was ist HideDrive.exe und wo kommt die her?

Ich habe neuerdings eine HideDrive.exe im Windows-Ordner, die bei jedem Neustart mitgestartet werden wollte. Sie hat 36kb und das Datum 02.10.2006. Ein Blick in die Eigenschaften bringt keine Versions/Hersteller-Infos.
Wo kommt die plötzlich her und was tut sie? Ich habe die noch nie gesehen. Löschen läßt sie sich nicht und avast findet aber keine Warnung. Suche im Web brachte keine Ergebnisse.

Übrigends ist jetzt ein komprimiertes Laufwerk bei mir weg. (versteckt, nicht physikalisch)

 

Du kannst dir den Prozess mal mit Process Explorer genauer angucken.
http://www.microsoft.com/germany/technet/sysinternals/utilities/ProcessExplorer.mspx
Die Datei mal bei www.virustotal,com/de untersuchen lassen.
Und mach mal bitte ein Hijackthis-Log.

 

Na gut hier das HiJackThis-Log:

es lies sich aber erst anhängen, nachdem ich es in HijackThis.txt umbenannt habe. Stand aber in der Beschreibung zum hochladen auch drin.

Die scheinbar merkwürdigen Einträge in der HOSTS-Datei habe ich selber angelegt um Links und Zugriffe darauf ins NICHTS umzulenken, weil es diese IPs bei mir nicht gibt.

Ich habe diesen PC an einem Router mit Hardware-Firewall zusammen mit einem XP-Rechner. Daher läuft derzeit keine Softwarefirewall. Weil ich bei SygatePersonalFirewall mal das Passwort vergessen hatte, habe ich es deinstallieren müssen.

 

Windows 98 ist sicher vor Netzwerkwürmern, da die NT-Systeme befallen. XP kann verseucht sein, ohne dass Windows 98 dadurch gefährdet wird.

Ich finde die HideDrive.exe nicht unter den Einträgen.

Hier wird ein ActiveX-Steuerelement geladen:

Code:

O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} - [url]http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab[/url]

Wofür ist das gut?

 

Das NT-Würmer Win98 nix schaden können ist nur ein kleiner Trost.

Das HideDrive nicht mehr im HijackThis.log zu finnden ist, liegt daran, daß ich das unbekannte Programm sofort nach der Entdeckung mit allen möglichen Mitteln zu deaktivieren versuchte: Prozess killen, raus aus Startup, Neustart und umbenennen. Registry danach durchsuchen und entfernen.

Leider bleibt das Laufwerk H: versteckt.

Unter der URL (die nicht mit SeaMonkey, aber mit IE6 angezeigt wird)
http://downloadfile.org/Shell_and_Desktop/Misc__Shell_Enhancements/Hide_Drive.html wird ein HideDrive für Geld ($5) angeboten, aber als Version 1,5.

(Was sollte grade der "Sofa"-Flash-Popup bei PCWelt.de?)

Versuche mit Windelete5 Hide-Drive.exe zu starten schlugen fehl! ich wollte versuchen die Aktivitäten zu protokollieren. Der Aufruf in der DOS-Box hidedrive /? verursachte das Verstecken aller Laufwerke!

Dann fand ich http://209.85.135.104/search?q=cach...edrive.xls+hidedrive&hl=de&ct=clnk&cd=3&gl=de
Danach gab ich hidedrive 0 0 ein und alle Hardware-Laufwerke waren wieder da, nur H: nicht.
Das Verstecken von H: läuft weiterhin. Auch nach killen des Prozesses.

Dann habe ich versucht mir die exe mit HexEdit und mit 'nem normalen Texteditor anzusehen, was etwas unterschiedliche Ergebnisse brachte:
HexEdit zeigte einige Befehle in Klartext an, die teilweise auch mit dem Texteditor sichtbar waren, doch in letzterem war noch viel mehr zu sehen. Am Ende der Datei ein größerer RDF-Abschnitt, als ob versucht wurde meine online-Aktivitäten auszuspionieren. Kopy und Paste klappte mit beiden nicht so recht.
So benutzte ich ProcessExplorer von http://www.microsoft.com/germany/technet/sysinternals/utilities/ProcessExplorer.mspx
.
Das bot die Möglichkeit die enthaltenen Klartexte als Textdatei zu speichern. Das Ergebnis ist etwas länger, weshalb ich es als Anhang mache.
HideDrive ist kein DOS-Prog laut dem immer angezeigten Fragment:
"!This program cannot be run in DOS mode."
"System
HideDrive Version 1.0
Copyright (C) 2006
HideDrive
Hello World!
HIDEDRIVE"

Auch darin finden sich die komischen RDF-Abschnitte, die HexEdit als lauter Nullen anzeigte.

Unter http://209.85.135.104/search?q=cach...edrive.xls+hidedrive&hl=de&ct=clnk&cd=3&gl=de fand ich Parameter, mit denen man das Prog aufrufen könnte. "Nach hideDrive 0 0" in einer DOS-Box waren die physikalischen Laufwerke wieder da. nur H: fehlt weiterhin.

Eine Suche in meinem Download-Ordner nach beliebigen Dateien, die die Zeichenkette "HideDrive" enthalten brachte gar keinen Treffer. RDF Code enthalten aber die ganzen Mozilla-Dateien mit der Endung .rdf.

Soweit ich irgendwo anders gelesen habe wurde ein Hidedrive entwickelt um Backup-Laufwerke vor unwissenden PC-Benutzern zu verstecken. Doch konnte ich nicht herausfinden mit welchem Programm ich mir das unbewußt und ungewollt eingehandelt habe.

Ach so als Ergänzung:
der scheinbar komische Eintrag mit "nvidia.com" stammt von einem Versuch auf der Herstellerseite meiner Grafikkarte nach neueren Treibern zu suchen. Habe ich mir das da eingehandelt?

 

Jetzt habe ich noch Windows nach Dateien, die den Text "HideDrive" enthalten durchsucht und fand folgende Dateien:
C:\Windows\Installer\4e69f9.msi
C:\Windows\Downloaded Installations\{BC922324-***}\USB to IDE Bridge Driver.msi

4e69f9.msi ist ein MultimediaCardReader der viel Polnisch bzw. slavisch anmutenden Text enthält. und über 4MB groß ist.

USB to IDE Bridge Driver.msi müßte der Treiber für externe Festplatten sein, den ich kürzlich kaufte, aber noch keine Platte daran zu sehen bekam.
In der zugehörigen .ini steht bei [language] =chinesisch traditionell

 

Du kannst mal versuchen, mit Scanreg /restore am DOS-Prompt (MSDOS starten) einen älteren Systemzustand wiederherzustellen.

 

@deoroller:
ja, das wäre auch ne gute Idee. Das kenne ich und habs schon mal benutzt.

Ich habe aber erfreulicherweise den "USB to IDE-Treiber" doch mit Windelete5 installiert und so ein genaues Protokoll, welche Registry-einträge angelegt oder verändert wurden. Die bezüglich HideDrive habe ich alle in regEdit gelöscht und nun sind erstmal wieder alle Laufwerke da!
Die externe Festplatte noch nicht, aber die scheint sowieso ein Problem zu haben. Ich habe sie im anderen PC als Slave eingebaut, doch da erscheint sie auch nicht. Also ist auch mit der 'was kaputt.
Wenn es mir gelungen ist die als normale Platte wieder einzubinden, versuche ich es nochmal als USB-.Festplatte. Laut Anleitung zu dem IDE-to-USB-Adapter soll nämlich die Jumperung der Platte egal sein, um erkannt zu werden. der ist übrigends chinesisches Produkt.