edit: hdhelp.exe

Hallo, habe seit heute in windows\system32 das 31,5kb große program hdhelp.exe, sowieo im autostart. wenns ichs lösche, erscheint es immer wieder. gehe von nem rootkit aus oder derartiges welches es immer wieder erstellt. das programm selbst wird von online scannern erkannt, bloß das rootkit wird nicht gefunden. manuell in der registry hab ich alles heraus gelöscht was ging (suche nach hdhelp(.exe))

achja im taskmanager öffnet hdhelp.exe allen anschein nach das programm "firefox.exe". ich selbst nutze mozilla aber es greift nicht auf den browser zu, denn die exe vom browser hab ich schon umbenannt und es wurde trotzdem firefox.exe gestartet. manuell dann nach firefox.exe gesucht auf meiner gesammtem platte aber win hat nix gefunden (btw: nutze winxp sp2).

spybot SD hat mich auch net weitergebracht.

wie gesagt, wenn ich firefox.exe im taskmanager kille, dann startet kurz hdhelp.exe und startet wieder firefox.exe.

bisher nix negatives bemerkt. erzeugt kein traffic und macht den pc auch net langsamer, aber gut kanns ja net sein.

was kann ich noch machen????
mfg frank

edit2: greift wohl doch auf den normalen browser firefox.exe zu, denn nach umbenennung versucht das programm es immer wieder zu laden, kann es bloß net finden.

hallo, glaube ich hab den übeltäter.
flashcft.dll -> kann ich net löschen weil in benutzung. bräuchte nen befehl damit ich ne batch erstellen kann um das file zum systemstart zu löschen. kann mir die einer schreiben?

hat sich erledigt... alles gelöst

Es wäre immer ungemein toll wenn man außer "hat sich gelöst" auch schreiben würde wie. Es könnte ja noch sein das der ein oder andere auch das Problem hat und muss dann nicht erst selber nach der Lösung suchen. ;)

sehe ich auch so!

könntest du bitte mal die Lösung posten!?


thx

ok bin zuerst einmal mit hijack drüber gebügelt und habs mir dann auswerten lassen.
daraufhin gab es einen interessanten eintrag:

O20 - Winlogon Notify: flashcft - I:\WINDOWS\SYSTEM32\flashcft.dll
das file gehörte da i-wie zu dem ganzen dazu aber es konnte net gelöscht werden, da es anscheinend in benutzung war.
habs mitn file-shredder probiert aber ging auch nicht. hab dann von meiner 2ten win-install gebootet und die datei manuell gelöscht mitsamt der hdhelp.exe und noch 2 weiteren *.bin-files die ebenfalls im system32-dir lagen und dazu gehörten.

letztend endes dann noch im autostart hdhelp.exe entfernt und die registry-einträge (ebenfalls mit hi-jack erkannt und dem hier: http://www.ca.com/us/securityadvisor/pestscan/default.aspx [super scanner!]) manuell entfernt.

fazit: alles clean. :)

hoffe jetzt auf die schnelle nichts vergessen zuhaben

fazit: alles clean. :)
Nach einem ordentlichen Schädlingsbefall würde ich so eine Aussage nur nach einer Neuinstallation treffen.