Hallo,

zu allererst muß ich erwähnen, dass ich nicht viel Ahnung von Computern habe und offt Eure Fachsprache nicht verstehe oder Eure Tipps nicht anwenden kann, weil ich nicht weiß was gemeint ist. Seit gestern abend öffnet sich immer ein Fenster, das meit Computer mit Viren verseucht sein könnte ind ich deswegen immer Winfixer 2005 installieren soll. Das Fenster klicke ich mit dem Kreuz dann immer weg. Ich habe schon eine Menge gegoggelt , um eine Lösung zu finden, aber es scheint wohl doch nicht so einfach zu sein. Oft wird geschrieben, dass das Programm schon installiert ist.Bei mir wird aber gefragt, ob ich es installiern will. Ich kann es auch mit der Dateisuche nicht finden. Kann es gefährlich für mich werden? Ich hoffe, ich muß den Computer nicht neu bespielen. Ihr wollt an dieser Stelle, dass man mit HijackThis immer was postet und dann was löscht usw. aber da bin ich dann etwas überfordert mit meiner Unwissenheit. Vielleicht ist jemand dabei, der das Hijacken ffür Doofe erklären kann.

Danke für Eure Hilfe


Gruß

Ich habe auch das Problem mit diesem Winfixer 2005, schau mal in meinem Beitrag - mir scheint Counterspy geholfen zu haben.

http://www.trojaner-board.de/showthread.php?t=23711&highlight=winfixer

Zunächst brauchen wir mal einen HJT-Log.
Da gibts nämlich nicht nur eine Variante.

Hallo,

ich hoffe, ich habe alles richtig gemacht und Ihr könnt damit etwas anfangen?
Ich konnte nichts finden, wie z.b meinen Real Namen oder Internetadresse, die ich abändern mußte.
Die weiteren notwendigen Schritte bitte für Laien erklären.
Danke für Eure Hilfe.

Gruß

Logfile of HijackThis v1.99.1
Scan saved at 12:34:06, on 19.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Sicherheitsprogramme\Kaspersky\avpcc.exe
C:\WINNT\system32\svchost.exe
C:\Sicherheitsprogramme\security suite\ewidoctrl.exe
C:\WINNT\system32\hidserv.exe
C:\Sicherheitsprogramme\Kaspersky\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\SICHER~1\ZONEAL~1\zlclient.exe
C:\Sicherheitsprogramme\Kaspersky\avpcc.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Typhoon Multimedia for living\8D Scroll Ball Mouse\1.1\LWBWHEEL.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\ArcorDSL\ArcorDSL.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Sicherheitsprogramme\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B660087-931C-4056-A04F-0423890E40B6} - (no file)
O2 - BHO: (no name) - {84B94901-3645-4D80-A6B7-4D0050B19455} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARBEIT~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - (no file)
O2 - BHO: (no name) - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARBEIT~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\SICHER~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] C:\Sicherheitsprogramme\Kaspersky\ogrc.exe
O4 - HKLM\..\Run: [AVPCC] C:\Sicherheitsprogramme\Kaspersky\avpcc.exe /wait
O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Typhoon Multimedia for living\8D Scroll Ball Mouse\1.1\LWBWHEEL.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Arbeitsprogramme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Arbeitsprogramme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARBEIT~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARBEIT~1\FlashGet\flashget.exe
O16 - DPF: {0AFDA372-EB16-11D5-8A33-0002442B5E80} (AsconOnline.Web3D) - h**p://as-con.de/cab/as_tools.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67F6622E-AE63-46AC-8E67-4DE56BD99628}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{67F6622E-AE63-46AC-8E67-4DE56BD99628}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Kaspersky Labs. - C:\Sicherheitsprogramme\Kaspersky\avpcc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Sicherheitsprogramme\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\Sicherheitsprogramme\Kaspersky\avpm.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Hallo,

anscheinend habe ich wohl doch etwas übersehen, dass ich ändern mußte. Kann den Beitrag aber leider nicht mehr editieren.
Kann sich sich denn mal bitte jemand mein Hijackergebnis angucken.

Danke.

Gruß

erledigt
deinen beitrag kannst du bis zu einer stunde nach dem posten selbst editieren, dann nur noch moderatoren oder admins...
nächstesmal, posten, lesen, korrigieren...

GUA
(aus dem buch:"mittendrin statt nur dabei")

ingo_bau

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {0B660087-931C-4056-A04F-0423890E40B6} - (no file)
O2 - BHO: (no name) - {84B94901-3645-4D80-A6B7-4D0050B19455} - (no file)
O2 - BHO: (no name) - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - (no file)
O2 - BHO: (no name) - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - (no file)

PC neustarten

wende Cleanup an
http://virus-protect.net/cleanup.html

Counterspy
http://virus-protect.net/counterspy.html
nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)

@ingo_bau
nur zur info

Q: Do you support Firefox or other Mozilla browsers?
A: CounterSpy's Active Protection currently only monitors browser specific changes in Internet Explorer (i.e. Homepage hijack). It also monitors changes to the system that are not browser dependent (i.e. Registry changes). The Scanner detects and removes any spyware/adware that may get installed and associated cookies.

Our plan is to add support for Firefox and possibly other Mozilla browsers in a future release.


chaosman

@sabina

Danke, für die schnelle Anwort.

Heißt das, ich mache die Häkchen, fixe, starte den Pc neu und starte dann nochmal den PC neu? Oder habe ich etwas in der Reihenfolge vergessen oder missverstanden?

Danke

Gruß

@Sabina

Hallo,

ich hoffe, dass ich alles richtig gemacht habe.Cleanup hat ca. 2 GB gelöscht und das ist das Ergebnis von Counterspy:

Spyware Scan Details
Start Date: 19.11.2005 23:05:44
End Date: 19.11.2005 23:32:31
Total Time: 26 mins 47 secs

Detected spyware
No spyware were found during this scan.

War bis jetzt nur mit Fire Fox im Netz und habe mich noch nicht getraut mit dem IE online zu gehen.

Kann man davon ausgehen, dass der Virus weg ist?


Gruß

geh ruhig mal mit dem IE ins net, nur um sicher zu sein, dass alles weg ist.

du kannst auch noch folgendes machen
gehe in:

C:\WINDOWS\Downloaded Program Files

und suche/loesche eine Datei, die ungefaehr so aussieht:

Zitat:

C:\WINDOWS\Downloaded Program Files\UWFX5UNetInstaller.exe
C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_LPNetInstaller.exe
C:\WINDOWS\Downloaded Program Files\UWFX5LP_0001_0614NetInstaller.exe

Link Info Winfixer2005
http://virus-protect.net/artikel/spyware/winfix.html

@sabina

Hallo,

mir ist jetzt gerade mal nicht so gut.
Der Order C:\WINDOWS\Downloaded Program Files bzw. C:\WINDOWS existiert bei mir gar nicht . Wie kann das denn sein. Wurde der vielleicht durch die Programme gelöscht?

Gruß

Lass dir versteckte Dateien anzeigen:
Klick auf Arbeitsplatz ->Extras ->Ansicht
Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein
und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

--------------------------------------------------------------------

wenn man im Windows Explorer in den Windows-Ordner schaut, dann findet man darin die Ordner Downloaded Program Files und Downloaded Installations.

Beispiel:
Programmdatei: Status: Gesamtgröße: Erstellungsdatum:
{33564D57-9980... Unbekannt 4KB Keine
ActiveScan Instal... Installiert 132KB Uhrzeit
McFreeScan Class Installiert 4KB Uhrzeit
Microsoft Data C... Installiert 4KB Uhrzeit

@Sabina

Hallo,

ich habe mir die versteckten Ordner Anzeigen lassen, aber einen Ordner Windows gibt es nicht. Ich finde mit der Suche diesen Ordner auch nicht. Ich habe nur einen Ordner Winnt und einen Ordner Programm Files. Wie kann das sein und was nun?

Gruß

je.....dann schau im Ordner Winnt