Winhound

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von Hobbit, 03.03.2006.

  1. Hobbit

    Hobbit Neuer Benutzer

    Dabei seit:
    03.03.2006
    Beiträge:
    4
    Zustimmungen:
    0
    Hallo,

    ich habe ein Problem mit einem Virus namens Winhound und hoffe, dass mir jemand helfen kann.
    Da in den Foren immer nach der LOG- DAtei gefragt, habe ich diese bereits mit Hijack erzeugt.

    Logfile of HijackThis v1.99.1
    Scan saved at 11:20:21, on 03.03.2006
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\WINNT\System32\svchost.exe
    C:\Programme\KEN!\KENCLI.EXE
    C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\Explorer.EXE
    C:\Programme\KEN!\kentbcli.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
    C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\D-Tools\daemon.exe
    C:\Programme\Logitech\iTouch\iTouch.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\D\D-Info 2006\Distart.exe
    C:\Programme\Logitech\SetPoint\SetPoint.exe
    C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
    C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
    C:\Programme\Windows Media Player\wmplayer.exe
    C:\WINNT\system32\nvctrl.exe
    C:\Programme\Microsoft Office\Office\WINWORD.EXE
    C:\Downloads\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.1.1:3128;http=192.168.1.1:3128;https=192.168.1.1:3128;socks=192.168.1.1:1080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R3 - Default URLSearchHook is missing
    O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINNT\system32\hp8054.tmp
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
    O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Global Startup: D-Info Schnellstarter.lnk = C:\Programme\D\D-Info 2006\Distart.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
    O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
    O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB
    O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/154a70c93a8df736f005/netzip/RdxIE601_de.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122983188203
    O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup152.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A5F7D923-7E5D-453F-A014-7BFAD4096216}: NameServer = 192.168.1.1
    O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
    O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
    O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

    wer kann mir helfen?
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Ecko@Home, 03.03.2006
    Ecko@Home

    Ecko@Home Erfahrener Benutzer

    Dabei seit:
    25.12.2005
    Beiträge:
    2.407
    Zustimmungen:
    0
    Also ich habe folgendes Virus ausfindig gemacht: Trojan.StartPage.adh

    Kannst du diesen Prozess im Abgesichtem Modus nicht manuell löschen?
    C:\WINNT\system32\nvctrl.exe

    Wie wärs denn mal mit einer Firewall?


    MFG Ecko@Home
     
  4. #3 Morpheus1805, 03.03.2006
    Morpheus1805

    Morpheus1805 Erfahrener Benutzer

    Dabei seit:
    23.11.2005
    Beiträge:
    3.499
    Zustimmungen:
    0
    Moin!

    Starte den Rchener im abgesicherten Modus!

    Dann deaktivierst du unter Systemsteuerung>System>Systemwiederherstellung>die Systemwiederherstellung auf allen Laufwerken (Häckchen setzen!)

    Hijackthis starten und System Scan only durchführen!

    Jetzt solltest du folgende Einträge unbedingt fixen

    R3 - Default URLSearchHook is missing

    O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINNT\system32\hp8054.tmp

    O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

    Häckchen vor und fixed check

    Was sit das hier für ein Eintrag??

    O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup152.cab

    Wenn du ihn nicht kennst, dann gleiches Verfahren!

    Jetzt gehst du auf Config (unten rechts!), dann auf "Misc Tools">SystemTools> Open process manager

    und suchst diesen Prozess

    C:\WINNT\system32\nvctrl.exe

    und killst ihn mit "Kill process"

    Anschließend suchst unter Start>suchen>nach Dateien und Ordner> nach nvctrl

    und löscht sie falst du kannst!

    Vorher lädst du dir hier

    Mc Afees Stinger herunter und entpackst ihn auf deinen Desktop!

    Nach der ganzen Aktion lässt du mit mit " Scan now" einen Scan durchführen!

    Zusätzlich solltest du noch mit Spybot und Adaware einen Scan durchführen und alles gefundene entfernen!

    Danach machst du erneut in Winmodus einen Hijackthis log und stellst ihn hier rein! Wenn er dann immer noch nicht weg ist, dan kann ich dir nur raten:

    Backup der wichtigsten Dateien und einen Neuanfang zu starten! Mit allen Updates/Patches und Service Packs! Virenscanner regelmaäßig updaten und deine Surfgewohnheiten ein wenig ändern!
    Keine Cracks herunterladen und Filesharer benutze, da erstens ILLEGAL und zweitens eine der hauptverbreitungs Plattformen für Viren und Trojaner!

    Zusätzlich solltest du zumindest die WinXP SP2 Firewall benutzen, wenn du eine Hardware Firewall in deinem Router hast, dann reicht diese allemal aus!

    Gruss Morpheus
     
Thema:

Winhound

Die Seite wird geladen...

Winhound - Ähnliche Themen

  1. Winhound

    Winhound: Hallo, ich habe ein Problem mit einem Virus namens Winhound und hoffe, dass mir jemand helfen kann. Da in den Foren immer nach der LOG- DAtei...
  2. WinHound

    WinHound: Was verdammtnochmal hab ich mir jetzt schon wieder eingefangen????????? Erst dieser dumme Winfixer 2005, der sich nicht löschen lies, und nun hab...