danke für die nette antwort...man hat mir empfohlen in verschiedenen board das anzusprechen..aber schon gut..danke für den tip

In wievielen Boards willst Du Dein Problem noch kundtun?
http://www.hackingboard.net/forum/in...ST&f=5&t=8809&

Mache einen escan. Beachte genau die Anleitung.
http://www.trojaner-board.de/showthread.php?t=17492

Also ich habe Winfixer 2005 auch auf meinem PC, DAS DING IST SAUNERVIG . und hab mich mal umgeguckt. Es gibt eine original Winfixer Website!!: http://www.winfixer.com Ich habe gleich an den Support geschrieben. Hoffentlich schreiben die zurück. Ich berichte Davon...
cucu
jonny

Hallo jonny333

Kannst Du mir bitte die Seite nennen, wo Du Dir das Ding eingefangen hast? Ich versuche, mit ein paar Leuten aus dem Protecus-Board, einen Workaround zur Entfernung zu erstellen, aber uns fehlt bisher noch die Infektion, die ich absichtlich auf meinem Test-System erreichen möchte. Die Installation der Originalsoftware von winfixer.com hat's bisher noch nicht gebracht (siehe auch http://board.protecus.de/showtopic.php?threadid=18701). Evtl. kannst Du uns da behilflich sein.

Ich hab den blöden Winfixer auch. Scheinbar noch ganz viel anderes. Virenprogramme haben alle versagt. Nod32 hat den Geist aufgegeben. Norton lief gleich gar nicht, beziehungsweise wars schon da, war aber durchsichtig...

Hab mich jetzt vom obigen Link inspirieren lassen und den e-scan gemacht. Jetzt werd ich langsam müde und trau mir die weiteren Schritte auch ehrlich gesagt nicht zu. Ich poste einfach mal das Logfile

Zitat:

Zitat von gefundeneviren103

Ich hab den blöden Winfixer auch. Scheinbar noch ganz viel anderes.

Ja, das stimmt. Ich würde erstmal ne Grundreinigung mit AdAware und Spybot Search & Destroy vorschlagen. Allerdings habe ich im eScanLog nichts von wegen Winfixer gefunden.

Wie gesagt, wenn jemand weiß, wo er sich das Zeugs eingefangen hat, bitte den Link an mich weitergeben

Also Adaware hat drei Sachen gefunden. Der Spybot meinte er hat 6066 Sachen blockiert, dann bei der Suche aber nichts gefunden. Vielleicht muss ich das im abgesicherten Modus nochmal machen, das weiß ich nicht, ob das was ändert.

Kann ich nicht irgendwie herausfinden, was oder welche Datei dafür verantwortlich ist, dass sich mein Mozilla immer mit diesem blöden Winfixer öffnet?

hallo sabina! du scheinst ja den durchblick zu haben! hab den winfixer auch auffer platte! hilffe!! hoffentlich kannst mir helfen:

Logfile of HijackThis v1.99.1
Scan saved at 20:51:37, on 25.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\cisvc.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\OpenOffice.org1.1.1\program\soffice.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\FlashGet\flashget.exe
C:\Dokumente und Einstellungen\eve1407\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von ONLINE TODAY
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.party.de"); (C:\Programme\Netscape\Users\default\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - C:\PROGRA~1\ODIGO\BIN\OdigoBHO.dll (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NI.UWFX5U] "C:\Downloads\WinFixer2005ScannerInstallDE.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Programme\OpenOffice.org1.1.1\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binarie...tc32_EN_XP.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a224.g.akamai.net/7/224/52/20...eInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0932adad...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099899673066
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yaho...tocomplete.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex...amesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{93DEB498-4972-4496-ACFB-417CDA3F5AE0}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{93DEB498-4972-4496-ACFB-417CDA3F5AE0}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Zitat:

Zitat von Managor

Ja, das stimmt. Ich würde erstmal ne Grundreinigung mit AdAware und Spybot Search & Destroy vorschlagen. Allerdings habe ich im eScanLog nichts von wegen Winfixer gefunden.

Wie gesagt, wenn jemand weiß, wo er sich das Zeugs eingefangen hat, bitte den Link an mich weitergeben

Hallo. ich hab den eben auch abgekriegt, es geht ein kleines Popupfenster auf
kein Link nix, und wenn du es wegklickst beginnt es sich zu laden, bisher hab ich die ausführung augenscheinlich verhindert, jedoch spinnt schon mein Spybot und auch pestpatrol und tun so als wäre mein rechner ein MegaNEtzwerk

Hilfe wie werd ich das wieder los? REicht Formatieren????

PS hänge logfile an
Logfile of HijackThis v1.99.1
Scan saved at 08:30:36, on 19.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Google\Gmail Notifier\gnotify.exe
C:\Programme\Gemeinsame Dateien\AOL\1124534341\ee\AOLHostManager.exe
C:\Programme\Gemeinsame Dateien\AOL\1124534341\ee\AOLServiceHost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\MithraseDE\AOL 9.0a\waol.exe
C:\Programme\MithraseDE\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Gemeinsame Dateien\AOL\1124534341\ee\AOLServiceHost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\H0b€lspäne\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrolCL] C:\Programme\PestPatrol\PPCL.exe c:\
O4 - HKLM\..\Run: [KeyPatrol] C:\Programme\PestPatrol\KeyPatrol.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1124534341\ee\AOLHostManager.exe
O4 - HKLM\..\Run: [NI.UWFX5U] "C:\Dokumente und Einstellungen\H0b€lspäne\Lokale Einstellungen\Temporary Internet

Files\Content.IE5\8LIJW923\WinFixer2005ScannerInstallDE[1].exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\Gartenromantiker\AOL 9.0b\aoltray.exe
O4 - Global Startup: AOL Companion.lnk = C:\Programme\AOL Companion\companion.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O12 - Plugin for .AVI: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O15 - Trusted Zone: *.moove.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://update.microsoft.com/windowsu...?1120863628640
O17 - HKLM\System\CCS\Services\Tcpip\..\{66ECAA02-B9F2-4E2C-9DC1-BEA20AD46DF0}: NameServer = 205.188.146.145
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame

Dateien\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA

Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA

Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA

Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA

Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Zitat:

Zitat von Managor

Hallo jonny333

Kannst Du mir bitte die Seite nennen, wo Du Dir das Ding eingefangen hast? Ich versuche, mit ein paar Leuten aus dem Protecus-Board, einen Workaround zur Entfernung zu erstellen, aber uns fehlt bisher noch die Infektion, die ich absichtlich auf meinem Test-System erreichen möchte. Die Installation der Originalsoftware von winfixer.com hat's bisher noch nicht gebracht (siehe auch http://board.protecus.de/showtopic.php?threadid=18701). Evtl. kannst Du uns da behilflich sein.

hallo managor
das Teil kannst Du dir auf fast jeder amerikanischen Internetradioseite einfangen. Ich hab's erhalten auf Kickin' Country (h**p://www.kickincountry.tk/) und auf Megarock's All Country (Link habe ich nicht gespeichert, will nicht noch mal drauf).

Gruss roadking

Hi!

My two pence zur Sache:

1. Die Websites, die von diesem Sch..ding (ich habs auch...) angesprungen werden, haben mit dem Ursprung nichts zu tun, eher wollen die Autoren den angesprungenen Betreibern schaden. Auf Supportanfragen bei Winfixer werdet ihr also nur wenig vernünftige Antworten bekommen.

2. Den Trojaner - oder was auch immer er ist - gibts ganz nebenbei bei www.guitaretab.com und ettlichen weiteren Seiten, die Tabs (eine bestimme Notation von Songs für alle Nicht-Gitarrenspieler) anbieten. Scheibar haben die Musikbegeisterten Betreiber keine Ahnung von Security ihrer Server oder die tun das absichtlich und hoffen auf die Dummheit ihrer User.

Bei mir hat sich das Ding eingeschlichen, trotz Firewall im Router (ist ein 3Com Wlan Router), trotz zusätzlicher WinXP SP2 Firewall und trotz ständig aktuellem AntiVir 6.0 Personal Edition.

Das kommt halt davon, dass ich Depp mal wieder mit dem IExplorer im Web war! Oder hat es jemand auch mit Mozilla oder ähnlichen bekommen? Wenn die Infektion erst mal da ist, ist der Browser egal, weil das Ding offensichtlich Netzwerktraffik abhört und sobald http-mässig was läuft aktiv wird. Kommt alle paar Minuten und ist aber inaktiv, seit ich in dieses Fenster tippe!!!

Mal sehen, ob meine bescheidenen Two Pence zur Lösung beitragen!

Greetnix - da doc

Noch ein Nachtrag von mir:

Nach einem Check mit Ad-Aware ud einem Scan mit Free-AV hat sich folgendes ergeben:
... Ist das Trojanische Pferd TR/Dldr.Adload.A.9!
C:\WINDOWS\DOWNLOADED PROGRAM FILES\INSTALLER_MARKETING32.EXE

Nachdem ich das gelöscht habe, ist der Redirect auf winfixer weg. Nun kommt noch einer auf www.search-h.com ... mal sehen wie ich den loswerde...

Übrigens gibt es bei http://www.pandasoftware.com/product..._principal.htm einen Check, der ganz tauglich ist.

Nochmal greetnix - da doc

Zitat:

Zitat von dadoc

...Oder hat es jemand auch mit Mozilla oder ähnlichen bekommen? Wenn die Infektion erst mal da ist, ist der Browser egal, weil das Ding offensichtlich Netzwerktraffik abhört und sobald http-mässig was läuft aktiv wird....

Ja, ich hab' ihn in beiden. Spybot & Destroy und ad-aware haben nichts gefunden. Unter: C:\WINDOWS\DOWNLOADED PROGRAM FILES\ hatte ich einige Dateien gelöscht, besagte: INSTALLER_MARKETING32.EXE fand ich dort nicht. Die anderen versuchten beim Löschvorgang Änderungen an der Registry vorzunehmen, was durch spybot - search & destroy verhindert wurde. Ich weiß immer noch nicht, wie ich das Ding wegbekomme. AntiVir Scan hat bei mir auch nichts gefunden.
Gruss
subtil

hmm..
@gefundeneviren103 ich glaube ich weiß, wie er entfernt werden kann:

1.lade dir clearprog runter und installiere es
2.führe es im abgesicherten modus aus, haken setzen bei "alles löschen" und klick auf löschen
3.dann lösche die datei smdat32.sys im ordner c:\windows\system32
(falls nicht angezeigt wird, klicke auf extras,ordneroptionen,ansicht
-geschützte systemdateien ausblenden haken weg
-inhalte von systemordnern anzeigen haken hin
-alle dateien und ordner anzeigen haken hin
-übernehmen, ok
4.lösche die dateien
aDaamon.dll, ccprops.dll, cwmmdlg.dll, cygbkend.dll, dawsock.dll, dtband.dll, dznput.dll, is32_32.dll, kudcr.dll, mdrtdep.dll, mescp.dll, mgtext40.dll, MRHTML.DLL, MTHTML.DLL, mtrui.dll, mvimg32.dll, MZSTDFMT.DLL, nbshrui.dll, ndmarta.dll, ndwmsdrm.dll, njtshell.dll, nvmarta.dll, oeesvr.dll, ouengl32.dll, parfos.dll, pKutoenr.dll, qbv.dll, qvartz.dll, qvgr.dll, rFsctrs.dll, rQsdlg.dll, rVsdlg.dll, sftupdll.dll, sgndmail.dll, sotupdll.dll, szdpapi.dll, uaib.dll, untheme.dll, vgoy.dll, vgscript.dll, vmwwdm32.dll, vwrifier.dll, wg2help.dll, wknnls.dll, wnpdinfo.dll, wqiscmgr.dll, wunmm.dll, wvi.dll und wwhisn.dll im ordner c:\windows\system32 (jep ich weiß, aber danach sollte das system wesentlich sauberer sein)
5.lösche die ordner C:\Programme\NewDotNet\, C:\Programme\MyWay\, C:\Program Files\Altnet\ und C:\Programme\Gemeinsame Dateien\dqarlrac\
6.gehe in den normalen modus, erstelle ein HJT Logfile wie es hier steht und poste es.

soviel dazu..

zu winfixer:
zuerst sollte eScan richtig im abgesicherten modus (wie die folgenden schritte) ausgeführt und die datei find.bat zum herausfiltern benutzt werden. kommt dabei ein RAT oder backdoor zum vorschein kommen, muss neuinstalliert werden.
ich glaube (aufgrund des HJT-Logs) das die adware look2me damit in verbindung steht, dh. genutzt wird. deswegen sollte jegliche look2me-adware im abgesicherten modus gelöscht werden.
auch ist "winfixer" häufig im ordner
C:\Programme\WinAntiVirus 2005 Pro Trial\ oder C:\Programme\WinFixer 2005\ vorhanden
außerdem auch dieser installer (der bereits erwähnt wurde) in downloaded program files, aber mit variierenden dateinamen. auch sieht man ihn nicht richtig wenn man in den ordner schaut. das heißt man muss ihn per kommandzeile löschen.
also start,ausführen,cmd eingeben, ok klicken
in der konsole cd c: eingeben und bestätigen
cd windows eingeben und bestätigen
cd downlo~1 eingeben und bestätigen
del *.exe eingeben und bestätigen
cd.. eingeben und bestätigen
cd inf eingeben und bestätigen
del *.dll eingeben und bestätigen
konsole schließen
dass der mozilla sich nun mit dem winfixer öffnet deutet auf gehijackte winsocks hin - er sendet einen request an das system, dass sich die url www.winfixer.com öffnen möge - das tut er mit dem standardbrowser. also handelt es sich vermutlich um eine fremde winsockdatei die das verursacht, weshalb man lspfix runterladen und ausführen sollte. meist reicht es, auf finish zu klicken.

in HJT sollten jetzt lediglich ein paar verdächtige hijackthiseinträge entfernt werden (momentan weiß ich nicht welche - ich arbeite aber daran)
nen versuch finde ich isses auf alle fälle wert
*winfixer-remove-anleitung wird noch ergänzt*

hmmm... sorry, auf guitartab.com konnte ich ihn nicht feststellen.

@gefundeneviren103

Zitat:

Der Spybot meinte er hat 6066 Sachen blockiert

Ja, der immunisiert Dein System und blockiert potentielle Gefahrenquellen. Wenn er bei der Überprüfung nichts findet, dann ist wohl alles in Ordnung