@kadel
Poste Dein Problem in einen eigenen, neuen Thread! Sonst wirds hier ziemlich unübersichtlich.

Gruß
Yopie

Hallo,

Antivir hatte bei mir ebenfalls HideRun entdeckt, in der Version A.4.
Der Virenbefall äußert sich folgendermaßen:
Irgendwann wird der Bildschirm bunt (manchmal abwechseln bunt,
teilweise fast wie bei der Matrix, manchmal uni), er friert ein und NICHTS
läuft mehr. Hatte kostenlose Firewall ZoneAlarm und Antivir installiert.
Antivir hatte HideRun.A.4 auch entdeckt, sogar gelöscht.
Viele Informationen hat Antivir übrigens auch noch nicht über diesen Virus,
s. auf antivir- Seiten. Der Virus war schon bei mir drauf, als Antivir keine Definition hatte.

Warum dieser Virus außergewöhnlich ist? Er nistet sich im Bios ein. Habe meine Batterie ausgebaut vom Motherboard (was beim Laptop keine schöne Sache ist), eine neue Festplatte eingebaut. Schwups war er wieder da. Ergo: Er hat das Bios geupdatet - super wenn man ein scheiß Mainboard hat, dessen Hersteller unverschämt ist, wie folgender Link belegt, was Support und Preise angeht: http://www.ipc-computer.de/index.php?cPath=2_30

Ein Wort zu Antivir: Hatte der Virus auch schon besiegt, da er nicht mehr komplett durchläuft, ohne PC-Absturz. Der Virus hatte sich übrigens auch noch in Programme niedergeplanzt, wie ACDsee.src.exe An "src" konnte man den Virus erkennen (Sicher, es gibt auch gute Dateien src.jar für JAVA z.B.), aber etliche Textdateien hatte er erzeugt (wo der Quellcode drin war oder was auch immer, eine davon ca. 60 MB !!! groß - nicht alle konnte ich löschen, obwohl ich im Abgesicherten Modus war und viele aktiven Programme bereits beendet hatte). Ansonsten viel mir noch auf, dass Pogramme wie Userinit.exe und andere liefen, die ich bislang nicht kannte und mit Programmen abgeschaltet hatte.

Zu IPC- Laptop (Emfpehle ich wirklichk auf gar keinen Fall) :
Auf Anfrage erhält man nur... bitte Notebook zuschicken (399EUR Pauschale, siehe Link oben) No more IPC- Laptop: nicht nur preiswert, sondern BILLIG (lauter Lüfter etc.)
http://www.ipc-computer.de/index.php?cPath=2_30
http://www.chip.de/news/c_news_8827462.html
http://www.my-two-cents.de/tagebuch/.../2002-01d.html
http://www.heise.de/newsticker/meldung/24240 (C't sagt es treffend (User meinte sogar "Küchengerät" )

Dies mußte ich dran hängen, denn Freunde erkennt man nur in der Notsituation und auf das Super-Sparpreis- Schnäppchen werde ich nicht mehr reinfallen. Ich werde beim nächsten Laptop- Kauf vor allem Support und Service mitberücktsichtigen. Denn das ist es was ich brauch, wenn ich ein BIOS wiederherstellen möchte, was ggf. gelötet ist. Flash- Update, kostengünstiges Update (oder per Baustein, hier wäre diese Variaten schon bei 56 EUR (!!!)), da meins aber gelötet ist bei 399EUR Pauschale Auch, falls mal ein Treiberupdate der Graphikkarte fällig ist.... online verfügbar?

Viel Glück bei der Virenbekämpfung,...

@ kadel

Ich war auch noch relativ unbefleckt und musste feststellen, dass es bei HideRun wahrscheinlich keine andere Möglichkeit gibt, als das System neu aufzusetzen.

Auch wenn AntiVir oder irgendeins der anderen Scan-Produkte den Befall entdeckt und die betroffenen Dateien vermeintlich löscht, sind sie beim nächsten Start oder, wie bei mir, beim der nächsten online-Verbindung wieder aktiv, siehe auch die mail unten. HideRun setzt sich zumindest in die Registrierungsdateien oder aber sogar ins Bios.

Viel Spaß, den werde ich auch haben.

JB.

hallo,

ich hab das gleiche Problem hier mein Log,

Logfile of HijackThis v1.98.2
Scan saved at 00:48:32, on 28.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\1PW\ONEPW.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\WINDOWS\system32\LVComS.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoFXM08.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Dokumente und Einstellungen\Florian\Desktop\scanner.exe.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: InstaFinder - {4E7BD74F-2B8D-469E-DCF7-F96DA086B434} - C:\WINDOWS\DOWNLO~1\instafin.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [1PW] C:\PROGRA~1\1PW\ONEPW.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [Web Offer] Command /c del C:\WINDOWS\system32\EZPOPS~1.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: hp officejet 4100 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab

@ floffi31083,

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O4 - HKCU\..\RunOnce: [Web Offer] Command /c del C:\WINDOWS\system32\EZPOPS~1.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

boote in den normalen Modus.

beende:
EZPOPS~1.EXE

lösche:
C:\WINDOWS\system32\EZPOPS~1.EXE

Aktiviere die Systemwiederherstellung.

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte aus der "mwav.log" NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt?

Erstelle dann ein weiteres Hijack This Logfile und poste es.

SD

guten tag hab mal datei gefunden look screenhot:




das kam bei adware duchsuchung:





virus/würm EzuLa bei der windows suche kam folgende dateien:



mfg flo

nun noch das Ergebnis des eScans ....

SD

Loesche einfach mal Deine temporaeren Internetdateien! Bei mir isser weg!

Mfg Rene

Hallo, habe von meinem free AV 2 Meldungen bekommen
1. TR/HideRun.A7
2.HTML/Explosit.Mhtml

Ich habe beide warnungen gelöscht aber jetzt spinnt mein Rechner ein wenig.
Er braucht ziemlich lange beim runterfahren so ca. 2-3 minuten.
mal lässt er mich ins Netzt und dann mal wieder nicht.
Angeblich sind mein Benutzername oder das Kennwort falsch.
Kann mir jemand helfen ich flippe sonst noch aus

Danke schon mal im voraus
roeppi1
Die temp dateien habe ich auch schon gelöscht.
Dann geht die Büchse einfach aus und fährt dann wieder hoch.
Ist das normal
Bitte dringend um Hilfe
Danke
roeppi1

Zitat:

Zitat von Shadowdance

nun noch das Ergebnis des eScans ....

SD

Hallo,
wo wurden die Dateien gefunden (Pfadangabe)?
Poste ein HijackThis Logfile.

[QLogfile of HijackThis v1.99.0
Scan saved at 20:19:44, on 06.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jim Knopf\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ewetel.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O16 - DPF: {01E54593-BE14-4D6B-9310-37C0145EFE42} (AMI DicomDir TreeView Control 1.0) - file://D:\RadWorks CD-Viewer\CdViewer.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{081EC7FD-FB8C-46BD-9EDA-D2B8B3507CD9}: NameServer = 212.6.108.140 212.6.108.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{081EC7FD-FB8C-46BD-9EDA-D2B8B3507CD9}: NameServer = 212.6.108.140 212.6.108.141
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

UOTE=Haui45]Hallo,
wo wurden die Dateien gefunden (Pfadangabe)?
Poste ein HijackThis Logfile.[/QUOTE]

Fixe alle dir unbekannten ActiveX-Objekte (O16-Einträge) mit HijackThis im abgesicherten Modus.

Scanne anschließend dein System mit eScan im abgesicherten Modus und poste was gefunden wird (Anleitung genau befolgen!). Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren.

btw: wo die Dateien gefunden wurden, hast du noch nicht gesagt!

Weder OS noch IE sind auf dem neusten Stand (SP2 ist aktuell!!!)

bist du morgen wieder hier ich muss jetzt leider zur arbeit

c:dokumente und einstellungen

Zitat:

bist du morgen wieder hier ich muss jetzt leider zur arbeit

Wenn nicht ich, dann ein anderer.

Zitat:

c:dokumente und einstellungen

War es genau dieser Pfad, oder ging es evtl. noch weiter?