Dieses Wochenende war irgendwie krank. Nicht nur das ich infiziert war, nein auch mein PC. Während mein Arzt mir wenigstens eine Diagnose und eine Lösung (Antibiotika) anbieten konnte versagten sowohl
Avira Antivir Premium, McAfee Avert Stinger, clamwin als auch avast! virus cleaner tool. Zwar fanden diese Tools die hldrrr.exe, aber nicht die Datei die diese eigentlich erzeugte. Weder vom infizierten System aus, noch von einem PE gestarteten. Einzig Kaspersky Online Scanner hat tatsächlich beide erkannt, nämlich die hldrrr.exe und die cmdow.exe.

Letztere hatte ich vorher archiviert falls es ein Fehlalarm gewesen ist, aber nach dem Löschen dieser, der hldrrr.exe, dem (versteckten) Ordner c:\windows\system\drivers\down, dem Entfernen der dazugehörenden Registry Schlüssel war alles bereinigt. Vorsichtshalber hatte ich noch die googletoolbarnotifier.exe erledigt, da sie ein ähnliches Icon hatte wie die hldrrr.exe.

Eventuell könnte danach noch dieses Problem auftreten.

Das Schwierige ist aber, dass der Trojaner das Anzeigen versteckter Dateien verhindert. Ebenso löscht er den entsprechenden Eintrag in den Ordneroptionen:

ordneroptionen

Aus diesem Grund musste ich mir eine kleine reg Datei schreiben, die die versteckten Ordner wieder anzeigen lässt.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
„Hidden“=dword:00000001

Zum Schluss etwas zum Nachdenken. Ich habe aus Gag  nochmal die cmdow.exe mit einem frisch aufgesetzten Avira prüfen lassen:

cmdow_nothing_found
Wie zu erkennen ist kein Befund, aber die Onlineeinsendung dieser Datei bzw. der Statusbericht sagte mir plötzlich folgendes:

cmdow_known_malware

Stutzig erforschte ich meine Virusdefinition:

actual_virus_definition

Hää? Und dann nichts gefunden?

Na ja jetzt scheint alles in Ordnung und ja ja ich weiß eine Neuinstallation ist fest eingeplant 😉

Update:

Scheinbar deaktiviert der Virus auch die Systemwiederherstellung. Also besser unter Arbeitsplatz-> Rechtsklick->Eigenschaften->Systemwiederherstellung nachsehen.

______________
While writing this, Noyse listened to: Slam – Lifetimes (from „Dac – Advanced Electronics Cd 2“)

Technorati-Tags: ,,