winde.exe nicht löschbar

#0
09.08.2003, 02:14
...neu hier

Beiträge: 3
#1 Juten Morjen Leute,

Ich hab den ganzen Freitag damit verbracht einen Dialer von meiner Platte zu verbannen. Ich bin kläglich gescheitert. Das Ding, was so unglaublich hartnäckig ist heisst winde.exe und befindet sich im windows/system32 Verzeichnis.
Ich bin durch Zufall auf das Ding gestossen als ich den Taskmanager geöffnet habe...mach ich öfter mal um nachzusehen was sich da so tut. Erst hab ich die winde.exe gelöscht in der Hoffnung sie taucht nicht wieder auf. Weit gefehlt. Das Ding sitzt nich nur im windows/system32 Ordner sondern legt legt sich noch ein Ordner programme/winde an, legt ein Icon auf den Desktop, fügt sich ins WinXP Startmenue ein und schreibt etliche Einträge in die Registry.
Als ich dann alles manuell gelöscht hab, habe ich rebootet und dachte erst das Ding wäre weg. Aber als ich den IE6 wieder geöffnet habe...*schwups* war die winde.exe wieder im Taskmanager (Gott sei Dank zeigt Zonealarm das immer an). Zunächst hab ich in google gesucht...aber google findet nich einen einzigen Eintrag fuer winde.exe.
Dann bin ich auf diese Seite gestossen und hab den janzen Nachmittag die Posts gelesen. Hab Programme wie Spybot, Adaware6 oder auch Yet Another Warner und Norten AntiVirus probiert. Die winde.exe lässt sich absolut nich entfernen und wird noch nich einmal von den ganzen Programmen erkannt. Immer wenn ich den IE6 öffne lädt sich die Datei anscheind wieder von selbst herunter. Auch ein Deaktivieren von Java oder Active-X Steuerelementen in den Internetoptionen bringt absolut nichts.
Das Icon auf dem Desktop verweist auf irgendso eine Teen Sex-SMS Seite.
Naja...da ich mich so über diese Dreistigkeit geärgert hab, bin ich in den abgesicherten Modus und hab den Internet Explorer Ordner gelöscht. Jetzt surfe ich übergangsweise mit Opera.

So, nu bin ick fix un fertig vom Tach...ersma pennen jezze! ;-)

Jut N8
Hanzen
Seitenanfang Seitenende
09.08.2003, 13:06
Member

Beiträge: 117
#2 Hallo,
hört sich echt übel an, besonders das die ganzen Schutzprogramme den nicht erkennen. Vielleicht ist er ja ganz neu.

"Immer wenn ich den IE6 öffne lädt sich die Datei anscheind wieder von selbst herunter."
Wie denn das, ich dachte das deine Firewall den Zugriff von winde blockiert.
Wahrscheinlich ist eher das Du den Dialer noch nicht komplett entfernt hast.

Man könnte jetzt auf gut Glück in bestimmten Registryschlüsseln nach dem Dialer suchen, aber das hast Du wahrscheinlich schon gemacht.

Mir fällt im Moment nur folgender "Lösungsweg" ein:

Lade Dir unter http://www.sysinternals.com/ ->utilities
Filemon und Regmon herunter.

Bei beiden Proggies Options-->Filter/Highlight-->Include

In Include trägst Du dann "Winde" ein.

Damit hast Du den Filter der beiden Programme auf winde eingestellt.

Wenn Du jetzt die beiden Programme aktiviert hast werden alle Aktivitäten

von Winde dargestellt. Wenn es auf Ordner/Dateien bzw. auf die registry zugreift.

Wenn Du winde also jetzt aktiviert entweder mit Hilfe des IE6 oder manuell (du kannst jegliche InternetVerbindung mit Hilfe deiner Firewall schon im vorraus blocken lassen, so dass nie eine (teure) Verbindung zustande kommt), werden alle Zugriffe aufgezeichnet.

Speichere dann die Liste vorsichsthalber und dann geht es an die wirklich harte Arbeit.
Das einzig wichtige in den beiden listen ist, wenn winde unter result Success stehen hat. Dann konnte es nämlich erfolgreich auf den Registry-Eintrag oder Ordner zugreifen.
Mit einem Doppelklick auf die jeweilige meldung kommst Du dann auch genau an den entsprechenden Ort.
Deine Aufgabe ist jetzt herauszufinden ob Du löschen darfst oder ob der dargestellte erfolgreiche Zugriff nur standard für jedes programm ist und nichts spezifisch mit Winde zu tun hat.

Rate dir erstmal alles zu löschen wo der Name winde auftaucht.
Dann die liste von Filemon/regtmon zu löschen und winde wieder zu aktivieren. Dann must Du halt sehen. Sind die gelöschten einträge jetzt unter Result mit "not found" gekennzeichnet hat alles gefunzt. steht da wieder "Success" hat winde den Eintrag wieder selbst hergestellt.
Dann muss einer der anderen dargestellten Aktivitäten diese Wiederherstellung aktiviert haben.
(Da die beiden Proggies alle aktivitäten in real-time darstellen sollte man diese wiedrherstallungspunkt schnell finden. Da dafür ja nur alle Einträge überhalb des widerhergestellten Schlüssels dafür in Frage kommen sollten. Dann musst Du Dich daran versuchen, auch wenn da der Name winde nicht auftaucht. Aber immer ne sicherheitskopie machen.)


Wie gesagt das ganze ist defintiv keine Patentlösung. Und wenn du Pech hast, musst du viel Zeit investieren. vielleicht hast Du aber auch glück und es funzt schnell. Am besten wäre natürlich, wenn irgend jemand anders ne einfacherer und schnellere lösung parat hat.

Gruß
Greg
Seitenanfang Seitenende
09.08.2003, 15:59
...neu hier

Themenstarter

Beiträge: 3
#3 Moinsen Greg,

danke erstma fuer deine ausfuehrliche Erklaerung. Ich hab heut morjen ersma meine HD formatiert. Hab mir deine "Anleitung" aber schon abgespeichert und wenn ich wieder son Mist auf dem Rechner hab versuch ichs damit.
Heut morjen hab ich gegoogelt und den ersten Eintrag gefunden, der sich mit winde.exe beschäftigt (auf www.chip.de).
Mich hat das auch sehr gewundert, daß kein einziges Programm diesen Dialer bemerkt bzw gefunden hat...scheint wohl ein recht neues Ding zu sein. Zonealarm hat natuerlich angezeigt das der iexplorer.exe ins Internet will...soweit ja auch nich schlimm. 3-4 Sekunden später meldet es dann, das winde.exe ebenfalls auf I-Net zugreift obwohl ich es zuvor komplett (soweit es möglich war) entfernt hatte. Da lädt sich der IE6 die Datei ständig wieder runter , wenn sie nich im windows/system32 Ordner ist. Da ich DSL hab und hinter einem Router sitze waere es warscheinlich nich so schlimm gewesen...aber mich hat das unruhig gemacht und wer will schon sowat hartnäckiges auf dem Rechner haben ;-)

Naja...ma abwarten. Ich bin mir sicher ich bin nich der letzte der hier nach winde.exe gefragt hat...aber ich war der erste *gg*.

Bis dahann...und gebt Acht. Hoffentlich gibts bald ein Tool dagegen.
Hanzen
Seitenanfang Seitenende
12.08.2003, 19:07
...neu hier

Beiträge: 3
#4 Hi !
Ich hab leider genau das gleiche Problem. War auf der Freenet-Startseite
und nun hat sich das winde.exe bei mir niedergelassen. Löschen bringt
nichts, bei der nächsten Internet-Verbindung ist die Datei wieder da.

Hab über das Menu: ""Programme die beim Start von Wind.XP gestartet werden" das Programm erstmal ausgeschaltet, weil löschen geht ja nicht.
Hab auch alles versucht - der ist hartnäckig.

Gibt es nicht doch eine einfachere Lösung als die o.a.? Hab nämlich gerade
meinen Compu fertig installiert und nun das...

Vielen Dank für eine erneute Resonanz!

Viele Grüße
Andreas
Seitenanfang Seitenende
12.08.2003, 19:38
...neu hier

Beiträge: 1
#5 Also löschen geht wirklich nicht. Aber man kann die Datei mit dem Editor öffnen und dann im verschlüsselten Quellcode alles entfernen. Dann versucht winde.exe wenigstens nicht mehr, ins Netz zu gelangen.

Es muß also eine Abfrage existieren, die auf den Dateinamen anspringt. Denn ich habe vorher winde.exe gelöscht und auch umbenannt. In beiden Fällen wurde die Datei neu installiert.

Frank
Seitenanfang Seitenende
12.08.2003, 20:15
...neu hier

Themenstarter

Beiträge: 3
#6 Yosen,

@Andreas
Das kommt mir alles recht bekannt vor. Leider hab ich bis jetzt nur die Alternative von frank7799 anwenden koennen. D.h. man erzeugt im windows/system32 Ordner eine leere Datei mit Namen "winde.exe". Dann wird das file nich neu heruntergeladen...kann sich aber auch nicht starten, da es kein Code beinhaltet.

Ansonsten heisst es abwarten bis das Tool zum Entfernen rauskommt.

Hanzen
Seitenanfang Seitenende
12.08.2003, 20:39
...neu hier

Beiträge: 3
#7 ...super Idee!

Hab's gemacht. Jetzt nervt der zunimdest nicht mehr so rum und
auch der IE geht schon wieder schneller auf. Der verharrte nämlich
immer für mehrere Sekunden...

Danke und 'n schönen Abend !

Wir warten auf das Tool...
Andreas
Seitenanfang Seitenende
13.08.2003, 16:52
...neu hier

Beiträge: 2
#8 Hi,
habe hier auch einen PC, auf dem sich das ominöse winde.exe befand.
Die Ursache für das Neuerstellen der Datei bei jedem Internetbesuch
ist die IE-Erweiterung die in der Datei IEMPG.dll steckt.

Entweder
Man schaltet die Unterstützung für die BHO's (Browser-Helper-Objects) aus: Im Internet-Explorer unter Extras - Internetoptionen - Erweitert - Browsererweiterungen von Drittanbietern aktivieren (Neustart erforderlich) das Häkchen entfernen.
Nachteil: Alle anderen Erweiterungen gehen auch nicht.
oder
Mit dem Tool bhodmon (einfach mal bei Google eingeben) den BHO abschalten.
oder
Die Datei iempg.dll löschen.

So das wärs
Dieser Beitrag wurde am 13.08.2003 um 16:53 Uhr von tassenhenkel editiert.
Seitenanfang Seitenende
15.08.2003, 20:57
...neu hier

Beiträge: 1
#9 Der Tip von Tassenhenkel funktioniert.

Habe die Datei iempg.dll gelöscht und bin danach nochmal mit adaware über die Festplatte. Bin das Ding jetzt endlich los. Man findet winde jetzt auch nicht mehr unter suchen. War 'n ganz schön hartnäckiges kleines Ding.
Seitenanfang Seitenende
16.08.2003, 16:35
...neu hier

Beiträge: 3
#10 Ja super !

Bei mir hats jetzt auch funktioniert. Endllich weg.
Auch selten sowas hartnäckiges aufm Rechner gehabt...

Andreas
Seitenanfang Seitenende
16.08.2003, 18:36
...neu hier

Beiträge: 1
#11 Danke Tassenhenkel!

Ich habe genauso wie Andreas77 die Datei iempg.dll gelöscht und endlich ist die verfluchte winde.exe weg!

Du hast mir den Tag gerettet.........

Tobias
Seitenanfang Seitenende
16.08.2003, 22:28
...neu hier

Beiträge: 3
#12 Hallo zusammen
Hatte mir auch den winde.exe zugezogen und dank dem Beitrag von "tassenhenkel" :-) bin ich ihn glaube ich losgeworden.
Habe die dll Datei gelöscht, aber diese dll Datei ist doch sicherlich nicht für winde.exe angelegt worden. Habe ich jetzt einen eingeschränkten IE?
Wenn ja, reicht es dann wenn ich ein update mache?

smagictoy
Seitenanfang Seitenende
17.08.2003, 21:37
...neu hier

Beiträge: 2
#13 Hi,
schon irgend eine Einschränkung des IE bemerkt?
Ich vermute nicht. Diese dll wurde wohl genau
für winde.exe angelegt und für sonst nix.
Also keine Einschränkung, kein Update,
einfach fröhlich sein.

Und tschüss
Seitenanfang Seitenende
17.08.2003, 21:56
...neu hier

Beiträge: 1
#14 hi ...

ich hatte mir auch das scheiss ding vor etwa nem monat auf die HD geholt ...
hatte edliche versuche gestartet das ding woeder loszuwerden ... registry einträge gelöscht , winde.exe gelöscht und im winstart das ding deaktiviert ...
half alles nix ... es war immer wieder da ...
dann kam ich auf die glänzende idee nen fakefile zu erstellen und hab das dann noch mit nem schreibschutz versehen ... war die einzige lösung bis dahin das ding von meiner HD zu verbannen ... tja bis nun weilt winde.exe noch immer mit 0 Byte vor sich hin ohne sich zu rühren ;))

tja, nun bin ich auf diese seite gestossen und hab zufällig noch jemanden gefunden mit dem schei* ding ... und noch einiges erfahren (-> IEMPG.dll)

hab mich gleich auf die suche nach iempg.dll gemacht sie aber nirgends gefunden ? was soll ich davon halten ? wahrscheinlich schon in der Reg. gelöscht als ich nach dem eintrag winde alles durchgegangen bin ?

wenn ja! müsste das ja soviel bedeuten wie, was sich hier schon die frage gestellt hat, dass iempg.dll eine IE datei sei, nun beanwortet wäre und dies nicht der fall wäre ... da ich in der Reg. nur Einträge bezüglich auf Winde gelöscht habe ... bitte belehrt mich eines Bessern ... falls das nicht so is ...



cYa 'N' gr333z Schoe
Dieser Beitrag wurde am 17.08.2003 um 22:06 Uhr von Schoe editiert.
Seitenanfang Seitenende
18.08.2003, 13:48
Member

Beiträge: 213
#15 Mittlerweile kennen AdAware und sogar KAV (TrojanDownloader.Win32.Dluca.e) dieses Unding.
Auch hier erwähnt: http://www.doxdesk.com/parasite/AutoSearch.html (ganz unten auf der Seite)

Können diejenigen die sich dieses Ding aud den Hals geholt haben bitte mahl nachsehen ob alle auch einen BHO mit Namen iempg.dll haben.

Wenn er nicht wisst wie, macht es mit BHODemon http://www.definitivesolutions.com/bhodemon.htm und deaktiviere damit auch dieser BHO.

Gruß,

Pieter
__________
http://www.pieter-arntz.info/wordpressblog/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »