Bitdefender macht mir Probleme

#1 Mein Bitdefender hat heute beim Update sich ausgeschaltet.
Ich kann Bitdefender nicht nicht mehr Reparieren,Löschen oder installieren.
Es kommt immer eine Fehlermeldung:
"Es liegt ein dieses Windows Installer Paket betreffendes Problem.Ein für den Abschluß der Installation erforderliches Programm konnte nicht ausgeführt werden."
Schöne Schei....
Kann jemand helfen wie ich Bitdefender wieder zum laufen bring?
Ich kann nicht mal Antvir oder ein anderes Programm installieren, es kommt immer eine Fehlermeldung.
Danke.
mfg
Peter

#################################################
Nachtrag:

Folgendes neue Problem.
Ich kann keine Antivirussoftware mehr installieren.
Alle *.exe verweigert er beim schreiben.
Hört sich nach Virus an.
http://www.sophos.de/security/analyses/trojircbotfp.html
Habt ihr eine Idee wie ich das Teil runterbekomme ?
Habe es über Netzwerk versucht, komme aber an die verz. Windows und Programme nicht ran.
Abgesicherter Modus läuft auch nicht, stürtzt beim hochfahren ab.
( Das gleiche hatte ich vor einen Monat, da habe ich das Windowsxp neuinstalliert)
Es muß doch eine andere Lösung geben als jedes mal das Windowsxp neu zu installieren.
Danke für eure Hilfe.
mfg

Logfile of HijackThis v1.99.1
Scan saved at 09:31:50, on 11.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\ctfmon.exe
\alti\zum Runterladen\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
__________
http://www.gez.kilu.de/

#2 => C:\WINDOWS\system32\hldrrr.exe
Du kannst vorab mal mit dem Removal-Tool von Symantec dein Glück versuchen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 DAs ist eine Bagle Variante. Weisst du, wo und wie du dir diesen Wurm eingefangen hast.
__________
MfG Ralf
SEO-Spam Hunter

#4

Zitat

DAs ist eine Bagle Variante. Weisst du, wo und wie du dir diesen Wurm eingefangen hast.

Beim serfen.
Bitdefender hat sich geupdatet.
Dann gab es ein Fehler und die *.exe von Bitdfender waren verschwunden.
Seid dem lassen sich keinen Antivisrussoftware mehr installieren.
Er blockiert alles was mit *.exe zu tun hat. - Fehler beim schreiben

Removal-Tool - der link ist tod, aber bist du dir sicher das das Tool richtig ist
Es entfernt doch nur Norton Symantic Reste.
#in wenigen Schritten entfernt das Norton Removal Tool ohne Rückstände die Norton-Programme der Jahrgänge 2003, 2004, 2005, 2006 und 2007.#
__________
http://www.gez.kilu.de/

#5 Schau, ob du im abgesicherten Modus diese Datei geloescht bekommst:

C:\WINDOWS\system32\hldrrr.exe
sowie den Ordner unter dokumente und Einstellungen\[dein Username]\anwendungsdaten\hidires\

Der Ordner ist versteck. Zum Sichtbarmachen mache das: http://freenet-homepage.de/rene-gad/invisible.html

Danach sollte zumindest der Virenscanner wieder funktionieren.

Danach reiche diese Informationen nach: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#6

Zitat

Schau, ob du im abgesicherten Modus diese Datei geloescht bekommst:

Hatte ich ja geschrieben, beim starten im abgesicherten Modus stürtzt er ab.
Genau den gleichen Virus mit den selben Effekten hatte ich vor einen Monat mit einen anderen Rechner.Da habe ich Zähneknirschend Formatiert und neuinstalliert, es muß doch eine andere Lösung geben.
Ich versuche jetzt das :
[url] http://board.protecus.de/t23188.htm[/url]

Das komische ist hldrrr.exe wird geladen, ist aber unter C:\WINDOWS\system32\hldrrr.exe nicht zu finden, trotz sichtbar machen
Die suchen Funktion funktioniert auch nicht mehr.
Der Virus hat es in sich.

mfg
Peter
__________
http://www.gez.kilu.de/

#7 Das ist ein Rootkit. Nutze mal Blacklight um das Problem sichtbar zu machen. Allerdings bitte nur die hldrrr.exe und die Dateien aus dem Ordner hidires\ umbenennen lassen. Es koennten noch ein paar mehr exe Dateien angezeigt werden, aber damit erstmal vorsichtig. Das Blacklightlog wuerde helfen.


Blavcklightanleitung findest du u.a. auf dieser Seite: http://virus-protect.org/artikel/tools/rootkithook.html
__________
MfG Ralf
SEO-Spam Hunter

#8 Den Link habe ich korrigiert und nein, das Tool ist ein Removal-Tool speziell für Bagle und "seine Brüder" .

Darf das rein informativ mal hinzufügen, vermutlich hast Du Dir diese Variante eingefangen.
TR/Rkit.Bagle.GL - Trojan und der Beschreibung nach löscht dieses Version Komponenten zahlreicher Virenscanner und macht sie damit unbrauchbar.

Ganz interessant die Liste an Prozessen, die Bagle hier versteckt: Ich nehme an, dass von jeder Kategorie jeweils eine Name zutreffend sein wird, nicht alle- aber schau selbst.

Zitat

Hides the following:

– The following files:
• m_hook.sys
• hidr.exe
• hidn2.exe
• wintems.exe
• hldrrr.exe
• ldr64.dll

– The following processes:
• hidr.exe
• hidn2.exe
• flec006.exe
• wintems.exe
• hldrrr.exe
• mdelk.exe

– The following registry keys:
• nkeyjej1
• nkeyjej2

– The following registry values:
• german.exe
• drvsyskit
• hldrrr
• mule_st_key
• drv_st_key
• key000s04
• key000s05

– The following directories:
• shared
• hidn
• hidires

Damit hast Du Anhaltspunkte für die Blacklight-Ergebnisse.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#9 Danke joschi für die Liste, mit Blacklight habe ich die Einträge umbenannt.
Jetzt kann ich wieder ein Antivirus installieren.
Reicht das jetzt aus oder muß ich jetzt noch mehr machen ?
Danke, Danke.
mfg
Peter
__________
http://www.gez.kilu.de/

#10 Es waren 3 Infektionen drauf

1. Win32.Worm.Bagle.I
2. Win32.Bagle.HV@mm
3. trojan:Rootkit.Agent.BL

erfolgreich elemeniert.
Danke.
mfg
Peter

P.S. Übeltäter war eine Datei die ich mir aus dem Netz geladen habe.
__________
http://www.gez.kilu.de/

#11 Jetzt habe ich endlich den Lümmel gefunden der mir das angetan hat.
Es ist ein Datei, die ich mir runtergeladen hatte.
Wenn ich sie mit ein Antivirusprogramm teste, sagt er sie ist in Ordnung.
Beim ausführen aber erzeugt er im Speicher eine hldrrr.exe
Antivirus wieder laufen lassen - alles okay
Ich habs aus den Speicher gelöscht ,neustart - alles okay.
Diese Datei muß also, wenn sie im Speicher bleibt, später erst ernst werden, sonst würde doch irgendein Antivirus drauf anschlagen.
Wer interesse am testen hat schickt mir eine PN mit Email, dann bekommt ihr die Datei in rar gepackt. - Auf eigende Gefahr
Der Virus ist auf jeden fall nicht von schlechten Eltern.
mfg
Peter
__________
http://www.gez.kilu.de/

#12 Nachtrag:

Nachdem ich das infizierte Programm ausgeführt habe, wollte es auf die Internetseite:
systemforex.de
Wenn ich die anklicke steht nur
The domain "www.systemforex.de" is not available.
Im Cache von Google bin ich aber fündig geworden
http://209.85.129.104/search?q=cache:-tkVDDxIy6QJ:systemforex.de/+systemforex&hl=de&ct=clnk&cd=4&gl=de&lr=lang_de

Ein Herr Robert Wawrzyniak aus Lübeck gehört die Seite.
So blöd kann doch keiner sein, so ein super programmierten Virus auf eine de
domäne laufen lassen um sich Datennachschub zu holen.

Im Prinzip müßte man den Anzeigen.
mfg
Peter
__________
http://www.gez.kilu.de/

#13

Zitat

So blöd kann doch keiner sein

Genau !

Zitat

Nachdem ich das infizierte Programm ausgeführt habe, wollte es auf die Internetseite:
systemforex.de

Das nicht zwingend ein Hinweis auf den Virenauthor, sondern ein Mechanismus, der bei einigen Würmern zu beobachten ist.

Stell Dir mal vor, x-tausende infizierte Rechner senden alle x Sekunden eine Anfrage an einen Webserver. Was pssiert im schlimmsten Fall ? Die Seite ist down, nicht mehr erreichbar. => http://de.wikipedia.org/wiki/Ddos
__________
Durchsuchen --> Aussuchen --> Untersuchen