ständig will sich dieser Winfixer installieren, gleichzeitig wird mir noch eine Fehlermeldung angezeigt, fingxpr5.exe und mirsihnd.exe haben ein Problem festgestellt und müssen beendet werden. Diese beiden Dateien habe ich aber gar nichtauf meinem Rechner - aber im Prefetch-Ordner sind beide - natürlich mit so komischen Endungen - ich kann sie auch nicht löschen - 2 Sekunden später sind sie wieder da. Spybot, Adaware, Microsoft Antispyware, CCleaner, TuneUp 2006, - alle finden sie nichts. Hier mein Log, ich bitte um Hilfe:

Logfile of HijackThis v1.99.1
Scan saved at 15:50:04, on 16.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
c:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Symantec\Norton Commander\NC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
C:\Programme\T-Online\T-Online_Software_6\eMail\MAIL.EXE
C:\Programme\LeechGet 2004\LeechGet.exe
C:\downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB002" /M "Stylus C64"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37390.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://floridakeysmedia.tv/axiscam/Codebase/AxisCamControl.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4127F79-A821-4C45-8C47-8E566E96DDA2}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8413A03-DF89-4082-B110-2BC069AA2B6B}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

@Roygo
Benutze bitte Board-Suche. Zum Winfixer gibt es schon hier Material für einen dicken Roman.

Hallo,
das ist aber im Fall von Winfixer nicht ganz fair, da gibt es Varianten die mit look2me auftreten, welche die mit Vundo.B daherkommen und andere die mit Swizzor auftreten.
@Roygo
Scanne dein System mal mit Ewido im abgesicherten Modus (F8 beim booten) und poste danach den Report (bereigt von Cookiesmeldungen).



Grüße Wildone

Ich habe schon sämtliche Beiträge zu Winfixer hier gelesen, es sollte ja nur mal mein Logfile von Highjackthis gecheckt werden und ob es Zusammenhänge mit der mirsihnd.exe und fingxpr5.exe gibt. Der Winfixer ist auch nicht auf meinem PC installiert - er will sich nur immer wieder installieren.

Der Ewido-Scan brachte dies:

+ Erstellt am: 11:47:51, 17.11.2005
+ Report-Checksumme: EE060B4E

+ Scanergebnis:

C:\Dokumente und Einstellungen\RoyGolda\Cookies\roygolda@as-eu.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\RoyGolda\Cookies\roygolda@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\RoyGolda\Cookies\roygolda@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\RoyGolda\Cookies\roygolda@ppms.popularix[1].txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup
C:\Dokumente und Einstellungen\RoyGolda\Cookies\roygolda@sel.as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup


::Report Ende

Als Anhang habe ich mal die 2 Meldungen von Winfixer angehängt. Die zweite erscheint, wenn ich die erste Meldung mit wegdrücken auf das X klicke.

Hallo,
hmm, das hat nichts zu Tage gefördert. Untersuche dein System mal mit Escan (Anleitung sorgfältig lesen) und poste das Log wie in der Anleitung beschrieben.


Grüße Wildone

esacan habe ich schon vor ein paarTagen probiert - auch nichts. Microsoft Spyware hat mir jetzt eine Meldung gebracht:

ActiveX programs are often downloaded from Web sites and can perform any action that a typical application can. This change generally occurs when software is installed. You can allow this change if it is recognized and expected.

Name: UWFX5U_0001_LPNetInstaller.exe
Download URL: http://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab
Installed files:
C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_LPNetInstaller.exe

Kann man damit irgendwas anfangen oder ableiten?

Hallo,
Escan hat als du es ausgeführt hast nichts gefunden?
Lösche halt mal die Datei:
C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_LPNetInstaller.exe
Vielleicht solltest dzu dein System auch noch mal zusätzlich mit Counterspy untersuchen. Du kannst übrigens danach sowohl Ewido als auch Counterspy deinstallieren (das sind nur 14tägige Trialversionen).


Grüße Wildone

Escan hat nichts verdächtiges gefunden, jedenfalls nichts was mit Winfixer zu tun haben könnte. Die Datei UWFX5U_0001_LPNetInstaller.exe lösche ich jedesmal. Nur muss sie ja irgendwoher kommen, ich denke ich fange sie mir jedesmal ein wenn ich online gehe, es ist mir aber noch nicht aufgefallen ob bestimmte Seiten verantwortlich sind. Es scheint ziemlich wahllos zu kommen.

Hallo,
untersuche dein System auch mal mit Silentrunner und poste das Log.


Grüße Wildone

Habe gerade Counterspy fast eine Stunde am laufen gehabt und er hat mir folgendes angezeigt:

Spyware Scan Details
Start Date: 18.11.2005 12:39:58
End Date: 18.11.2005 13:27:46
Total Time: 47 mins 48 secs

Detected spyware

Adw.Afris.Downloader Browser Hijacker more information...
Details: This ownloader silently travels to porn sites without displaying a browser. No window is visible, but this threat visits various porn sites and loads up the temporary internet files folder with many pornographic images.
Status: Deleted

Infected files detected
C:\Dokumente und Einstellungen\RoyGolda\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\SecurityClassLoader.class-3ef4c798-2909e5ae.class


ErrorGuard 2.5.0 Adware more information...
Details: ErrorGuard is a fake AntiSpyware. Displays popup/popunder ads that cannot be closed by clicking a clearly visible close button.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/Install.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/Install.dll .Owner {205FF73B-CA67-11D5-99DD-444553540000}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/Install.dll {205FF73B-CA67-11D5-99DD-444553540000}


247RealMedia.com Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\roygolda\cookies\roygolda@247realmedia[1].txt


Cok.PriceBandit Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\roygolda\cookies\roygolda@apmebf[1].txt


as-us.falkag Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\roygolda\cookies\roygolda@falkag[2].txt

Ich habe alles löschen lassen. Es war ein Browser-Highjacker dabei - vlt. ist das das Problem - wie kann man sowas umgehen?
Oder war der ErrorGuard schuld, bei more information zeigte ermir an, dass damit Programminstallationen mit X nicht mehr abgebrochen werden können.
Gibt es einen "sicheren" Browser? Ich benutze derzeit den T-Online-Browser.
Vielen Dank an Wildone!

Hallo,
ich denke es wird an Errorguard gelegen haben, ich hoffe mal das Problem ist damit vom Tisch. Sichere Browser gibt es nicht, du hast den IE (mit T-online Aufsatz) ich würde dir raten mal einen alternativen Browser(Firefox, Opera, Mozilla) auszuprobieren und deinen IE sicher zu konfigurieren.


Grüße Wildone

Danke für den Link "Internet sicherer machen"! Bei mir war ja fast alles auf "unsicher".

Heute kam der Winfixer schon wieder. Das ist doch nicht normal!

@Roygo

Hast du immer noch Problem mit Winfixer 2005,poste mal dein aktuelle HijackThis Log

Gruss
Expert

Hallo,
habe zufällig im Internet gelesen, dass "Microsoft Antispyware" diesen "Winfixer" komplett eliminieren kann und soll. Ein Versuch ist es ja mal Wert.