vielleicht habe ich auch etwas falsch gemacht und nicht beide zum löschen beim reboot eingetragen ?

Hi,

Abgesicherter Modus wiederherstellen:
Downloade SafeMode Repair.zip
http://www.hijackthis-forum.de/attac...2&d=1187631899
entpacke es auf Deinen Desktop, mach einen Doppelklick auf die neu entstandene RegDatei, um sie laufen zu lassen
Klicke auf 'ok' > starte deinen Rechner in den abgesicherten Modus auf.

Habe mich eh gewundert das Du noch in den abgesicherten Modus reingekommen bist...

Es besteht die akute Gefahr, das Dein System immer weiter zerlegt wird, vielleicht ist es besser die XP-CD zu besorgen (oder Knopix) und dann weiter zu machen (wie von Marc empfohlen)...

Chris

Ps.: Fahre jetzt nach hause...
Oh, und noch was, combofix ist ein selbstextrahierende EXE, d. h. man müsste sie mit ZIP öffnen und auspacken können...

Zitat:

Zitat von trioptimum (Beitrag 319603)

Habe sogar schonmal damit gearbeitet ist nur Ewigkeiten her. Dafür bräuchte ich dann aber eine Windows-CD um die Konsole zu starten oder ?

Falls Du sie wirklich nicht installiert haben solltest, wirst Du ohne Windows-CD nicht weiter kommen :rolleyes:

Ich bin mir nicht sicher, welche Einschränkung die Testversion von Bluecon hat - irgendwas fieses war's. Ansonsten wäre es durchaus einen Versuch wert.

Marc

P.S.: im schlimmesten Fall eine Linux Live CD herunterladen, Augen zu und die Dateien auf der Windowspartition löschen. Danach Windows booten und den Rest bereinigen.

Ok der abgesicherte Modus geht wieder. Vielen Dank ! Sollte ich einen der Lösungswege weiter unten ausprobieren jetzt wo ich wieder Zugriff habe ? Avenger z.b. konnte ich leider nicht verwenden als ich so gebootet hatte.

Die Wiederherstellungskonsole ist auch aufgeführt im Bootmenü oder ? Habe gerade dummerweise nicht darauf geachtet.

Zitat:

Zitat von trioptimum (Beitrag 319608)

Die Wiederherstellungskonsole ist auch aufgeführt im Bootmenü oder ?

Versuche es mit der Wiederherstellungskonsole. Die Chancen sind hier definitiv am größten.

Marc

Ok d.h. ich schreibe z.b.

cd C:\WINDOWS\system32\drivers
del hldrrr.exe

und für die ordner ?

deltree ? oder auch einfach
cd C:\WINDOWS\system32\
del down

:) Muss mich da erstmal wieder reindenken

Zitat:

Zitat von trioptimum (Beitrag 319611)

deltree

Nix deltree! Hier die Liste der verfügbaren Befehle:

Code:

   attrib    del        fixboot   more     set

   batch     delete     fixmbr    mkdir    systemroot

   bootcfg   dir        format    more     type

   cd        disable    help      net           

   chdir     diskpart   listsvc   rd            

   chkdsk    enable     logon     ren           

   cls       exit       map       rename  

   copy      expand     md        rmdir

Also eher

Code:

del /F /S /Q C:\WINDOWS\system32\drivers\hldrrr.exe

del /F /S /Q C:\WINDOWS\system32\wintems.exe

del /F /S /Q C:\WINDOWS\system32\drivers\srosa.sys

del /F /S /Q C:\WINDOWS\SYSTEM32\mdelk.exe

rmdir /S /Q C:\WINDOWS\exefld

rmdir /S /Q C:\WINDOWS\system32\drivers\down

Falls es Probleme beim Löschen der Dateien gibt vorher noch folgendes:

Code:

attrib -s -r -h C:\WINDOWS\system32\drivers\hldrrr.exe

attrib -s -r -h C:\WINDOWS\system32\wintems.exe

attrib -s -r -h C:\WINDOWS\system32\drivers\srosa.sys

attrib -s -r -h C:\WINDOWS\SYSTEM32\mdelk.exe

Marc

So nach einigen Versuchen musste ich leider feststellen das ich nur einen bluescreen zu sehen bekomme bei dem Versuch die Wiederherstellungskonsole zu starten.

Denke ich werde wohl oder übel schnellstmöglich den Rechner neu aufsetzen müssen. Falls noch jemand eine Idee hat wäre ich überaus dankbar. Ansonsten vielen Dank für die bisherigen Posts !

Zitat:

Zitat von trioptimum (Beitrag 319632)

Denke ich werde wohl oder übel schnellstmöglich den Rechner neu aufsetzen müssen.

Das ist sicher das Sinnvollste.

Marc

Was du an Daten sichern kannst -sofern notw.- solltest du sichern. Das Problem bei einem derart zerschossenen System ist, dass nach dem Einsatz von Reinigungstools u.U. gar nichts mehr geht.

Was ist mit Marc's Vorschlag einer Live-CD? (Ich werfe noch mal den ERD Commander in die Runde) Icesword funktioniert nicht, auch nicht nach Umbenennung? Wie siehst aus mit gmer?

Oh Icesword geht tatsächlich nach Umbenennen. Ich weiß jedoch nicht genau wie ich damit gegen mein Problem vorgehen soll ? Wenn mir da noch jemand einen eventuellen Weg zeigen könnte wäre das sehr nett !

@Ordell wenn du mit Live CD Knoppix meinst, wäre das auch eine weitere Lösung die ich noch nicht probiert habe. Ich befürchte nur bis ich mich da zurechtfinde als Beginner...

Gmer funktioniert ebenfalls, überfordert mich der Leistungsumfang etwas ;) Sitze eher staunend anstatt produktiv davor.

Ok, probieren wir es mit gmer, aber KEINE Garantie, dass das hinhaut. Kann gut sein, dass anschließend überhaupt nichts mehr mit deinem Rechner los ist. Dies nur als - hoffentlich deutlicher - Hinweis:

Drucke dir die Liste der Dateien/Ordner aus, die zu löschen sind

Zitat:

C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\SYSTEM32\mdelk.exe
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down

Starte gmer, in der oberen Reiterleiste findest du "Rootkit" und ">>>". Klicke auf ">>>" und die Leiste erweitert sich. Suche den Reiter "cmd" und klicke auf Run safe. Dein Rechner startet *hoffentlich* neu.

Nimm "Processes", am rechten Rand klicke auf "files". Ein Fenster wie der dir bekannte Explorer geht auf. Suche nach den Datei/Ordnerpfaden und lösche sie. Klicke danach auf "Restart".

Nachtrag: Ich hoffe, du sitzt noch nicht vorm schwarzen Bildschirm. Register Rootkit -> Scan (warten...) -> Save (kann ein bissl dauern) -> log auf dem Desktop speichern und abhängig von seiner Größe hier im Board anhängen oder nach dem Restart zB bei file-upload.net hochladen und den link hier reinsetzen.

Vielen Dank ! Ich werde vorher alles für eine eventuelle Neuinstallation vorbereiten und abspeichern damit im Fall der Fälle nichts verloren geht. Was die Situation besonders erschwert ist, dass ich einen RAID Festplattenverbund habe und nicht weiß ob der Controller Hard oder Software gesteuert ist. Ich muss mich vorher also nochmal mit dem Hersteller in Verbindung setzen und den Treiber gegebenenfalls auf Diskette ziehen, sonst stehe ich bei der Xp Installation dumm da.

Sollte ich positive Ergebnisse mit Gmer erzielen werde ich mich baldigst wieder melden. Ich freue mich weiterhin über Anleitungen für Icesword sollte ich keinen Erfolg haben.

Vielen Dank für Eure Zeit schonmal ! Ich hoffe man sieht sich bald wieder ;)

Zitat:

Zitat von trioptimum (Beitrag 319652)

Ich freue mich weiterhin über Anleitungen für Icesword sollte ich keinen Erfolg haben.

C-Ko: EinfÃ¼hrung in IceSword

Bei Fragen einfach fragen, good luck!

Du kannst auch zu Backupzwecken dies probieren.
Funktioniert allerdings nicht immer.

Zitat:

Zitat von ordell1234 (Beitrag 319651)

Nachtrag: Ich hoffe, du sitzt noch nicht vorm schwarzen Bildschirm. Register Rootkit -> Scan (warten...) -> Save (kann ein bissl dauern) -> log auf dem Desktop speichern und abhängig von seiner Größe hier im Board anhängen oder nach dem Restart zB bei file-upload.net hochladen und den link hier reinsetzen.

Keine Angst ich brauch noch ein bißchen mit dem Backup ;)

Das Log wird wirklich exorbitant lang.. sollte ich mich evtl auf bestimmte Bereiche beschränken ? (System / Sections / IAT/EAT / Devices / Modules / Processes / Threads / Libraries / Services / Registry / Files)

Zitat:

Zitat von BataAlexander (Beitrag 319662)

Du kannst auch zu Backupzwecken dies probieren.

Direktlinks zu ausführbaren Dateien sind doch etwas uncool.

Bezüglich Backup/Imaging wäre mir jetzt noch das hier eingefallen (für spätzer, wenn das System sauber aufgesetzt wurde):
Drive Snapshot - Disk Image Backup for Windows NT/2000/XP/2003/X64

Marc

Nö nö, pack ruhig alles rein.

@Bata: Ja danke das Tool hatte ich heute schonmal angemacht allerdings nicht komplett durchlaufen lassen. Mal sehen wieviel ich noch sichern muss, vielleicht wird er ja in der Zwischenzeit fertig ;)

Sorry das ich auf meinen eigenen Post antworte aber scheinbar bin ich spontan erblindet oder einfach zu blöd den Edit Button zu sehen den ich heute schon ein paar Mal benutzt habe :confused:

Wie auch immer. Ich würde gerne die Methode mit gmer ausprobieren jedoch stellt sich mir das Problem das ich scheinbar meine Maus im abgesicherten Modus nicht verwenden kann! Ich hab versucht mit ALT das Programm zu steuern, was aber fehlschlug.. vielleicht hängt es mit dem Wiederherstellen des abgesicherten Modus zusammen, denn der lief ja vor Kurzem garnicht erst an?

Da auch noch scheinbar eins meiner Laufwerke kaputt ist und das Bios mein zweites nicht erkennt, werde ich Morgen das Ganze mal umklemmen um wenigstens schonmal die Möglichkeit des von CD bootens zu haben..

Wenn nicht mal die Maus funktioniert, kannst du gmer knicken. Ich denke mal, eine LiveCD ist das Mittel der Wahl, k. A. was passiert, aus einem laufenden System den Treiber zu killen.

Ganz einfach:
1. ERD-Commander ist ein MiniWindows, die Oberfläche kennst du. Datei laden, Ausführen, ISO brennen, Neustart von der CD, der Rest erklärt sich von selbst. Achte darauf, das ISO auch als Image zu brennen.

WinTotal - Tipparchiv: Wie man ISO-Dateien brennt

2. Knoppix: Ähnlich einfach; ich bin ne absolute LinuxNull, also bekommst du das auch hin. Die Hardwareerkennung von Knoppix ist ok, zumindest deine Platten sollten erkannt werden. Um Dateien zu löschen, mußt du die Win-Partition/Festplatte schreibbar machen. Dazu Rechtsklick mit der Maus auf die entsprechende Partition auf dem Desktop (hda1 vermutlich), im Kontextmenü erscheint sowas wie Lese-/Schreibberechtigungen setzen. (in diesem Moment verlassen Linuxkenner schreiend den Raum :D) Es kommt die Rückfrage, ob du das wirklich willst. Ja, du willst. Dann suche die Dateien und lösche sie.

Ich denke, das ist sicherer als mit den tools zu frickeln.

Hi ! Wollte mich nur schnell melden. Habe den Rechner neu aufgesetzt und hoffe das mir nicht in den nächsten Tagen siedend heiß einfällt was ich vergessen habe ;) Treiber für meinen RAID und das OS konnte ich Gottseidank noch auftreiben.

Danke nochmal für alle Hilfestellungen !

Gute Entscheidung! :daumenhoc