hldrrr.exe: Nach safeboot Einstellung in boot.ini Endlosschleife

#0
06.02.2008, 20:10
...neu hier

Beiträge: 8
#1 Hallo,
auch ich habe mir die hldrrr.exe eingefangen, die weder mit NIS 2008 noch Avira aufspürbar war und sofort NIS deaktivierte und dann ins Netz wollte. Leider habe ich den Tip auf der Symantec-Homepage zur Entfernung dieser .exe genutzt; dort wird empfohlen in XP in der Boot.íni die safeboot-Funktion zu aktivieren, und jetzt bootet der Rechner bis zum Auswahlbildschirm des abgesicherten Modus und unabhängig welche Option man nutzt, kommt man immer wieder an diese Stelle zurück. Auch der Versuch des Einsatzes des ERD-Commanders hat leider nichts gebracht, das .iso auf der boot-CD startet auch nicht. Hat jemand einen Lösungsansatz?
Seitenanfang Seitenende
06.02.2008, 20:50
Moderator

Beiträge: 7804
#2 Ja, das ist das Elend, wenn man mit Hilfe von MSconfig das machen will! Da Bagle die Einstellungen fuer den abgesicherten Modus loescht. Kommst du in das "F8" Startmenue? Dort koenntest du die letzte funktionierende Version auswaehlen. Sollte das keinen Einfluss auf die boot.ini haben, hilft nur das Editieren der Boot.ini ueber Bootcd/Pe CD
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.02.2008, 21:49
...neu hier

Themenstarter

Beiträge: 8
#3 Mit Winternals bzw. ERD-Commander konnte ich XP nicht finden, das ist eine finstere Perspektive.
Die Auswahl der letzten funktionierenden Version führt nach dem kurzen Aufblinken eines Bluescreens während des Hochfahrens wieder zum Startmenü zurück.

Gruß Snake
Seitenanfang Seitenende
08.02.2008, 00:39
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 Snake X

du kannst es mit einer Knoppix-Version versuchen:

boot.ini über Knoppix Linux reparieren
schau mal hier , oder google, es gibt viele Tips zu Knoppix
http://www.computerhilfen.de/hilfen-6-59017-0.html

---

wenn du dann wieder in Windows bist:
Starte die im zip enthaltene safeboot.reg und fuüge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren.
http://www.virus-protect.org/zip/SafeBoot.zip

und dann melde dich, wir helfen beim Säubern ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
25.02.2008, 15:20
...neu hier

Themenstarter

Beiträge: 8
#5 Hallo,
erst Mal Danke für Eure Antworten.

Ich habe mit dem ERD-Commander wieder Zugriff auf mein System (RAID 0). Allerdings verhindert das in meinem ersten Beitrag beschriebene Problem der durch safeboot verursachten Endlosschleife nach wie vor den erfolgreichen Bootvorgang in XP.

Kann ich durch die entsprechende Editierung meiner boot.ini eine erfolgreiche Änderung der Situation bewirken?
Meine boot.ini:

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\Windows
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\Windows="Microsoft
Windows XP Professional" /fastdetect /NoExecute=OptIn
/safeboot:minimal

Reicht es, wenn ich "/safeboot:minimal" entferne? Was soll "/NoExecute=OptIn" bedeuten?
Seitenanfang Seitenende
25.02.2008, 15:48
Moderator

Beiträge: 7804
#6 Das safeboot zu entfernen sollte reichen.

Zu den anderen Optionen kannst du hier einmal was nachlesen.
http://msdn2.microsoft.com/en-us/library/ms791539.aspx
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.02.2008, 20:48
...neu hier

Themenstarter

Beiträge: 8
#7 Könnt Ihr mir jetzt die Tips zur Entfernung der hldrrr.exe geben?

Der Unterschlüssel in der Registry HKEY_CURRENT_USER\Software\FirstRRRun gehört wahrscheinlich gelöscht. Leider habe ich andere Spuren der .exe noch nicht gefunden.

Gruß Snake X
Seitenanfang Seitenende
25.02.2008, 22:06
Moderator

Beiträge: 7804
#8 Oh, ich hab das oben garnicht geschrieben. Bei Bagle am besten den Rechner gleich "platt machen"
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.02.2008, 10:18
...neu hier

Themenstarter

Beiträge: 8
#9

Zitat

Oh, ich hab das oben garnicht geschrieben. Bei Bagle am besten den Rechner gleich "platt machen"
@Raman: Wenn die Neuinst eine Option für mich wäre, würde ich mich ja nicht in diesem Forum rumdrücken! Ich präferiere die chirurgische Variante. ;)

Die hldrrr.exe befand sich in den Verzeichnissen
C:/Windows/system32/drivers
C:/Windows/system32/drivers/prefetch

XP ist allerdings immer noch nicht funktional. Vermutlich verhindert die sptd.sys einen Boot im abgesicherten Modus. Da die sptd.sys eigentlich zu Daemon Tools gehört, kann man die ja eigentlich löschen, oder?

Gruß Snake
Seitenanfang Seitenende
26.02.2008, 10:40
Moderator

Beiträge: 7804
#10 Nein, das das booten im abgesicherten Modus nicht klappt, liegt daran, das Bagle die entsprechenden Eintraege fuer den abgesicherten Modus in der Registrierung geloescht hat. Sprich Windows hat vergessen, was es machen soll, wenn man im abgesicherten Modus starten moechte.

Link zum reparieren kannst du in Pinguins Posting oben finden. Der bagle muss aber erst weg, bevor du das versuchst. Starte den Rechner normal und nutze dann combofix.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.02.2008, 13:00
...neu hier

Themenstarter

Beiträge: 8
#11 Hi raman,
ein normaler Start von XP funktioniert nicht, da eine Endlosschleife vorhanden ist, die mich immer wieder an den Auswahlbildschirm des abgesicherten Modus zurück führt. Ich habe lediglich über den ERD-Commander die Möglichkeit des Zugriffs auf die Dateien des nicht ausgeführten XP und die Laufwerke.
Combofix soll allerdings in XP gestartet werden, das hilft allerdings dann nicht weiter.

Gruß Snake
Dieser Beitrag wurde am 26.02.2008 um 13:13 Uhr von Snake X editiert.
Seitenanfang Seitenende
26.02.2008, 13:03
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 hast du es schon mal mit Knoppix versucht ? Siehe oben, mein Beitrag.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
26.02.2008, 13:20
...neu hier

Themenstarter

Beiträge: 8
#13 Ja, mit Knoppix und ERD-Commander habe ich Zugriff auf das nicht ausgeführte Windows, allerdings wird bei beiden meine USB-Platte nicht erkannt, eine Datensicherung ist somit nicht möglich. Eine Ausführung der Virenprogramme auf der XP-Platte ist nicht möglich, weil sie vermutlich von der hldrrr.exe zerschossen worden sind (Meldung: "Keine zulässige win32 Anwendung.").

Gruß Snake
Seitenanfang Seitenende
26.02.2008, 13:37
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#14 wenn du in den abgesicherten Modus kommst, so kann man den Rechner reinigen.
Oder startet der Rechner neu, sobald du an den Auswahlmodus kommst ?
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
26.02.2008, 14:05
...neu hier

Themenstarter

Beiträge: 8
#15 Genau, gleich nach Anzeige des Windows-Symbols während des Bootvorgangs erscheint für den Bruchteil einer Sekunde ein Bluescreen, der nicht erkennbar ist und danach komme ich zum Auswahlmodus zurück. Egal, welche Option ich wähle, ich komme nur zum Auswahlmodus.
Beim Versuch in den abgesicherten Modus zu kommen, wird mir unten kurz die Meldung angezeigt: "Load sptd.sys or press Escape". Das Drücken von Escape ändert jedoch nichts -> Auswahlmodus. Die Datei sptd.sys ist eigentlich nur ein Driver des Emulationsprogramm Deamon Tools und ist vorher nie unangenehm aufgefallen. Mit dem Löschen dieser Datei habe ich mich vorerst noch zurückgehalten. Könnte es sein, dass ein Löschen dieser sptd.sys eine weitergehende XP-Dysfunktionalität bewirkt? Ein bißchen XP braucht der ERD-Commander ja auch...

Gruß Snake
Seitenanfang Seitenende