winhound hat sich festgesetzt

#1 hallo zuammen, bei mir hat sich in der registry festgesetzt und der will da nicht weg. ich hab mir hijackthis gegönnt, bin mir aber nicht sicher, was da alles rausmuss:-). Vielleich kann mir da jemand helfen....

Logfile of HijackThis v1.99.1
Scan saved at 14:07:21, on 15.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\System32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\System32\pupxpman.exe
I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
I:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
I:\Programme\HP\Digital Imaging\bin\hpotdd01.exe
I:\Programme\AVPersonal\AVGNT.EXE
I:\Programme\Labtec\Wireless Mouse\MulMouse.exe
I:\Programme\AVPersonal\AVGUARD.EXE
I:\Programme\AVPersonal\AVWUPSRV.EXE
I:\Programme\Ahead\InCD\InCDsrv.exe
I:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
I:\WINDOWS\System32\tcpsvcs.exe
I:\WINDOWS\System32\snmp.exe
I:\WINDOWS\System32\svchost.exe
I:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142%
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142%
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142%
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142%
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {80DA6B07-4AB1-499C-7D9F-28CC50B1EA89} - I:\WINDOWS\system32\crzx.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - I:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [mspwr] I:\WINDOWS\System32\pupxpman.exe
O4 - HKLM\..\Run: [PwrUpTweakMe] I:\WINDOWS\System32\PUPXPTWK.EXE /TWEAK
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] I:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [javauw32.exe] I:\WINDOWS\system32\javauw32.exe
O4 - HKLM\..\Run: [AVGCtrl] I:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] I:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - Global Startup: Labtec Maus Software 2.0.lnk = I:\Programme\Labtec\Wireless Mouse\MulMouse.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129548842890
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129548777875
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF92B146-86C9-4D6C-8079-046C9F16057E}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - I:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - I:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - I:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: hpdj - Unknown owner - I:\DOKUME~1\Besitzer\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - I:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Marmiko ZeroConfig Controller (MZCCntrl) - Marmiko IT-Solutions GmbH - I:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

mfg und hoffentlich antwort
Deti

#2 Fix das:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142%
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142%
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142%
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://I:\WINDOWS\system32\ckrnc.dll/sp.html#53142%
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {80DA6B07-4AB1-499C-7D9F-28CC50B1EA89} - I:\WINDOWS\system32\crzx.dll (file missing)

Teste diese Datei I:\WINDOWS\system32\javauw32.exe hier: http://virusscan.jotti.org/ und zeige uns das Ergebnis.

Dann noch den datfindbat Report hier anhaengen(!)

http://board.protecus.de/t21471-lastpage.htm#213002
__________
MfG Ralf
SEO-Spam Hunter

#3 Vielen dank soweit:-)
habe o.a. gefixt, nur die Datei I:\WINDOWS\system32\javauw32.exe existiert nicht, bzw kann nicht aufgefunden werden. Ich hab die mal rausgenommen und ein Backup gemacht. In meiner Registrierdatenbank hängt immer noch der Eintrag
Windhound:com (lt. Regcleaner). der läßt sich aber nicht entfernen.

mfg
Deti

#4 SChau mal, ob du die Datei findest, wenn du versteckte Dateien anzeigen laesst:
http://people.freenet.de/rene-gad/invisible.html

Das Winhound nicht weg geht, ist logisch, da wir noch lange nicht fertig sind!
Datfind Report waere auch nett.....
Schritt 7 aus diesem Artikel muessen wir auch noch machen:
http://virus-protect.org/artikel/spyware/spyaxe.html
__________
MfG Ralf
SEO-Spam Hunter

#5 es ist diese verseuchung:
http://virus-protect.org/artikel/spyware/trojanagenteo.html
http://virus-protect.org/artikel/spyware/trojanagent2.html

auf der zweiten Seite findest du alle Tools und auch, was zu loeschen ist.
dennoch ware eine datfindbat hier ganz gut

Lade die datFind.bat. Im Texteditor wird ein Log erscheinen. Kopiere es ab und wenn moeglich, als Anhang in den Thread.
http://board.protecus.de/download.php?id=213002.datFind.bat
__________
MfG Sabina

rund um die PC-Sicherheit

#6 hallo ihr,

hab enorme probleme mit dem winhound. ich habe eine log.datei die sich vielleicht mal jemand ansehen könnte um mir zu sagen was ich da löschen muß. wäre echt super nett, da ich schon etwas länger mit dem ding zu kämpfen habe...

thx. joschi2

Logfile of HijackThis v1.99.1
Scan saved at 18:33:50, on 17.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Aljoscha\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099845263781
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

#7 joschi2

http://virus-protect.org/cleanup.html
stelle den Cleaner genauso ein, wie hier angegeben:

Lade die datFind.bat. Im Texteditor wird ein Log erscheinen.--> speichern--Namen geben -- winhound.txt
Kopiere es ab und wenn moeglich, als Anhang in den Thread.
http://board.protecus.de/download.php?id=213002.datFind.bat
__________
MfG Sabina

rund um die PC-Sicherheit

#8 hallo ihr,

hoffe das ist das was ihr sehen wollt.

thx Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 045E-9B5D

Verzeichnis von c:\

18.01.2006 16:50 0 dirdat.txt
18.01.2006 16:47 402.653.184 pagefile.sys
31.12.2005 12:30 211 boot.ini
16.01.2005 15:57 81 CTX.DAT
07.11.2004 17:18 47.564 NTDETECT.COM
07.11.2004 17:18 251.184 ntldr
07.11.2004 17:02 0 MSDOS.SYS
07.11.2004 17:02 0 AUTOEXEC.BAT
07.11.2004 17:02 0 CONFIG.SYS
07.11.2004 17:02 0 IO.SYS
29.08.2002 13:00 4.952 bootfont.bin
11 Datei(en) 402.957.176 Bytes
0 Verzeichnis(se), 35.569.733.632 Bytes frei
Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 045E-9B5D

Verzeichnis von C:\WINDOWS\system32

13.01.2006 15:38 2.206 wpa.dbl
05.01.2006 04:41 2.836.320 MRT.exe
04.01.2006 15:54 114.176 FNTCACHE.DAT
31.12.2005 12:29 311.740 perfh009.dat
31.12.2005 12:29 40.128 perfc009.dat
31.12.2005 12:29 48.354 perfc007.dat
31.12.2005 12:29 316.924 perfh007.dat
31.12.2005 12:29 722.222 PerfStringBackup.INI
29.12.2005 03:54 280.064 gdi32.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
17.10.2005 22:20 80.896 fontsub.dll
17.10.2005 22:20 118.272 t2embed.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll

#9 joschi2

per Anhang waere besser gewesen (siehe unten)...poste den Rest der Logs (die Daten von 2002 interessieren mich nicht...)
__________
MfG Sabina

rund um die PC-Sicherheit

#10 sorry
hoffe so ist es besser

thx. joschi2

#11 joschi2

--> mit Windows-Suche --> suchen C:\CTX.DAT --> rechtsklick auf die Datei--> oeffnen mit--> Editor--> kopiere hier, was da steht.

----------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"


C:\WINDOWS\TDF.DII
C:\WINDOWS\tm.ini
C:\WINDOWS\stub8.ini
C:\WINDOWS\stub7.ini
C:\WINDOWS\stub6.ini
C:\WINDOWS\warnhp.html
C:\WINDOWS\stub5.ini
C:\WINDOWS\stub4.ini
C:\WINDOWS\stub3.ini
C:\WINDOWS\stub2.ini
C:\WINDOWS\stub1.ini
C:\WINDOWS\logs1.ini
C:\WINDOWS\_default.pif
C:\WINDOWS\amipk.dat
C:\WINDOWS\qwzzv.log
C:\WINDOWS\logs2.ini

PC neustarten

scanne und kopiere hier den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe

---------------------------------------------------------------------

Zitat

15.01.2006 11:50 832 WISO.INI
15.01.2006 11:49 30 TDF.DII
15.01.2006 11:49 2.803 tm.ini

31.12.2005 12:30 487 win.ini
31.12.2005 12:30 227 system.ini
31.12.2005 03:14 23.318 stub8.ini
31.12.2005 03:13 23.344 stub7.ini
31.12.2005 03:12 23.619 stub6.ini

29.12.2005 17:48 1.430 warnhp.html
29.12.2005 11:02 23.500 stub5.ini
29.12.2005 11:02 23.246 stub4.ini
29.12.2005 10:44 23.166 stub3.ini
29.12.2005 09:26 22.711 stub2.ini
29.12.2005 08:58 22.854 stub1.ini

27.12.2005 06:09 1.199 logs1.ini
27.12.2005 02:03 707 _default.pif

23.12.2005 12:34 3.567 amipk.dat

19.12.2005 18:26 197.761 qwzzv.log

04.12.2005 16:54 0 logs2.ini

__________
MfG Sabina

rund um die PC-Sicherheit

#12 Habe folgendes bei C:\CTX.DAT gefunden


¬í sr java.lang.Integerâ¤÷�‡8
I valuexr java.lang.Number†¬•”à‹ xpb–ui


danke und hoffe von dir zu hören
joschi2

#13 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"


C:\WINDOWS\TDF.DII
C:\WINDOWS\tm.ini
C:\WINDOWS\stub8.ini
C:\WINDOWS\stub7.ini
C:\WINDOWS\stub6.ini
C:\WINDOWS\warnhp.html
C:\WINDOWS\stub5.ini
C:\WINDOWS\stub4.ini
C:\WINDOWS\stub3.ini
C:\WINDOWS\stub2.ini
C:\WINDOWS\stub1.ini
C:\WINDOWS\logs1.ini
C:\WINDOWS\_default.pif
C:\WINDOWS\amipk.dat
C:\WINDOWS\qwzzv.log
C:\WINDOWS\logs2.ini

PC neustarten

ADSSpy.exe
loesche /deleted die Streams
C:\WINDOWS\_default.pif : nevcq (133791 bytes)
C:\WINDOWS\KB886185.log : tkxoub (11895 bytes)
C:\WINDOWS\KB888113.log : lkhbxl (35447 bytes)
C:\WINDOWS\KB894391.log : gaspff (133791 bytes)
C:\WINDOWS\KB894391.log : znwfpl (197761 bytes)
C:\WINDOWS\KB896423.log : yblchq (11895 bytes)
C:\WINDOWS\qwzzv.log : caskh (0 bytes)

Counterspy
http://virus-protect.org/counterspy.html

- nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove
*Quarantaine

wähle immer Remove und starte den PC neu

kopiere hier den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Habe die Sachen soweit gemacht
Beim scan ist nichts rumgekommen

thx.joschi2

#15 Start -- Einstellungen -- Systemsteuerung -- Java --- zum Java Control Panel: dort bei Allgemein dann die "Temporären Internet Dateien" löschen

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal

Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe
kopiere die textdatei, nach dem scan
__________
MfG Sabina

rund um die PC-Sicherheit