danke für die nette antwort...man hat mir empfohlen in verschiedenen board das anzusprechen..aber schon gut..danke für den tip

In wievielen Boards willst Du Dein Problem noch kundtun?
http://www.hackingboard.net/forum/in...ST&f=5&t=8809&

Mache einen escan. Beachte genau die Anleitung.
http://www.trojaner-board.de/showthread.php?t=17492

Also ich habe Winfixer 2005 auch auf meinem PC, DAS DING IST SAUNERVIG . und hab mich mal umgeguckt. Es gibt eine original Winfixer Website!!: http://www.winfixer.com Ich habe gleich an den Support geschrieben. Hoffentlich schreiben die zurück. Ich berichte Davon...
cucu
jonny

Hallo jonny333

Kannst Du mir bitte die Seite nennen, wo Du Dir das Ding eingefangen hast? Ich versuche, mit ein paar Leuten aus dem Protecus-Board, einen Workaround zur Entfernung zu erstellen, aber uns fehlt bisher noch die Infektion, die ich absichtlich auf meinem Test-System erreichen möchte. Die Installation der Originalsoftware von winfixer.com hat's bisher noch nicht gebracht (siehe auch http://board.protecus.de/showtopic.php?threadid=18701). Evtl. kannst Du uns da behilflich sein.

Ich hab den blöden Winfixer auch. Scheinbar noch ganz viel anderes. Virenprogramme haben alle versagt. Nod32 hat den Geist aufgegeben. Norton lief gleich gar nicht, beziehungsweise wars schon da, war aber durchsichtig...

Hab mich jetzt vom obigen Link inspirieren lassen und den e-scan gemacht. Jetzt werd ich langsam müde und trau mir die weiteren Schritte auch ehrlich gesagt nicht zu. Ich poste einfach mal das Logfile

Zitat:

Zitat von gefundeneviren103

Ich hab den blöden Winfixer auch. Scheinbar noch ganz viel anderes.

Ja, das stimmt. Ich würde erstmal ne Grundreinigung mit AdAware und Spybot Search & Destroy vorschlagen. Allerdings habe ich im eScanLog nichts von wegen Winfixer gefunden.

Wie gesagt, wenn jemand weiß, wo er sich das Zeugs eingefangen hat, bitte den Link an mich weitergeben

Also Adaware hat drei Sachen gefunden. Der Spybot meinte er hat 6066 Sachen blockiert, dann bei der Suche aber nichts gefunden. Vielleicht muss ich das im abgesicherten Modus nochmal machen, das weiß ich nicht, ob das was ändert.

Kann ich nicht irgendwie herausfinden, was oder welche Datei dafür verantwortlich ist, dass sich mein Mozilla immer mit diesem blöden Winfixer öffnet?

Hi!

My two pence zur Sache:

1. Die Websites, die von diesem Sch..ding (ich habs auch...) angesprungen werden, haben mit dem Ursprung nichts zu tun, eher wollen die Autoren den angesprungenen Betreibern schaden. Auf Supportanfragen bei Winfixer werdet ihr also nur wenig vernünftige Antworten bekommen.

2. Den Trojaner - oder was auch immer er ist - gibts ganz nebenbei bei www.guitaretab.com und ettlichen weiteren Seiten, die Tabs (eine bestimme Notation von Songs für alle Nicht-Gitarrenspieler) anbieten. Scheibar haben die Musikbegeisterten Betreiber keine Ahnung von Security ihrer Server oder die tun das absichtlich und hoffen auf die Dummheit ihrer User.

Bei mir hat sich das Ding eingeschlichen, trotz Firewall im Router (ist ein 3Com Wlan Router), trotz zusätzlicher WinXP SP2 Firewall und trotz ständig aktuellem AntiVir 6.0 Personal Edition.

Das kommt halt davon, dass ich Depp mal wieder mit dem IExplorer im Web war! Oder hat es jemand auch mit Mozilla oder ähnlichen bekommen? Wenn die Infektion erst mal da ist, ist der Browser egal, weil das Ding offensichtlich Netzwerktraffik abhört und sobald http-mässig was läuft aktiv wird. Kommt alle paar Minuten und ist aber inaktiv, seit ich in dieses Fenster tippe!!!

Mal sehen, ob meine bescheidenen Two Pence zur Lösung beitragen!

Greetnix - da doc

Noch ein Nachtrag von mir:

Nach einem Check mit Ad-Aware ud einem Scan mit Free-AV hat sich folgendes ergeben:
... Ist das Trojanische Pferd TR/Dldr.Adload.A.9!
C:\WINDOWS\DOWNLOADED PROGRAM FILES\INSTALLER_MARKETING32.EXE

Nachdem ich das gelöscht habe, ist der Redirect auf winfixer weg. Nun kommt noch einer auf www.search-h.com ... mal sehen wie ich den loswerde...

Übrigens gibt es bei http://www.pandasoftware.com/product..._principal.htm einen Check, der ganz tauglich ist.

Nochmal greetnix - da doc

Zitat:

Zitat von dadoc

...Oder hat es jemand auch mit Mozilla oder ähnlichen bekommen? Wenn die Infektion erst mal da ist, ist der Browser egal, weil das Ding offensichtlich Netzwerktraffik abhört und sobald http-mässig was läuft aktiv wird....

Ja, ich hab' ihn in beiden. Spybot & Destroy und ad-aware haben nichts gefunden. Unter: C:\WINDOWS\DOWNLOADED PROGRAM FILES\ hatte ich einige Dateien gelöscht, besagte: INSTALLER_MARKETING32.EXE fand ich dort nicht. Die anderen versuchten beim Löschvorgang Änderungen an der Registry vorzunehmen, was durch spybot - search & destroy verhindert wurde. Ich weiß immer noch nicht, wie ich das Ding wegbekomme. AntiVir Scan hat bei mir auch nichts gefunden.
Gruss
subtil

hmm..
@gefundeneviren103 ich glaube ich weiß, wie er entfernt werden kann:

1.lade dir clearprog runter und installiere es
2.führe es im abgesicherten modus aus, haken setzen bei "alles löschen" und klick auf löschen
3.dann lösche die datei smdat32.sys im ordner c:\windows\system32
(falls nicht angezeigt wird, klicke auf extras,ordneroptionen,ansicht
-geschützte systemdateien ausblenden haken weg
-inhalte von systemordnern anzeigen haken hin
-alle dateien und ordner anzeigen haken hin
-übernehmen, ok
4.lösche die dateien
aDaamon.dll, ccprops.dll, cwmmdlg.dll, cygbkend.dll, dawsock.dll, dtband.dll, dznput.dll, is32_32.dll, kudcr.dll, mdrtdep.dll, mescp.dll, mgtext40.dll, MRHTML.DLL, MTHTML.DLL, mtrui.dll, mvimg32.dll, MZSTDFMT.DLL, nbshrui.dll, ndmarta.dll, ndwmsdrm.dll, njtshell.dll, nvmarta.dll, oeesvr.dll, ouengl32.dll, parfos.dll, pKutoenr.dll, qbv.dll, qvartz.dll, qvgr.dll, rFsctrs.dll, rQsdlg.dll, rVsdlg.dll, sftupdll.dll, sgndmail.dll, sotupdll.dll, szdpapi.dll, uaib.dll, untheme.dll, vgoy.dll, vgscript.dll, vmwwdm32.dll, vwrifier.dll, wg2help.dll, wknnls.dll, wnpdinfo.dll, wqiscmgr.dll, wunmm.dll, wvi.dll und wwhisn.dll im ordner c:\windows\system32 (jep ich weiß, aber danach sollte das system wesentlich sauberer sein)
5.lösche die ordner C:\Programme\NewDotNet\, C:\Programme\MyWay\, C:\Program Files\Altnet\ und C:\Programme\Gemeinsame Dateien\dqarlrac\
6.gehe in den normalen modus, erstelle ein HJT Logfile wie es hier steht und poste es.

soviel dazu..

zu winfixer:
zuerst sollte eScan richtig im abgesicherten modus (wie die folgenden schritte) ausgeführt und die datei find.bat zum herausfiltern benutzt werden. kommt dabei ein RAT oder backdoor zum vorschein kommen, muss neuinstalliert werden.
ich glaube (aufgrund des HJT-Logs) das die adware look2me damit in verbindung steht, dh. genutzt wird. deswegen sollte jegliche look2me-adware im abgesicherten modus gelöscht werden.
auch ist "winfixer" häufig im ordner
C:\Programme\WinAntiVirus 2005 Pro Trial\ oder C:\Programme\WinFixer 2005\ vorhanden
außerdem auch dieser installer (der bereits erwähnt wurde) in downloaded program files, aber mit variierenden dateinamen. auch sieht man ihn nicht richtig wenn man in den ordner schaut. das heißt man muss ihn per kommandzeile löschen.
also start,ausführen,cmd eingeben, ok klicken
in der konsole cd c: eingeben und bestätigen
cd windows eingeben und bestätigen
cd downlo~1 eingeben und bestätigen
del *.exe eingeben und bestätigen
cd.. eingeben und bestätigen
cd inf eingeben und bestätigen
del *.dll eingeben und bestätigen
konsole schließen
dass der mozilla sich nun mit dem winfixer öffnet deutet auf gehijackte winsocks hin - er sendet einen request an das system, dass sich die url www.winfixer.com öffnen möge - das tut er mit dem standardbrowser. also handelt es sich vermutlich um eine fremde winsockdatei die das verursacht, weshalb man lspfix runterladen und ausführen sollte. meist reicht es, auf finish zu klicken.

in HJT sollten jetzt lediglich ein paar verdächtige hijackthiseinträge entfernt werden (momentan weiß ich nicht welche - ich arbeite aber daran)
nen versuch finde ich isses auf alle fälle wert
*winfixer-remove-anleitung wird noch ergänzt*

hmmm... sorry, auf guitartab.com konnte ich ihn nicht feststellen.

@gefundeneviren103

Zitat:

Der Spybot meinte er hat 6066 Sachen blockiert

Ja, der immunisiert Dein System und blockiert potentielle Gefahrenquellen. Wenn er bei der Überprüfung nichts findet, dann ist wohl alles in Ordnung

Ich hab den WinFixer auch (bzw. mein Vater, der gibt aber mir die Schuld *g*), bin leider kein so PC-Freak (mein Vater auch nicht) und jetzt frag ich mich, ob ich den wegbekomm (also ohne irgendwelche Fachkentnisse?!?!). Oder is da leider keine Chance für mich drinn? Andauert, wenn ich im I-net bin, kommt der WinFixer oder irgendwelche andere Werbung. Nervt total!!!!!
Oder kann ich da irgend ein Fachmann holen? Mein Vater würd echt vieles dafür geben, dass er wieder weg ist. Habt ihr ne Idee für mich??? Wäre ganz ganz ganz toll...

die Winfixer-Meldung scheint mit Look2Me in Verbindung zu stehen

http://nikita.eddys-domain.de/Artike...re/winfix.html

Vorgehensweise:

Folgende Dateien sind zu suchen/loeschen:

C:\WINDOWS\system32\guard.tmp
+
c:\WINDOWS\TEMP\nsh_115.exe (Adware.Look2Me)
+
C:\Temp\Installer.exe (AdWare.Look2Me.ag)
+
C:\WINDOWS\Downloaded Program Files\UWFX5LP_0001_0802NetInstaller.exe
+
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\WinFixer2005ScannerSetup.exe
+
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGX0TSPP\upd209[1].exe -> Spyware.Look2Me
---------------------------------------------------------------------------

L2mfix (alles abarbeiten)
Download: http://nikita.eddys-domain.de/L2mfix.html

CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html

Ewido-->scannen und eventuell einen Thread eroeffnen und zusammen mit dem Log vom HijackThis den Scanreport vom Ewido posten
http://nikita.eddys-domain.de/Ewido.html

hi all,
ich hab mir das winfixer ding auch auf tabcrawler.com eingefangen und war entsprechend genervt !!! bin nicht grad der oberhacker... spybot & ad-aware haben gleich mal gar nix angezeigt.
ich hab die temp. internet dateien über systemprogramme-datenträgerbereinigung gelöscht... nix gebracht. danach hab ich ganz auf die blöde ne sytemwiederherstellung gemacht und hab seit dem (3 tage) ruhe. hätt ich selbst nicht gedacht, ist aber so.
also wer wie ich keine ahnung hat,kanns ja mal ausprobieren.

gruß! synaptic