Ich habe seit einigen Tagen Probleme mit meinem PC und wäre über Hilfe sehr dankbar.
Es hat alles mit „Winhound“ angefangen, aber fast gleichzeitig kamen mehrere Trojaner-Meldungen von „AntiVir“. Die Explorer-Startseite hat sich verändert, nacheinander tauchten folgende Startseiten auf: Winhound, precisesecurity, about blank. Zusätzlich tauchten Links auf, die ich nie gesetzt hatte.

Ich habe mein Glück mit diversen removal-tools probiert – aber es bleibt immer etwas zurück. So lässt sich der Winhound Eintrag nicht aus der Registy löschen. Zum Teil gibt es auch schon Probleme beim Ausführen dieser Programme, z.B. Spybot schließt sich sofort wieder und „AntiVir“ hat up-date Probleme.

Bitte schaut’s euch doch mal an!

Logfile of HijackThis v1.99.1
Scan saved at 20:36:36, on 02.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\Temporäres Verzeichnis 7 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\htltu.dll/sp.html#53142%
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\htltu.dll/sp.html#53142%
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\htltu.dll/sp.html#53142%
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [E.tmp] C:\DOKUME~1\xxx~1\LOKALE~1\Temp\E.tmp.exe
O4 - HKLM\..\Run: [E.tmp.exe] C:\DOKUME~1\xxx~1\LOKALE~1\Temp\E.tmp.exe
O4 - HKLM\..\Run: [addnw.exe] C:\WINDOWS\system32\addnw.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - h**ps://euroaccess.xxx/
O16 - DPF: {4CC35DAD-40EA-4640-ACC2-A1A3B6FB3E06} (NeoterisSetup Control) - h**ps://euroaccess.xxx/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137170424996
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - h**p://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F51E426-6EED-11D3-80B8-00C04F610DBB} (WebTransferCtrl Class) - h**ps://euroaccess.xxx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

Zitat:

Zitat von Virwo

Logfile of HijackThis v1.99.1
Scan saved at 20:36:36, on 02.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

SP2 ist Pflicht

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\htltu.dll/sp.html#53142%
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\htltu.dll/sp.html#53142%
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\htltu.dll/sp.html#53142%
O4 - HKLM\..\Run: [E.tmp] C:\DOKUME~1\xxx~1\LOKALE~1\Temp\E.tmp.exe
O4 - HKLM\..\Run: [E.tmp.exe] C:\DOKUME~1\xxx~1\LOKALE~1\Temp\E.tmp.exe
O4 - HKLM\..\Run: [addnw.exe] C:\WINDOWS\system32\addnw.exe

Diese finde ich sehr verdächtig. Falls kein Einspruch vom Kompetenzteam kommt, diese fixen und die Dateien anschliessend manuell löschen.

Zitat:

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

Diese können gefixed werden.

Zitat:

O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - h**ps://euroaccess.cgsh.com/iNotes6W.cab,DanaInfo=frmail03.cgsh.com,CT=java+
O16 - DPF: {4CC35DAD-40EA-4640-ACC2-A1A3B6FB3E06} (NeoterisSetup Control) - h**ps://euroaccess.cgsh.com/dana-cached/setup/NeoterisSetup.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137170424996
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - h**p://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F51E426-6EED-11D3-80B8-00C04F610DBB} (WebTransferCtrl Class) - h**ps://euroaccess.cgsh.com/worksite/bin/iManFile.cab,DanaInfo=frwebvf.cgsh.com,CT=java+
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab

Sagen Dir insbesondere die euroaccess.cgsh.com-Einträge etwas?

Hallo,

WinHound spyware remover kann man über Systemsteuerung/Software deinstallieren -> evt. smitrem erforderlich.

Fixe diese Einträge im abgesicherten Modus:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\htltu.dll/sp.html#53142%

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\htltu.dll/sp.html#53142%

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\htltu.dll/sp.html#53142%

R3 - Default URLSearchHook is missing

Die Datei "htltu.dll" suchen lassen ( kann mehrfach vorkommen) und löschen, den Papierkorb dannach leeren.


Wenn Du das nicht kennst, fixen:

O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - h**ps://euroaccess.cgsh.com/iNotes6W.cab,DanaInfo=frmail03.cgsh.com,CT=java+

O16 - DPF: {4CC35DAD-40EA-4640-ACC2-A1A3B6FB3E06} (NeoterisSetup Control) - h**ps://euroaccess.cgsh.com/dana-cached/setup/NeoterisSetup.cab

O16 - DPF: {9F51E426-6EED-11D3-80B8-00C04F610DBB} (WebTransferCtrl Class) - h**ps://euroaccess.cgsh.com/worksite/bin/iManFile.cab,DanaInfo=frwebvf.cgsh.com, CT=java+

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab


Prüfe bei Jotti online (in meiner Signatur)

C:\DOKUME~1\xxx~1\LOKALE~1\Temp\E.tmp.exe

C:\WINDOWS\system32\addnw.exe

Ergebnis hier posten.

Anschließend sollte die Registry mit einem Tool wie bspw. dem Registry Optimierer bereinigt werden. Vorher: Backup anlegen! Auch, wenn der Registry Optimierer selber ein Backup anlegt.

SP2

Poste uns dann noch mal ein HJT Log.

Gruß

Schrulli

Danke.

Euroaccess sollte harmlos sein. Ich hätte sie löschen sollen - wäre nett, wenn ihr sie streicht.

Winhound habe ich schon über die Systemsteuerung entfernt. Es bleibt nur leider der registry Eintrag.

Jetzt arbeite ich eure Diagnose erst mal ab. Tausend Dank!