|
Plagegeister aller Art und deren Bekämpfung: WinFixer 2005Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.08.2005, 21:16 | #11 |
WinFixer 2005 hmm.. @gefundeneviren103 ich glaube ich weiß, wie er entfernt werden kann: 1.lade dir clearprog runter und installiere es 2.führe es im abgesicherten modus aus, haken setzen bei "alles löschen" und klick auf löschen 3.dann lösche die datei smdat32.sys im ordner c:\windows\system32 (falls nicht angezeigt wird, klicke auf extras,ordneroptionen,ansicht -geschützte systemdateien ausblenden haken weg -inhalte von systemordnern anzeigen haken hin -alle dateien und ordner anzeigen haken hin -übernehmen, ok 4.lösche die dateien aDaamon.dll, ccprops.dll, cwmmdlg.dll, cygbkend.dll, dawsock.dll, dtband.dll, dznput.dll, is32_32.dll, kudcr.dll, mdrtdep.dll, mescp.dll, mgtext40.dll, MRHTML.DLL, MTHTML.DLL, mtrui.dll, mvimg32.dll, MZSTDFMT.DLL, nbshrui.dll, ndmarta.dll, ndwmsdrm.dll, njtshell.dll, nvmarta.dll, oeesvr.dll, ouengl32.dll, parfos.dll, pKutoenr.dll, qbv.dll, qvartz.dll, qvgr.dll, rFsctrs.dll, rQsdlg.dll, rVsdlg.dll, sftupdll.dll, sgndmail.dll, sotupdll.dll, szdpapi.dll, uaib.dll, untheme.dll, vgoy.dll, vgscript.dll, vmwwdm32.dll, vwrifier.dll, wg2help.dll, wknnls.dll, wnpdinfo.dll, wqiscmgr.dll, wunmm.dll, wvi.dll und wwhisn.dll im ordner c:\windows\system32 (jep ich weiß, aber danach sollte das system wesentlich sauberer sein) 5.lösche die ordner C:\Programme\NewDotNet\, C:\Programme\MyWay\, C:\Program Files\Altnet\ und C:\Programme\Gemeinsame Dateien\dqarlrac\ 6.gehe in den normalen modus, erstelle ein HJT Logfile wie es hier steht und poste es. soviel dazu.. zu winfixer: zuerst sollte eScan richtig im abgesicherten modus (wie die folgenden schritte) ausgeführt und die datei find.bat zum herausfiltern benutzt werden. kommt dabei ein RAT oder backdoor zum vorschein kommen, muss neuinstalliert werden. ich glaube (aufgrund des HJT-Logs) das die adware look2me damit in verbindung steht, dh. genutzt wird. deswegen sollte jegliche look2me-adware im abgesicherten modus gelöscht werden. auch ist "winfixer" häufig im ordner C:\Programme\WinAntiVirus 2005 Pro Trial\ oder C:\Programme\WinFixer 2005\ vorhanden außerdem auch dieser installer (der bereits erwähnt wurde) in downloaded program files, aber mit variierenden dateinamen. auch sieht man ihn nicht richtig wenn man in den ordner schaut. das heißt man muss ihn per kommandzeile löschen. also start,ausführen,cmd eingeben, ok klicken in der konsole cd c: eingeben und bestätigen cd windows eingeben und bestätigen cd downlo~1 eingeben und bestätigen del *.exe eingeben und bestätigen cd.. eingeben und bestätigen cd inf eingeben und bestätigen del *.dll eingeben und bestätigen konsole schließen dass der mozilla sich nun mit dem winfixer öffnet deutet auf gehijackte winsocks hin - er sendet einen request an das system, dass sich die url www.winfixer.com öffnen möge - das tut er mit dem standardbrowser. also handelt es sich vermutlich um eine fremde winsockdatei die das verursacht, weshalb man lspfix runterladen und ausführen sollte. meist reicht es, auf finish zu klicken. in HJT sollten jetzt lediglich ein paar verdächtige hijackthiseinträge entfernt werden (momentan weiß ich nicht welche - ich arbeite aber daran) nen versuch finde ich isses auf alle fälle wert *winfixer-remove-anleitung wird noch ergänzt* Geändert von Chris14 (12.08.2005 um 21:22 Uhr) |
14.08.2005, 00:23 | #12 | |
| WinFixer 2005 hmmm... sorry, auf guitartab.com konnte ich ihn nicht feststellen. @gefundeneviren103 Zitat:
|
14.08.2005, 14:00 | #13 |
| WinFixer 2005 Ich hab den WinFixer auch (bzw. mein Vater, der gibt aber mir die Schuld *g*), bin leider kein so PC-Freak (mein Vater auch nicht) und jetzt frag ich mich, ob ich den wegbekomm (also ohne irgendwelche Fachkentnisse?!?!). Oder is da leider keine Chance für mich drinn? Andauert, wenn ich im I-net bin, kommt der WinFixer oder irgendwelche andere Werbung. Nervt total!!!!! Oder kann ich da irgend ein Fachmann holen? Mein Vater würd echt vieles dafür geben, dass er wieder weg ist. Habt ihr ne Idee für mich??? Wäre ganz ganz ganz toll... |
14.08.2005, 14:27 | #14 |
| WinFixer 2005 die Winfixer-Meldung scheint mit Look2Me in Verbindung zu stehen http://nikita.eddys-domain.de/Artike...re/winfix.html Vorgehensweise: Folgende Dateien sind zu suchen/loeschen: C:\WINDOWS\system32\guard.tmp + c:\WINDOWS\TEMP\nsh_115.exe (Adware.Look2Me) + C:\Temp\Installer.exe (AdWare.Look2Me.ag) + C:\WINDOWS\Downloaded Program Files\UWFX5LP_0001_0802NetInstaller.exe + C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\WinFixer2005ScannerSetup.exe + C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGX0TSPP\upd209[1].exe -> Spyware.Look2Me --------------------------------------------------------------------------- L2mfix (alles abarbeiten) Download: http://nikita.eddys-domain.de/L2mfix.html CCleaner--> loesche alle *temp-Datein http://nikita.eddys-domain.de/IE.html Ewido-->scannen und eventuell einen Thread eroeffnen und zusammen mit dem Log vom HijackThis den Scanreport vom Ewido posten http://nikita.eddys-domain.de/Ewido.html
__________________ MfG Sabina Geändert von Sabina (16.08.2005 um 11:38 Uhr) |
14.08.2005, 16:58 | #15 |
| WinFixer 2005 hi all, ich hab mir das winfixer ding auch auf tabcrawler.com eingefangen und war entsprechend genervt !!! bin nicht grad der oberhacker... spybot & ad-aware haben gleich mal gar nix angezeigt. ich hab die temp. internet dateien über systemprogramme-datenträgerbereinigung gelöscht... nix gebracht. danach hab ich ganz auf die blöde ne sytemwiederherstellung gemacht und hab seit dem (3 tage) ruhe. hätt ich selbst nicht gedacht, ist aber so. also wer wie ich keine ahnung hat,kanns ja mal ausprobieren. gruß! synaptic |
16.08.2005, 11:09 | #16 |
| WinFixer 2005 -> Sabina Du bist ein Schatz! Mit Deiner Anleitung habe ich ihn wegbekommen! Es reichte bei mir, dem lm2fix-Batch abzuarbeiten und die angegebenen Dateien zu löschen - sofern die vorhanden waren. Für die anderen: Im Batch Teil 1 findet er erst mal nichts. Trotzdem weiter machen, wie von Sabina beschrieben! Das erledigt das Ding! Das "Ding" modifiziert die winlogon Parameter und entfernt u.a. auch die Schnellstartleiste und ruft dann eben die Browser mit verschiedenen URLs auf. Was mich nun noch wundert: Wie konnte das Ding durch die im 3Com Router integrierte Firewall durch, an der WinXp SP2 Firewall und schliesslich noch am immer aktuellen Free AV von H+BEDV vorbei? In jedem Fall bin ich gerade dabei, alles auf Programme umzustellen, die auch unter Linux laufen: Mozilla und Palm statt IE und Outlook, Open Office etc. etc. Linux, ich komme! Grüße und allen anderen viel Erfolg bei Sabinas removal-Anleitung! |
16.08.2005, 14:44 | #17 |
WinFixer 2005 das ist einfach zu beantworten: durch den browser. durch das surfen hast du ihn quasi installiert (deswegen empfiehlt es sich auch den Mozilla Firefox zu verwenden)
__________________es bringt eben die beste firewall usw. nichts, wenn man ihn selbst durch so eine seite aufruft. |
17.08.2005, 01:32 | #18 |
| WinFixer 2005 Bin neu hier und ungeübt - also nehmt mir meine Fehler nicht übel. Hab hier schon paar Tage gelesen und einiges versucht, bekomme aber den blöden Winfixer nicht weg...
__________________Nun also meine Bitte um eure Mithilfe - @ Sabina - vielleicht kannst du noch mal unterstützend eingreifen... Mein Logfile: Logfile of HijackThis v1.99.1 Scan saved at 01:58:01, on 17.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe C:\Programme\QuickTime\qttask.exe C:\Programme\NetPumper\NetPumperIEProxy.exe C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\TVgenial\TVgenial.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe C:\downloads\hack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dynamoberlin.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=083005 serial=DR12WES-3007622-euw lang=EN O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\FRONTP~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409 O16 - DPF: {4208FB4D-4E53-4F5A-BF7A-3E047DDB5281} (ActiveX Control) - http://www.icannnews.com/app/ST/ActiveX.ocx O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex...amesplayer.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5188868E-048E-48BA-9212-4DB85A3C2750}: NameServer = 192.168.182.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{DBFEB1FB-7B83-418C-B776-9023A819E4ED}: NameServer = 192.168.120.252,192.168.120.253 O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\Ixetwh32.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe O23 - Service: Umistrmwmn - Promise Technology, Inc. - (no file) ewido versucht zu löschen, aber der blöde "schau auf mich" mit seinen komischen dlls lässt sich nicht fassen... Per Hand im abgesicherten Modus ist die Datei Ixetwh32.dll nicht zu finden - also kann ich sie auch nicht löschen... Findet beim scannen, dann immer neu infizierte dll#s - bin genervt... Könnt du, ihr helfen? |
17.08.2005, 10:48 | #19 |
| WinFixer 2005 Hallo@MajaW #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\Ixetwh32.dll PC neustarten •KillBox http://bilder.informationsarchiv.net...ls/KillBox.zip Anleitung: (bebildert) http://nikita.eddys-domain.de/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no" und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\guard.tmp C:\Temp\Installer.exe C:\WINDOWS\system32\Ixetwh32.dll PC neustarten arbeite das bitte alles ab und poste die Logs von den Scans + das neue Log vom HijackThis: L2mfix (alles abarbeiten) Download: http://nikita.eddys-domain.de/L2mfix.html scanne bitte noch einmal mit ewido und poste mir den Scan-Report hier
__________________ MfG Sabina Geändert von Sabina (17.08.2005 um 10:53 Uhr) |
17.08.2005, 11:23 | #20 |
| WinFixer 2005 Vielen Dank - ich werde es versuchen. Hoffentlich bring ich das fertig - da ich im Internet arbeite - kann sich seit heute in der Nacht allerlei verändert haben. Auch weiß ich noch nicht, ob ich deiner Anleitung folgen kann... Aber ich geb mir Mühe :-) - vielen Dank für deine - und ich hoffe, es hilft auch anderen Usern... Gruß Maja |
Themen zu WinFixer 2005 |
board, danke, empfohlen, fixer, nette, verschiedene, verschiedenen, winfixer |