|
habe auch Winfixer 2005 ständig will sich dieser Winfixer installieren, gleichzeitig wird mir noch eine Fehlermeldung angezeigt, fingxpr5.exe und mirsihnd.exe haben ein Problem festgestellt und müssen beendet werden. Diese beiden Dateien habe ich aber gar nichtauf meinem Rechner - aber im Prefetch-Ordner sind beide - natürlich mit so komischen Endungen - ich kann sie auch nicht löschen - 2 Sekunden später sind sie wieder da. Spybot, Adaware, Microsoft Antispyware, CCleaner, TuneUp 2006, - alle finden sie nichts. Hier mein Log, ich bitte um Hilfe: Logfile of HijackThis v1.99.1 Scan saved at 15:50:04, on 16.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\ehome\ehSched.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE c:\Programme\UPHClean\uphclean.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\CNYHKey.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\mHotkey.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\Symantec\Norton Commander\NC.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE C:\Programme\T-Online\T-Online_Software_6\eMail\MAIL.EXE C:\Programme\LeechGet 2004\LeechGet.exe C:\downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB002" /M "Stylus C64" O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37390.cab O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://floridakeysmedia.tv/axiscam/Codebase/AxisCamControl.ocx O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B4127F79-A821-4C45-8C47-8E566E96DDA2}: NameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{E8413A03-DF89-4082-B110-2BC069AA2B6B}: NameServer = 192.168.178.1 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe |
@Roygo Benutze bitte Board-Suche. Zum Winfixer gibt es schon hier Material für einen dicken Roman. |
Hallo, das ist aber im Fall von Winfixer nicht ganz fair, da gibt es Varianten die mit look2me auftreten, welche die mit Vundo.B daherkommen und andere die mit Swizzor auftreten. @Roygo Scanne dein System mal mit Ewido im abgesicherten Modus (F8 beim booten) und poste danach den Report (bereigt von Cookiesmeldungen). Grüße Wildone |
Liste der Anhänge anzeigen (Anzahl: 1) Ich habe schon sämtliche Beiträge zu Winfixer hier gelesen, es sollte ja nur mal mein Logfile von Highjackthis gecheckt werden und ob es Zusammenhänge mit der mirsihnd.exe und fingxpr5.exe gibt. Der Winfixer ist auch nicht auf meinem PC installiert - er will sich nur immer wieder installieren. Der Ewido-Scan brachte dies: + Erstellt am: 11:47:51, 17.11.2005 + Report-Checksumme: EE060B4E + Scanergebnis: C:\Dokumente und Einstellungen\RoyGolda\Cookies\roygolda@as-eu.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\RoyGolda\Cookies\roygolda@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\RoyGolda\Cookies\roygolda@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\RoyGolda\Cookies\roygolda@ppms.popularix[1].txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup C:\Dokumente und Einstellungen\RoyGolda\Cookies\roygolda@sel.as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup ::Report Ende Als Anhang habe ich mal die 2 Meldungen von Winfixer angehängt. Die zweite erscheint, wenn ich die erste Meldung mit wegdrücken auf das X klicke. |
Hallo, hmm, das hat nichts zu Tage gefördert. Untersuche dein System mal mit Escan (Anleitung sorgfältig lesen) und poste das Log wie in der Anleitung beschrieben. Grüße Wildone |
esacan habe ich schon vor ein paarTagen probiert - auch nichts. Microsoft Spyware hat mir jetzt eine Meldung gebracht: ActiveX programs are often downloaded from Web sites and can perform any action that a typical application can. This change generally occurs when software is installed. You can allow this change if it is recognized and expected. Name: UWFX5U_0001_LPNetInstaller.exe Download URL: http://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab Installed files: C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_LPNetInstaller.exe Kann man damit irgendwas anfangen oder ableiten? |
Hallo, Escan hat als du es ausgeführt hast nichts gefunden? Lösche halt mal die Datei: C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_LPNetInstaller.exe Vielleicht solltest dzu dein System auch noch mal zusätzlich mit Counterspy untersuchen. Du kannst übrigens danach sowohl Ewido als auch Counterspy deinstallieren (das sind nur 14tägige Trialversionen). Grüße Wildone |
Escan hat nichts verdächtiges gefunden, jedenfalls nichts was mit Winfixer zu tun haben könnte. Die Datei UWFX5U_0001_LPNetInstaller.exe lösche ich jedesmal. Nur muss sie ja irgendwoher kommen, ich denke ich fange sie mir jedesmal ein wenn ich online gehe, es ist mir aber noch nicht aufgefallen ob bestimmte Seiten verantwortlich sind. Es scheint ziemlich wahllos zu kommen. |
|
Habe gerade Counterspy fast eine Stunde am laufen gehabt und er hat mir folgendes angezeigt: Spyware Scan Details Start Date: 18.11.2005 12:39:58 End Date: 18.11.2005 13:27:46 Total Time: 47 mins 48 secs Detected spyware Adw.Afris.Downloader Browser Hijacker more information... Details: This ownloader silently travels to porn sites without displaying a browser. No window is visible, but this threat visits various porn sites and loads up the temporary internet files folder with many pornographic images. Status: Deleted Infected files detected C:\Dokumente und Einstellungen\RoyGolda\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\SecurityClassLoader.class-3ef4c798-2909e5ae.class ErrorGuard 2.5.0 Adware more information... Details: ErrorGuard is a fake AntiSpyware. Displays popup/popunder ads that cannot be closed by clicking a clearly visible close button. Status: Deleted Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/Install.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/Install.dll .Owner {205FF73B-CA67-11D5-99DD-444553540000} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/Install.dll {205FF73B-CA67-11D5-99DD-444553540000} 247RealMedia.com Cookie more information... Status: Deleted Infected cookies detected c:\dokumente und einstellungen\roygolda\cookies\roygolda@247realmedia[1].txt Cok.PriceBandit Cookie more information... Status: Deleted Infected cookies detected c:\dokumente und einstellungen\roygolda\cookies\roygolda@apmebf[1].txt as-us.falkag Cookie more information... Status: Deleted Infected cookies detected c:\dokumente und einstellungen\roygolda\cookies\roygolda@falkag[2].txt Ich habe alles löschen lassen. Es war ein Browser-Highjacker dabei - vlt. ist das das Problem - wie kann man sowas umgehen? Oder war der ErrorGuard schuld, bei more information zeigte ermir an, dass damit Programminstallationen mit X nicht mehr abgebrochen werden können. Gibt es einen "sicheren" Browser? Ich benutze derzeit den T-Online-Browser. Vielen Dank an Wildone! |
Hallo, ich denke es wird an Errorguard gelegen haben, ich hoffe mal das Problem ist damit vom Tisch. Sichere Browser gibt es nicht, du hast den IE (mit T-online Aufsatz) ich würde dir raten mal einen alternativen Browser(Firefox, Opera, Mozilla) auszuprobieren und deinen IE sicher zu konfigurieren. Grüße Wildone |
Danke für den Link "Internet sicherer machen"! Bei mir war ja fast alles auf "unsicher". |
Heute kam der Winfixer schon wieder. Das ist doch nicht normal! |
@Roygo Hast du immer noch Problem mit Winfixer 2005,poste mal dein aktuelle HijackThis Log Gruss Expert |
Hallo, habe zufällig im Internet gelesen, dass "Microsoft Antispyware" diesen "Winfixer" komplett eliminieren kann und soll. Ein Versuch ist es ja mal Wert. :juul: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:47 Uhr. |
Copyright ©2000-2025, Trojaner-Board