TR/HideRun.A.2
 

Hallo erstmal!
Bisher lebte ich in der heilen Virenfreien Internetwelt doch seit einer XP-Neuinstallation heute morgen treibt sich folgendes auf meinem PC herum....:
--> TR/HideRun.A.2
--> Worm/Rbot.SU
--> TR/Dldr.Dyfuca.DB
--> Worm/Rbot.VE
--> Worm/RBot.RT
AntiVir löscht es dann und dann ist es weg, plötzlich ist es wieder da und wieder weg ..... ich versteh gar nichts mehr....
übrigens hängt das ganze glaube ich mit dem start meines ie zusammen....vage vermutungen....
ich versteh leider von alle dem nichts!
Bitte um Hilfe!

Wenn ich das richtig sehe hast du Viren mir Backdoor Eigenschaften am PC. Da ist wohl folgendes am besten:

Ich habe dasselbe Problem. Bei mir zeigt der auch den Virus an aber auch noch mehr, zB

TR/Dldr.IstBar.FY.2
TR/Dldr.Small.KA.1
TR/Favadd.C

neu formatieren wäre wie oben genannt eine Lösung, aber geht das nicht auch anders? Es gibt ne Menge Daten, die ich leider nciht sichern kann.

Schon mal Danke im vorraus!

@ El Blanco

bist Du sicher, dass Du das gleiche Problem hast? Erstelle bitte erstmal ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. Wir sagen Dir dann, wie's weitergeht.

SD

Hallo leute,

ich habe auch so einen hardnäckigen Trojaner und zwar den

TR/Dldr.IstBar.FY.1

ich habe AntiVir und das sagt dir das der trojaner in einem archiv sitzt
und das es keine Archive löchen kann.

was kann ich dagegen tuen ohne gleich Formatieren zu müssen ?

Danke

MfG
ProCool

Hallo ProCool,

Du könntest uns zum einen den Pfad angeben, in dem AntiVir den Virus untergebracht hat. Dann könntest Du das Clear Prog runterladen und damit alle Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf leeren.

Erstelle desweiteren bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

also ich hoffe das der log hier auch erscheint ich habe es noch nicht so rausgefunden wie es gehen soll .
das clear prog ist gut es scheint so als mein trojaner weg ist mein antivir findet nichts mehr
danekschön :D

ich gehe mal ins bett schreibe morgen wieder


gute nacht


procool

Hallo,

gibt es noch weitere/neue Informationen zu TR/HideRun.A.2. Es scheint, als wäre dieses eine noch ganz junge Variante.

Ich habe die gleichen Probleme wie unten beschrieben. SpyBot hat den Trojaner bzw. das versteckte Programm entdeckt, kann es aber nicht nachhaltig entfernen, da es sich bei jedem Neustart wieder einnistet. Sobald ich meine DSL Leitung aktiviere wird automatisch der Internet Explorer geöffnet und lädt die Seite http://63.246.131.130/index.html.

Ab dann habe ich zum einen die Resourcen fressende Prozesse winguard.exe und msdev.exe laufen, und zum anderen,selbst wenn diese manuell gestoppt werden, immensen Traffic auf meiner Datenleitung, so dass ich im Prinzip nicht mehr online gehen kann. Zum Glück kann ich noch auf einen zweiten Rechner zurückgreifen.

Ich werde dem Vorschlag von Shadowdance mal folgen und das Ergebnis hier posten.

Hier mein Logfile, nachdem ich Clearlog laufen lassen habe. Weiß jemand hiermit etwas anzufangen?



Logfile of HijackThis v1.98.2
Scan saved at 14:09:00, on 17.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\aaupdt.exe
C:\WINDOWS\ddlmanager.exe
C:\WINDOWS\System32\Yahoo.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\WlNUPDATE.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\msndp.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Babylon\Babylon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Wolfgang\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Microsoft WinJPG] msjp32.exe
O4 - HKLM\..\Run: [Microsoft Update] aaupdt.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\ddlmanager.exe
O4 - HKLM\..\Run: [Yahoo Update] Yahoo.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [zryacrhvl] C:\WINDOWS\System32\bojfro.exe
O4 - HKLM\..\Run: [archijqx] C:\WINDOWS\archijqx.exe
O4 - HKLM\..\Run: [taskmngr service] WlNUPDATE.exe
O4 - HKLM\..\Run: [Msn Patch] msndp.exe
O4 - HKLM\..\Run: [ScManager] scman.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft WinJPG] msjp32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] aaupdt.exe
O4 - HKLM\..\RunServices: [msdev] msdev.exe
O4 - HKLM\..\RunServices: [Yahoo Update] Yahoo.exe
O4 - HKLM\..\RunServices: [taskmngr service] WlNUPDATE.exe
O4 - HKLM\..\RunServices: [Msn Patch] msndp.exe
O4 - HKLM\..\RunServices: [ScManager] scman.exe
O4 - HKLM\..\RunOnce: [ScManager] scman.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [Microsoft Update] aaupdt.exe
O4 - HKCU\..\Run: [Yahoo Update] Yahoo.exe
O4 - HKCU\..\Run: [ScManager] scman.exe
O4 - HKCU\..\RunOnce: [ScManager] scman.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100526563918
O18 - Protocol: start - (no CLSID) - (no file)
O18 - Filter: text/html - {063ACD61-5111-4051-AB7D-B8DEAFB7FCF0} - C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat

@ SD

Vielen Dank für die Tips. Ich habe eScan laufen lassen und komme auf ca. 180 Einträge. Das läßt sich hier nicht mehr posten.

Was kann ich tun?

JB

@ James Bond

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

--> alternativ: Lutz: Datensicherung und Cidre's Rat --> Festplatte formatieren - Schritt für Schritt.

SD

Seht Ihr noch eine Chance an dem Neu-Aufsetzen des Systems vorbei zu kommen?

Gruß,

JB

infected by "Backdoor.Win32.Rbot.gen" Virus
infected by "Trojan-Clicker.Win32.Agent.ah" Virus
infected by "Backdoor.Win32.Rbot.gen" Virus
infected by "Backdoor.Win32.Rbot.gen" Virus
infected by "Backdoor.Win32.Wootbot.gen" Virus
infected by "Backdoor.Win32.Wootbot.gen" Virus
infected by "Backdoor.Win32.Rbot.gen" Virus
infected by "Backdoor.Win32.ForBot.l" Virus
infected by "Backdoor.Win32.Rbot.gen" Virus.
infected by "Backdoor.Win32.Rbot.gen" Virus
infected by "TrojanDownloader.Win32.Small.mj" Virus
infected by "Backdoor.Win32.Rbot.gen" Virus.
infected by "Trojan-Downloader.JS.IstBar.b" Virus
infected by "Trojan-Downloader.Win32.IstBar.fz" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.j" Virus
infected by "Trojan-Downloader.JS.IstBar.b" Virus
infected by "Trojan-Downloader.JS.IstBar.b" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
CHM infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "TrojanDownloader.VBS.Psyme.based" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "Exploit.HTML.Mht" Virus
infected by "TrojanDownloader.Win32.Wintrim.bb" Virus
infected by "Trojan-Clicker.Win32.Agent.ah" Virus
infected by "Trojan-Clicker.Win32.Agent.ah" Virus
infected by "Trojan-Clicker.Win32.Agent.ah" Virus
infected by "TrojanDropper.DOS.Rute" Virus
by "TrojanClicker.Win32.DotComToolBar.e" Virus
infected by "Backdoor.Win32.Rbot.gen" Virus
infected by "Backdoor.Win32.Wootbot.am" Virus
infected by "Backdoor.Win32.Wootbot.gen" Virus
infected by "Backdoor.Win32.Rbot.gen" Virus
infected by "Backdoor.Win32.Rbot.gen" Virus
infected by "Backdoor.Win32.Wootbot.gen" Virus
infected by "Backdoor.Win32.ForBot.l" Virus
infected by "Backdoor.Win32.Rbot.gen" Virus
infected by "TrojanDownloader.Win32.Small.mj" Virus
infected by "Backdoor.Win32.Rbot.gen" Virus
infected by "Trojan-Clicker.Win32.Agent.ah" Virus

Hallo James Bond,

die Sophos Viren-Enzyklopädie:
Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten.
Backdoor.Win32.Wootbot.gen-> "Erläuterung" -> "Erweitert" beachten.
W32/Forbot--> "Erläuterung" -> "Erweitert" beachten.

3 Würmer mit Backdoor-Charakter:

die Sophos Viren-Enzyklopädie zitiert:

# Ermöglicht Dritten den Zugriff auf den Computer
# Löscht Dateien vom Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit

3 Würmer, die Schlüssel in der Registry, Code auf dem System hinterlassen.

--> Nein.

Festplatte formatieren - Schritt für Schritt und diese Tips beachten: Lutz: Datensicherung und Cidre's Rat.

Vergleiche auch: Entfernung von Schädlingen und Kompromittierung unvermeidbar?

SD

@ Shadowdance,

Vielen Dank für Eure kompetente und sofortige Unterstützung.

Na denn!!!

Dann werde ich mir wohl mal das Wochenende um die Ohren schlagen, wissend, dass ich es selber schuld bin.

Gruß,

JB

Hallo James Bond,

die Sophos Viren-Enzyklopädie:
Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten.
Backdoor.Win32.Wootbot.gen-> "Erläuterung" -> "Erweitert" beachten.
W32/Forbot--> "Erläuterung" -> "Erweitert" beachten.

3 Würmer mit Backdoor-Charakter:

die Sophos Viren-Enzyklopädie zitiert:

# Ermöglicht Dritten den Zugriff auf den Computer
# Löscht Dateien vom Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit

3 Würmer, die Schlüssel in der Registry, Code auf dem System hinterlassen.

--> Nein.

Hallo, Ich bin relativer Neuling was den Befall von Viren, Trojaner usw. angeht. Ich habe aber heute mit AntiVir festgestellt das folgende Trojaner sich auf meinem PC eingenistet haben:
TR/HideRun.A.4
TR/Dldr.IstBar.A

Bei dem Scan wurde angeboten die Beiden zu enfernen, dem habe Ich zugestimmt und danach den REchner neu gestartet.
Muss nun das System trotzdem neu installiert werden?

Danke im vorraus, bin gleich wieder da

@kadel
Poste Dein Problem in einen eigenen, neuen Thread! Sonst wirds hier ziemlich unübersichtlich. :)

Gruß :daumenhoc
Yopie

Hallo,

Antivir hatte bei mir ebenfalls HideRun entdeckt, in der Version A.4.
Der Virenbefall äußert sich folgendermaßen:
Irgendwann wird der Bildschirm bunt (manchmal abwechseln bunt,
teilweise fast wie bei der Matrix, manchmal uni), er friert ein und NICHTS
läuft mehr. Hatte kostenlose Firewall ZoneAlarm und Antivir installiert.
Antivir hatte HideRun.A.4 auch entdeckt, sogar gelöscht.
Viele Informationen hat Antivir übrigens auch noch nicht über diesen Virus,
s. auf antivir- Seiten. Der Virus war schon bei mir drauf, als Antivir keine Definition hatte.

Warum dieser Virus außergewöhnlich ist? Er nistet sich im Bios ein. Habe meine Batterie ausgebaut vom Motherboard (was beim Laptop keine schöne Sache ist), eine neue Festplatte eingebaut. Schwups war er wieder da. :snyper: Ergo: Er hat das Bios geupdatet - super wenn man ein scheiß Mainboard hat, dessen Hersteller unverschämt ist, wie folgender Link belegt, was Support und Preise angeht: http://www.ipc-computer.de/index.php?cPath=2_30

Ein Wort zu Antivir: Hatte der Virus auch schon besiegt, da er nicht mehr komplett durchläuft, ohne PC-Absturz. Der Virus hatte sich übrigens auch noch in Programme niedergeplanzt, wie ACDsee.src.exe An "src" konnte man den Virus erkennen (Sicher, es gibt auch gute Dateien src.jar für JAVA z.B.), aber etliche Textdateien hatte er erzeugt (wo der Quellcode drin war oder was auch immer, eine davon ca. 60 MB !!! groß - nicht alle konnte ich löschen, obwohl ich im Abgesicherten Modus war und viele aktiven Programme bereits beendet hatte). Ansonsten viel mir noch auf, dass Pogramme wie Userinit.exe und andere liefen, die ich bislang nicht kannte und mit Programmen abgeschaltet hatte.

Zu IPC- Laptop (Emfpehle ich wirklichk auf gar keinen Fall) :teufel1: :
Auf Anfrage erhält man nur... bitte Notebook zuschicken (399EUR Pauschale, siehe Link oben) :blabla: No more IPC- Laptop: nicht nur preiswert, sondern BILLIG (lauter Lüfter etc.)
http://www.ipc-computer.de/index.php?cPath=2_30
http://www.chip.de/news/c_news_8827462.html
http://www.my-two-cents.de/tagebuch/.../2002-01d.html
http://www.heise.de/newsticker/meldung/24240 (C't sagt es treffend (User meinte sogar "Küchengerät" :juul: )

Dies mußte ich dran hängen, denn Freunde erkennt man nur in der Notsituation und auf das Super-Sparpreis- Schnäppchen werde ich nicht mehr reinfallen. Ich werde beim nächsten Laptop- Kauf vor allem Support und Service mitberücktsichtigen. Denn das ist es was ich brauch, wenn ich ein BIOS wiederherstellen möchte, was ggf. gelötet ist. Flash- Update, kostengünstiges Update (oder per Baustein, hier wäre diese Variaten schon bei 56 EUR (!!!)), da meins aber gelötet ist bei 399EUR :confused: Pauschale :daumenhoc :lach: Auch, falls mal ein Treiberupdate der Graphikkarte fällig ist.... online verfügbar?

Viel Glück bei der Virenbekämpfung,... :party:

@ kadel

Ich war auch noch relativ unbefleckt und musste feststellen, dass es bei HideRun wahrscheinlich keine andere Möglichkeit gibt, als das System neu aufzusetzen.

Auch wenn AntiVir oder irgendeins der anderen Scan-Produkte den Befall entdeckt und die betroffenen Dateien vermeintlich löscht, sind sie beim nächsten Start oder, wie bei mir, beim der nächsten online-Verbindung wieder aktiv, siehe auch die mail unten. HideRun setzt sich zumindest in die Registrierungsdateien oder aber sogar ins Bios.

Viel Spaß, den werde ich auch haben.

JB.

hallo,

ich hab das gleiche Problem hier mein Log,

Logfile of HijackThis v1.98.2
Scan saved at 00:48:32, on 28.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\1PW\ONEPW.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\WINDOWS\system32\LVComS.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoFXM08.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Dokumente und Einstellungen\Florian\Desktop\scanner.exe.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: InstaFinder - {4E7BD74F-2B8D-469E-DCF7-F96DA086B434} - C:\WINDOWS\DOWNLO~1\instafin.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [1PW] C:\PROGRA~1\1PW\ONEPW.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [Web Offer] Command /c del C:\WINDOWS\system32\EZPOPS~1.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: hp officejet 4100 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab

@ floffi31083,

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O4 - HKCU\..\RunOnce: [Web Offer] Command /c del C:\WINDOWS\system32\EZPOPS~1.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

boote in den normalen Modus.

beende:
EZPOPS~1.EXE

lösche:
C:\WINDOWS\system32\EZPOPS~1.EXE

Aktiviere die Systemwiederherstellung.

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte aus der "mwav.log" NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt?

Erstelle dann ein weiteres Hijack This Logfile und poste es.

SD

guten tag hab mal datei gefunden look screenhot:

http://floffi.de/kwickupload/up/TRHideRunA2.JPG


das kam bei adware duchsuchung:

http://floffi.de/kwickupload/up/adware_scrrenhot.JPG



virus/würm EzuLa bei der windows suche kam folgende dateien:

http://floffi.de/kwickupload/up/EzuLa.JPG

mfg flo

nun noch das Ergebnis des eScans ....

SD

Loesche einfach mal Deine temporaeren Internetdateien! Bei mir isser weg!

Mfg Rene :party:

Hallo, habe von meinem free AV 2 Meldungen bekommen
1. TR/HideRun.A7
2.HTML/Explosit.Mhtml

Ich habe beide warnungen gelöscht aber jetzt spinnt mein Rechner ein wenig.
Er braucht ziemlich lange beim runterfahren so ca. 2-3 minuten.
mal lässt er mich ins Netzt und dann mal wieder nicht.
Angeblich sind mein Benutzername oder das Kennwort falsch.
Kann mir jemand helfen ich flippe sonst noch aus :koch:

Danke schon mal im voraus
roeppi1
Die temp dateien habe ich auch schon gelöscht.
Dann geht die Büchse einfach aus und fährt dann wieder hoch.
Ist das normal :confused: :confused: :confused:
Bitte dringend um Hilfe
Danke
roeppi1

Hallo,
wo wurden die Dateien gefunden (Pfadangabe)?
Poste ein HijackThis Logfile.

[QLogfile of HijackThis v1.99.0
Scan saved at 20:19:44, on 06.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jim Knopf\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ewetel.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O16 - DPF: {01E54593-BE14-4D6B-9310-37C0145EFE42} (AMI DicomDir TreeView Control 1.0) - file://D:\RadWorks CD-Viewer\CdViewer.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{081EC7FD-FB8C-46BD-9EDA-D2B8B3507CD9}: NameServer = 212.6.108.140 212.6.108.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{081EC7FD-FB8C-46BD-9EDA-D2B8B3507CD9}: NameServer = 212.6.108.140 212.6.108.141
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

UOTE=Haui45]Hallo,
wo wurden die Dateien gefunden (Pfadangabe)?
Poste ein HijackThis Logfile.[/QUOTE]

Fixe alle dir unbekannten ActiveX-Objekte (O16-Einträge) mit HijackThis im abgesicherten Modus.

Scanne anschließend dein System mit eScan im abgesicherten Modus und poste was gefunden wird (Anleitung genau befolgen!). Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren.

btw: wo die Dateien gefunden wurden, hast du noch nicht gesagt!

Weder OS noch IE sind auf dem neusten Stand (SP2 ist aktuell!!!)

bist du morgen wieder hier ich muss jetzt leider zur arbeit

c:dokumente und einstellungen

Wenn nicht ich, dann ein anderer. :)

War es genau dieser Pfad, oder ging es evtl. noch weiter?

Hallo Haui,
escan hat folgendes gefunden.

File C:\DOKUME~1\JIMKNO~1\LOKALE~1\Temp\temp.frF8EA infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Jim Knopf\Lokale Einstellungen\Temp\temp.frF8EA infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\Program Files\Windows ServeAd\WinAtServ.dll infected by "not-a-virus:AdWare.WinAD.i" Virus. Action Taken: No Action Taken.
File C:\Program Files\Windows ServeAd\WinServSuit.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\Program Files\Windows TaskAd\WinProject.dll infected by "not-a-virus:AdWare.WinAD.b" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{2C26F775-1301-48BE-8EC6-87B63A7D357D}\RP62\A0041315.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\temp\SearchRelevancy.exe infected by "not-a-virus:AdWare.Relevance.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinServAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\LastGood\Downloaded Program Files\WinServAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.

Kannst du da etwas mit anfangen ich nicht ich hoffe du kannst mir helfen. :heulen:

Gruß
roeppi1 :daumenhoc

@ roeppi1

Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK
Systemwiederherstellung deaktivieren ->

Mit Total Commander löschen z.B.
Navigiere im linken Fenster zum Ordner C:\WINDOWS\Downloaded Program Files und lösche (markieren -> F8 -> JA) die beanstandeten Dateien.

Hier löscht du den kompletten Ordner, ansonsten die einzelnen Dateien ->
C:\Program Files\Windows ServeAd
C:\Program Files\Windows TaskAd


- interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
- Neustart
- Systemwiederherstellung wieder aktivieren
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
- neues Log-File von HiJackThis posten

@CIDRE

Hi hier ist das Logfile von HijackThis.

Logfile of HijackThis v1.99.0
Scan saved at 21:01:13, on 08.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Jim Knopf\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ewetel.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Spyware Stormer] C:\Programme\Spyware Stormer\SpywareStormer.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

@ CIDRE

Habe falschen Logfile angegeben Sorry :kloppen:

Hier ist der richtige:

Logfile of HijackThis v1.99.0
Scan saved at 21:13:11, on 08.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\Dokumente und Einstellungen\Jim Knopf\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ewetel.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Spyware Stormer] C:\Programme\Spyware Stormer\SpywareStormer.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Gruss
roeppi1 :daumenhoc

Sieht soweit sauber aus.

Was ist mit der Abarbeitung dieser Punkte?

@Cidre

Werde die fehlenden Punkte sofort abarbeiten.
Es kann ein wenig dauern.
Kann man den IE nicht sicherer machen ohne einen anderen Browser zu verwenden?
Habe Service Pack 2 da kann es aber nicht Installieren,
bekomme während der Installation die Meldung das mein Produkt Key nicht zu meiner XP Version paßt.
woran kann das liegen???

roeppi1 :daumenhoc

P.S. Danke für deine schnelle Hilfe, ich hätte die Mühle fast aus dem Fenster
geworfen :teufel3:

@Cidre

Hi, ich bin ihn endlich losgeworden.
Ich habe versucht das ServicePack 2 zu installieren,
es geht aber nicht.
Mitten in der Installation bricht er ab und sagt mir das mein Productkey nicht zu meinem Windows passt.
Weist du woran das liegt??? :snyper: :heulen:

roeppi1 :headbang: