Das Noyse.net Blog

Gestern war mal wieder Viren Tag. Komischerweise maulte Avira und ich sagte “jau wech damit”. Trotzdem konnte ich aus dem Arbeitsplatz heraus, keine Datenträger mehr öffnen.

Jeder Klick wurde mit (sinngemäß) “resycled\boot.com wurde nicht gefunden” quittiert. Über die Adressliste konnte ich auf die Laufwerke zugreifen. Was war passiert?

Der Virus oder was auch immer legt auf jedem Datenträger/Wechseldatenträger eine autorun.inf an. Diese verweist auf ein verstecktes Verzeichnis namens resycled. Dort soll sich dann die Datei boot.com befinden (tat sie nicht – Avira war fleissig).

Dieses Problem habe ich folgendermaßen gelöst:

1. Falls noch nicht erledigt in den Ordneroptionen die Anzeige versteckter Dateien aktivieren.
2. Per Adressleiste mit c:\ auf die Datenträger gehen (falls nicht vorhanden, dann Start –> Ausführen –> c:\ [bzw. alle anderen Partitionsnamen/Wechseldatenträger/Externe Laufwerke außer CD-ROM]
3. Im root (Wurzelverzeichnis) des Laufwerks die autorun.inf und den Ordner resycled löschen.
4. Das ganze bei allen Laufwerken (ausser CD-ROM) wiederholen eventuell auch mal bei den Netzlaufwerken nachsehen (falls vorhanden)
5. mit Start –> Ausführen –> regedit den Registrierungseditor öffnen (Achtung wie immer: pfuschen in der Registry auf eigene Gefahr)
6. Dort im Baum oben auf Arbeitsplatz klicken. Dann mit STRG+F die Suche öffnen und als Suchbegriff resycled eingeben.

1. Ihr löscht dann erstmal nur die Werte der Schlüssel die irgendwas mit resycled\boot.com [laufwerksbuchstabe] zu tun haben. ich persönlich habe den kompletten Schlüssel in dem die Einträge drin waren unter MountPoints2 gelöscht. Das müsst ihr dann aber selber wissen:

 

Dieses Wochenende war irgendwie krank. Nicht nur das ich infiziert war, nein auch mein PC. Während mein Arzt mir wenigstens eine Diagnose und eine Lösung (Antibiotika) anbieten konnte versagten sowohl
Avira Antivir Premium, McAfee Avert Stinger, clamwin als auch avast! virus cleaner tool. Zwar fanden diese Tools die hldrrr.exe, aber nicht die Datei die diese eigentlich erzeugte. Weder vom infizierten System aus, noch von einem PE gestarteten. Einzig Kaspersky Online Scanner hat tatsächlich beide erkannt, nämlich die hldrrr.exe und die cmdow.exe.

Letztere hatte ich vorher archiviert falls es ein Fehlalarm gewesen ist, aber nach dem Löschen dieser, der hldrrr.exe, dem (versteckten) Ordner c:\windows\system\drivers\down, dem Entfernen der dazugehörenden Registry Schlüssel war alles bereinigt. Vorsichtshalber hatte ich noch die googletoolbarnotifier.exe erledigt, da sie ein ähnliches Icon hatte wie die hldrrr.exe.

Eventuell könnte danach noch dieses Problem auftreten.

Das Schwierige ist aber, dass der Trojaner das Anzeigen versteckter Dateien verhindert. Ebenso löscht er den entsprechenden Eintrag in den Ordneroptionen:

Aus diesem Grund musste ich mir eine kleine reg Datei schreiben, die die versteckten Ordner wieder anzeigen lässt.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
„Hidden“=dword:00000001

Zum Schluss etwas zum Nachdenken. Ich habe aus Gag  nochmal die cmdow.exe mit einem frisch aufgesetzten Avira prüfen lassen:

Wie zu erkennen ist kein Befund, aber die Onlineeinsendung dieser Datei bzw. der Statusbericht sagte mir plötzlich folgendes:

Stutzig erforschte ich meine Virusdefinition:

Hää? Und dann nichts gefunden?

Na ja jetzt scheint alles in Ordnung und ja ja ich weiß eine Neuinstallation ist fest eingeplant 😉

Update:

Scheinbar deaktiviert der Virus auch die Systemwiederherstellung. Also besser unter Arbeitsplatz-> Rechtsklick->Eigenschaften->Systemwiederherstellung nachsehen.

______________
While writing this, Noyse listened to: Slam – Lifetimes (from „Dac – Advanced Electronics Cd 2“)