|
@kadel Poste Dein Problem in einen eigenen, neuen Thread! Sonst wirds hier ziemlich unübersichtlich. :) Gruß :daumenhoc Yopie |
Hallo, Antivir hatte bei mir ebenfalls HideRun entdeckt, in der Version A.4. Der Virenbefall äußert sich folgendermaßen: Irgendwann wird der Bildschirm bunt (manchmal abwechseln bunt, teilweise fast wie bei der Matrix, manchmal uni), er friert ein und NICHTS läuft mehr. Hatte kostenlose Firewall ZoneAlarm und Antivir installiert. Antivir hatte HideRun.A.4 auch entdeckt, sogar gelöscht. Viele Informationen hat Antivir übrigens auch noch nicht über diesen Virus, s. auf antivir- Seiten. Der Virus war schon bei mir drauf, als Antivir keine Definition hatte. Warum dieser Virus außergewöhnlich ist? Er nistet sich im Bios ein. Habe meine Batterie ausgebaut vom Motherboard (was beim Laptop keine schöne Sache ist), eine neue Festplatte eingebaut. Schwups war er wieder da. :snyper: Ergo: Er hat das Bios geupdatet - super wenn man ein scheiß Mainboard hat, dessen Hersteller unverschämt ist, wie folgender Link belegt, was Support und Preise angeht: http://www.ipc-computer.de/index.php?cPath=2_30 Ein Wort zu Antivir: Hatte der Virus auch schon besiegt, da er nicht mehr komplett durchläuft, ohne PC-Absturz. Der Virus hatte sich übrigens auch noch in Programme niedergeplanzt, wie ACDsee.src.exe An "src" konnte man den Virus erkennen (Sicher, es gibt auch gute Dateien src.jar für JAVA z.B.), aber etliche Textdateien hatte er erzeugt (wo der Quellcode drin war oder was auch immer, eine davon ca. 60 MB !!! groß - nicht alle konnte ich löschen, obwohl ich im Abgesicherten Modus war und viele aktiven Programme bereits beendet hatte). Ansonsten viel mir noch auf, dass Pogramme wie Userinit.exe und andere liefen, die ich bislang nicht kannte und mit Programmen abgeschaltet hatte. Zu IPC- Laptop (Emfpehle ich wirklichk auf gar keinen Fall) :teufel1: : Auf Anfrage erhält man nur... bitte Notebook zuschicken (399EUR Pauschale, siehe Link oben) :blabla: No more IPC- Laptop: nicht nur preiswert, sondern BILLIG (lauter Lüfter etc.) http://www.ipc-computer.de/index.php?cPath=2_30 http://www.chip.de/news/c_news_8827462.html http://www.my-two-cents.de/tagebuch/.../2002-01d.html http://www.heise.de/newsticker/meldung/24240 (C't sagt es treffend (User meinte sogar "Küchengerät" :juul: ) Dies mußte ich dran hängen, denn Freunde erkennt man nur in der Notsituation und auf das Super-Sparpreis- Schnäppchen werde ich nicht mehr reinfallen. Ich werde beim nächsten Laptop- Kauf vor allem Support und Service mitberücktsichtigen. Denn das ist es was ich brauch, wenn ich ein BIOS wiederherstellen möchte, was ggf. gelötet ist. Flash- Update, kostengünstiges Update (oder per Baustein, hier wäre diese Variaten schon bei 56 EUR (!!!)), da meins aber gelötet ist bei 399EUR :confused: Pauschale :daumenhoc :lach: Auch, falls mal ein Treiberupdate der Graphikkarte fällig ist.... online verfügbar? Viel Glück bei der Virenbekämpfung,... :party: |
@ kadel Ich war auch noch relativ unbefleckt und musste feststellen, dass es bei HideRun wahrscheinlich keine andere Möglichkeit gibt, als das System neu aufzusetzen. Auch wenn AntiVir oder irgendeins der anderen Scan-Produkte den Befall entdeckt und die betroffenen Dateien vermeintlich löscht, sind sie beim nächsten Start oder, wie bei mir, beim der nächsten online-Verbindung wieder aktiv, siehe auch die mail unten. HideRun setzt sich zumindest in die Registrierungsdateien oder aber sogar ins Bios. Viel Spaß, den werde ich auch haben. JB. |
hallo, ich hab das gleiche Problem hier mein Log, Logfile of HijackThis v1.98.2 Scan saved at 00:48:32, on 28.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\Winamp\winampa.exe C:\Programme\Messenger Plus! 3\MsgPlus.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\PROGRA~1\1PW\ONEPW.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\WINDOWS\system32\LVComS.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\system32\svchost.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoFXM08.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\Dokumente und Einstellungen\Florian\Desktop\scanner.exe.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: InstaFinder - {4E7BD74F-2B8D-469E-DCF7-F96DA086B434} - C:\WINDOWS\DOWNLO~1\instafin.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [1PW] C:\PROGRA~1\1PW\ONEPW.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [Web Offer] Command /c del C:\WINDOWS\system32\EZPOPS~1.EXE O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: hp officejet 4100 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab |
@ floffi31083, boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O4 - HKCU\..\RunOnce: [Web Offer] Command /c del C:\WINDOWS\system32\EZPOPS~1.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) boote in den normalen Modus. beende: EZPOPS~1.EXE lösche: C:\WINDOWS\system32\EZPOPS~1.EXE Aktiviere die Systemwiederherstellung. Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Teile uns bitte aus der "mwav.log" NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt? Erstelle dann ein weiteres Hijack This Logfile und poste es. SD |
guten tag hab mal datei gefunden look screenhot: http://floffi.de/kwickupload/up/TRHideRunA2.JPG das kam bei adware duchsuchung: http://floffi.de/kwickupload/up/adware_scrrenhot.JPG virus/würm EzuLa bei der windows suche kam folgende dateien: http://floffi.de/kwickupload/up/EzuLa.JPG mfg flo |
nun noch das Ergebnis des eScans .... SD |
Loesche einfach mal Deine temporaeren Internetdateien! Bei mir isser weg! Mfg Rene :party: |
Hallo, habe von meinem free AV 2 Meldungen bekommen 1. TR/HideRun.A7 2.HTML/Explosit.Mhtml Ich habe beide warnungen gelöscht aber jetzt spinnt mein Rechner ein wenig. Er braucht ziemlich lange beim runterfahren so ca. 2-3 minuten. mal lässt er mich ins Netzt und dann mal wieder nicht. Angeblich sind mein Benutzername oder das Kennwort falsch. Kann mir jemand helfen ich flippe sonst noch aus :koch: Danke schon mal im voraus roeppi1 Die temp dateien habe ich auch schon gelöscht. Dann geht die Büchse einfach aus und fährt dann wieder hoch. Ist das normal :confused: :confused: :confused: Bitte dringend um Hilfe Danke roeppi1 Zitat:
|
|
[QLogfile of HijackThis v1.99.0 Scan saved at 20:19:44, on 06.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Twain_32\SlimU2\HotKey.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe C:\PROGRA~1\TCMCOM~1\MouseDrv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Jim Knopf\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ewetel.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O16 - DPF: {01E54593-BE14-4D6B-9310-37C0145EFE42} (AMI DicomDir TreeView Control 1.0) - file://D:\RadWorks CD-Viewer\CdViewer.cab O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{081EC7FD-FB8C-46BD-9EDA-D2B8B3507CD9}: NameServer = 212.6.108.140 212.6.108.141 O17 - HKLM\System\CS1\Services\Tcpip\..\{081EC7FD-FB8C-46BD-9EDA-D2B8B3507CD9}: NameServer = 212.6.108.140 212.6.108.141 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe UOTE=Haui45]Hallo, wo wurden die Dateien gefunden (Pfadangabe)? Poste ein HijackThis Logfile.[/QUOTE] |
Fixe alle dir unbekannten ActiveX-Objekte (O16-Einträge) mit HijackThis im abgesicherten Modus. Scanne anschließend dein System mit eScan im abgesicherten Modus und poste was gefunden wird (Anleitung genau befolgen!). Am einfachsten machst du das so: Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren. btw: wo die Dateien gefunden wurden, hast du noch nicht gesagt! Weder OS noch IE sind auf dem neusten Stand (SP2 ist aktuell!!!) |
bist du morgen wieder hier ich muss jetzt leider zur arbeit |
c:dokumente und einstellungen |
Zitat:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board