winhound hat sich festgesetztThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
15.01.2006, 14:52
Member
Beiträge: 13 |
||
|
||
15.01.2006, 16:55
Moderator
Beiträge: 7805 |
#2
Fix das:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142% R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142% R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142% R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142% R3 - Default URLSearchHook is missing O2 - BHO: Class - {80DA6B07-4AB1-499C-7D9F-28CC50B1EA89} - I:\WINDOWS\system32\crzx.dll (file missing) Teste diese Datei I:\WINDOWS\system32\javauw32.exe hier: http://virusscan.jotti.org/ und zeige uns das Ergebnis. Dann noch den datfindbat Report hier anhaengen(!) http://board.protecus.de/t21471-lastpage.htm#213002 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.01.2006, 15:24
Member
Themenstarter Beiträge: 13 |
#3
Vielen dank soweit:-)
habe o.a. gefixt, nur die Datei I:\WINDOWS\system32\javauw32.exe existiert nicht, bzw kann nicht aufgefunden werden. Ich hab die mal rausgenommen und ein Backup gemacht. In meiner Registrierdatenbank hängt immer noch der Eintrag Windhound:com (lt. Regcleaner). der läßt sich aber nicht entfernen. mfg Deti |
|
|
||
17.01.2006, 16:30
Moderator
Beiträge: 7805 |
#4
SChau mal, ob du die Datei findest, wenn du versteckte Dateien anzeigen laesst:
http://people.freenet.de/rene-gad/invisible.html Das Winhound nicht weg geht, ist logisch, da wir noch lange nicht fertig sind! Datfind Report waere auch nett..... Schritt 7 aus diesem Artikel muessen wir auch noch machen: http://virus-protect.org/artikel/spyware/spyaxe.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.01.2006, 16:39
Ehrenmitglied
Beiträge: 29434 |
#5
es ist diese verseuchung:
http://virus-protect.org/artikel/spyware/trojanagenteo.html http://virus-protect.org/artikel/spyware/trojanagent2.html auf der zweiten Seite findest du alle Tools und auch, was zu loeschen ist. dennoch ware eine datfindbat hier ganz gut Lade die datFind.bat. Im Texteditor wird ein Log erscheinen. Kopiere es ab und wenn moeglich, als Anhang in den Thread. http://board.protecus.de/download.php?id=213002.datFind.bat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.01.2006, 19:35
...neu hier
Beiträge: 5 |
#6
hallo ihr,
hab enorme probleme mit dem winhound. ich habe eine log.datei die sich vielleicht mal jemand ansehen könnte um mir zu sagen was ich da löschen muß. wäre echt super nett, da ich schon etwas länger mit dem ding zu kämpfen habe... thx. joschi2 Logfile of HijackThis v1.99.1 Scan saved at 18:33:50, on 17.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Windows Media Player\wmplayer.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Aljoscha\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099845263781 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
|
|
||
17.01.2006, 23:52
Ehrenmitglied
Beiträge: 29434 |
#7
joschi2
http://virus-protect.org/cleanup.html stelle den Cleaner genauso ein, wie hier angegeben: Lade die datFind.bat. Im Texteditor wird ein Log erscheinen.--> speichern--Namen geben -- winhound.txt Kopiere es ab und wenn moeglich, als Anhang in den Thread. http://board.protecus.de/download.php?id=213002.datFind.bat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.01.2006, 17:01
...neu hier
Beiträge: 5 |
#8
hallo ihr,
hoffe das ist das was ihr sehen wollt. thx Datentr„ger in Laufwerk C: ist WinXP Volumeseriennummer: 045E-9B5D Verzeichnis von c:\ 18.01.2006 16:50 0 dirdat.txt 18.01.2006 16:47 402.653.184 pagefile.sys 31.12.2005 12:30 211 boot.ini 16.01.2005 15:57 81 CTX.DAT 07.11.2004 17:18 47.564 NTDETECT.COM 07.11.2004 17:18 251.184 ntldr 07.11.2004 17:02 0 MSDOS.SYS 07.11.2004 17:02 0 AUTOEXEC.BAT 07.11.2004 17:02 0 CONFIG.SYS 07.11.2004 17:02 0 IO.SYS 29.08.2002 13:00 4.952 bootfont.bin 11 Datei(en) 402.957.176 Bytes 0 Verzeichnis(se), 35.569.733.632 Bytes frei Datentr„ger in Laufwerk C: ist WinXP Volumeseriennummer: 045E-9B5D Verzeichnis von C:\WINDOWS\system32 13.01.2006 15:38 2.206 wpa.dbl 05.01.2006 04:41 2.836.320 MRT.exe 04.01.2006 15:54 114.176 FNTCACHE.DAT 31.12.2005 12:29 311.740 perfh009.dat 31.12.2005 12:29 40.128 perfc009.dat 31.12.2005 12:29 48.354 perfc007.dat 31.12.2005 12:29 316.924 perfh007.dat 31.12.2005 12:29 722.222 PerfStringBackup.INI 29.12.2005 03:54 280.064 gdi32.dll 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 3.013.632 mshtml.dll 24.11.2005 00:58 1.022.464 browseui.dll 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 21.10.2005 04:40 664.064 wininet.dll 21.10.2005 04:40 474.112 shlwapi.dll 21.10.2005 04:40 448.512 mshtmled.dll 21.10.2005 04:40 146.432 msrating.dll 21.10.2005 04:40 39.424 pngfilt.dll 21.10.2005 04:40 530.944 mstime.dll 21.10.2005 04:40 96.768 inseng.dll 21.10.2005 04:40 205.312 dxtrans.dll 21.10.2005 04:40 251.392 iepeers.dll 21.10.2005 04:40 152.064 cdfview.dll 21.10.2005 04:40 55.808 extmgr.dll 20.10.2005 23:25 1.094.144 esent.dll 17.10.2005 22:20 80.896 fontsub.dll 17.10.2005 22:20 118.272 t2embed.dll 13.10.2005 00:11 15.584 spmsg.dll 06.10.2005 04:08 1.839.616 win32k.sys 23.09.2005 04:06 8.491.520 shell32.dll 10.09.2005 02:54 2.067.968 cdosys.dll |
|
|
||
18.01.2006, 17:05
Ehrenmitglied
Beiträge: 29434 |
#9
joschi2
per Anhang waere besser gewesen (siehe unten)...poste den Rest der Logs (die Daten von 2002 interessieren mich nicht...) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.01.2006, 18:26
...neu hier
Beiträge: 5 |
||
|
||
18.01.2006, 19:39
Ehrenmitglied
Beiträge: 29434 |
#11
joschi2
--> mit Windows-Suche --> suchen C:\CTX.DAT --> rechtsklick auf die Datei--> oeffnen mit--> Editor--> kopiere hier, was da steht. ---------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\TDF.DII C:\WINDOWS\tm.ini C:\WINDOWS\stub8.ini C:\WINDOWS\stub7.ini C:\WINDOWS\stub6.ini C:\WINDOWS\warnhp.html C:\WINDOWS\stub5.ini C:\WINDOWS\stub4.ini C:\WINDOWS\stub3.ini C:\WINDOWS\stub2.ini C:\WINDOWS\stub1.ini C:\WINDOWS\logs1.ini C:\WINDOWS\_default.pif C:\WINDOWS\amipk.dat C:\WINDOWS\qwzzv.log C:\WINDOWS\logs2.ini PC neustarten scanne und kopiere hier den scanreport http://virus-protect.org/artikel/tools/ADSSpy.exe --------------------------------------------------------------------- Zitat 15.01.2006 11:50 832 WISO.INI __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.01.2006, 20:36
...neu hier
Beiträge: 5 |
#12
Habe folgendes bei C:\CTX.DAT gefunden
¬í sr java.lang.Integerâ¤÷‡8 I valuexr java.lang.Number†¬•”à‹ xpb–ui danke und hoffe von dir zu hören joschi2 Anhang: scanreport.txt
|
|
|
||
18.01.2006, 20:45
Ehrenmitglied
Beiträge: 29434 |
#13
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\TDF.DII C:\WINDOWS\tm.ini C:\WINDOWS\stub8.ini C:\WINDOWS\stub7.ini C:\WINDOWS\stub6.ini C:\WINDOWS\warnhp.html C:\WINDOWS\stub5.ini C:\WINDOWS\stub4.ini C:\WINDOWS\stub3.ini C:\WINDOWS\stub2.ini C:\WINDOWS\stub1.ini C:\WINDOWS\logs1.ini C:\WINDOWS\_default.pif C:\WINDOWS\amipk.dat C:\WINDOWS\qwzzv.log C:\WINDOWS\logs2.ini PC neustarten ADSSpy.exe loesche /deleted die Streams C:\WINDOWS\_default.pif : nevcq (133791 bytes) C:\WINDOWS\KB886185.log : tkxoub (11895 bytes) C:\WINDOWS\KB888113.log : lkhbxl (35447 bytes) C:\WINDOWS\KB894391.log : gaspff (133791 bytes) C:\WINDOWS\KB894391.log : znwfpl (197761 bytes) C:\WINDOWS\KB896423.log : yblchq (11895 bytes) C:\WINDOWS\qwzzv.log : caskh (0 bytes) Counterspy http://virus-protect.org/counterspy.html - nach dem Scan muss man sich entscheiden für: *Ignore *Remove *Quarantaine wähle immer Remove und starte den PC neu kopiere hier den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.01.2006, 18:29
...neu hier
Beiträge: 5 |
||
|
||
20.01.2006, 00:49
Ehrenmitglied
Beiträge: 29434 |
#15
Start -- Einstellungen -- Systemsteuerung -- Java --- zum Java Control Panel: dort bei Allgemein dann die "Temporären Internet Dateien" löschen
SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal Download FixWareout: http://swandog46.geekstogo.com/Fixwareout.exe kopiere die textdatei, nach dem scan __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 14:07:21, on 15.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\System32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\System32\pupxpman.exe
I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
I:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
I:\Programme\HP\Digital Imaging\bin\hpotdd01.exe
I:\Programme\AVPersonal\AVGNT.EXE
I:\Programme\Labtec\Wireless Mouse\MulMouse.exe
I:\Programme\AVPersonal\AVGUARD.EXE
I:\Programme\AVPersonal\AVWUPSRV.EXE
I:\Programme\Ahead\InCD\InCDsrv.exe
I:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
I:\WINDOWS\System32\tcpsvcs.exe
I:\WINDOWS\System32\snmp.exe
I:\WINDOWS\System32\svchost.exe
I:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142%
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142%
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142%
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142%
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {80DA6B07-4AB1-499C-7D9F-28CC50B1EA89} - I:\WINDOWS\system32\crzx.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - I:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [mspwr] I:\WINDOWS\System32\pupxpman.exe
O4 - HKLM\..\Run: [PwrUpTweakMe] I:\WINDOWS\System32\PUPXPTWK.EXE /TWEAK
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] I:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [javauw32.exe] I:\WINDOWS\system32\javauw32.exe
O4 - HKLM\..\Run: [AVGCtrl] I:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] I:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - Global Startup: Labtec Maus Software 2.0.lnk = I:\Programme\Labtec\Wireless Mouse\MulMouse.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129548842890
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129548777875
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF92B146-86C9-4D6C-8079-046C9F16057E}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - I:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - I:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - I:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: hpdj - Unknown owner - I:\DOKUME~1\Besitzer\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - I:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Marmiko ZeroConfig Controller (MZCCntrl) - Marmiko IT-Solutions GmbH - I:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
mfg und hoffentlich antwort
Deti