Trojaner-Board - wieder mal WinFixer

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - wieder mal WinFixer (https://www.trojaner-board.de/24598-mal-winfixer.html)

wieder mal WinFixer

guten abend
leute, ich bin der verzweiflung nahe. ich hab nun doch mal geschnallt, dass ich anscheinend dieses win-fixer-ding drauf hab. :headbang:
Ich als absolute pc-null kann das natürlich wieder mal nicht beseitigen.
könnt ihr mir dabei helfen????
ich hab panda durchlaufen lassen und der hat mir jedenfalls schonmal die dateien gezeigt, die infiziert sind....das problem ist, dass ich sie nicht löschen kann. was mach ich denn nu?
könnt ihr einem laien irgendwie helfen? bitte bitte ganz einfach erklären. ich versteh sonst nicht mal die hälfte.
vielen dank im voraus für eure hilfe.

Hallo,
poste erstmal ein HijackThis log für den Gesamtüberblick. Die Dateien bekommen wir schon gelöscht, das ist kein großes Problem.
Poste mal was Panda wo (genauer Pfad) findet.

Grüße Wildone

also die dinger hat er mir angezeigt. Adware:Adware/SaveNow C:\PROGRA~\SAVE\SAVE.EXE
Adware:Adware/SaveNow C:\PROGRA~\Save\ACM.dll
Adware:Adware/SaveNow C:\PROGRA~\Save\Save.exe
Adware:adware/savenow C:\DokumenteundEinstellungen\Grfin\LokaleEinstellungen\Temp\saveinstwm.exe
Adware:adware/whenusearch C:\DokumenteundEinstellungen\Grfin\Startmen\Programme\WhenU
Adware:Adware/SaveNow C:\DokumenteundEinstellungen\Gräfin\LokaleEinstellungen\Temp\saveinstwm.exe
Adware:Adware/SaveNow C:\Programme\BearShare\Installer\saveinstwm.exe
Adware:Adware/SaveNow C:\Programme\Save\ACM.dll
Adware:Adware/SaveNow C:\Programme\Save\Save.exe
Adware:Adware/SaveNow C:\Programme\Save\SaveUninst.exe
Adware:Adware/SaveNow
C:\Programme\Save\saveupdate.exe

ach so....und das sagt dat HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 22:55:26, on 16.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\EzButton\EzButton.EXE
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Office50\SOINTGR.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\PROGRA~1\Save\Save.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Gräfin\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.conventum-tenebrarum.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\Office50\SOINTGR.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WhenUSave] "C:\PROGRA~1\Save\Save.exe"
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {A569FC13-6042-4280-8135-B5B2053FB979} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{758AD51E-CB13-4DCF-95DC-0B29B140CF01}: NameServer = 192.168.6.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

Hallo,
trotzdem noch das HijackThis log nachreichen. Gehe mal unter Systemsteuerung>>Software und deinstalliere (falls vorhanden) das Programm WhenU (o.ä.).

Grüße Wildone

ist gemacht. HijackThis-Log nachgereicht. (siehe oben)
ich hoff, wir kriegen das in dieser nacht noch hin. morgen gehts heim...inclusive lappi. und von da kann ich nicht viel machen, zwecks mistiger internetverbindung

Hallo,
kommen die Popups noch nach der Deinstallation des Programms immernoch?

Grüße Wildone

dieses WhenUSave lässt sich nicht deinstallieren. das hängt mit BearShare zusammen. jetzt hab ich bear-share runtergeschmissen (brauch es im prinzip auch nicht)....trotzdem lässt es sich nicht schmeißen. kommt folgende meldung:
WhenU Save is currently supporting the following free software application(s) on your computer:
BearShare
In order to safely and completely uninstall WhenU Save,
you must first remove the software application(s) above, which
your were able to download and use free of charge in exchange
for viewing ads from WhenU Save.

For assistance call the toll-free WhenU helpline, .....

Hallo,
hast du Bearshare über die mitgelieferte Uninstall Datei entfernt, oder über Systemsteuerung>>Software? Wenn nicht versuche das nochmal, wenn das nicht funktioniert müssen wir halt etwas rabiatere Methoden anwenden um WhenU zu deinstallieren.

Grüße Wildone

hahaaa, es is weg.
ich hab den pc nochmal neu gestartet und dann das whenU gekickt.
wie kann ich mir jetzt sicher sein, dass das ding wirklich runter is? soll ich panda nochmal durchlaufen lassen?
und vor allem....wie schütze ich mich in zukunft vor diesen dingern?

Hallo,
also, schau mal ob die Ordner C:\Programme\Save und C:\Programme\Bearshare noch existieren, wenn ja lösche sie. Normalerweise ist das Programm über Deinstallation komplett zu beseitigen, also würde ich mir keine allzu großen Sorgen machen.
Lösche mal noch deine Tempdateien mit Cleanup!, dann kannst du noch mal zur Kontrolle Panda laufen lassen.
Zukünftig bleibt zu sagen einfach keine unseriösen Programme wie Bearshare installieren, und immer brav jeden Monat das Microsoftupdate machen, oder die automatische Updatefunktion aktivieren.

Grüße Wildone

erstmal vielen vielen dank. hast mir schon sehr geholfen. da wär nur noch eins.
irgendwo is noch son ding. aber jetzt ist es wenigstens nur noch EINS und nicht mehr ELF!
panda sagt folgendes:

Adware:adware/whenusearch Not desinfected Windows Registry

Hallo,
hmm, das ist jetzt schwierig, da die Registry groß ist, und Panda nicht genau sagt welcher Key gemeint ist. Gleich mal vorneweg, es ist kein Beinbruch wenn ein verwaister Registryeintrag zurückbleibt, er kann keinen Schaden anrichten.
Du kannst dir mal das Programm Regseeker runterladen und erstens damit die Registry bereinigen (achte darauf das bei Backup ein Haken ist!) und zweitens mal nach WhenU in der Registry suchen und falls etwas gefunden wird den Eintrag posten.

Grüße Wildone

HUCH? :lach:
der zeigt an "total 957"
und nu?

Hallo,
du meinst jetzt wahrscheinlich bei der Registrybereinigung, oder meinst du bei der Suche nach WhenU?

Ersteres sind einfach überflüssige Einträge, das hat nichts mit Sicherheitsrisiken zu tun. Die Einträge kannst du alle entfernen, aber wie schon mal gesagt, achte darauf das der Haken bei Backup gesetzt ist.

Grüße Wildone

ich hab nach whenU suchen lassen. ich lösch das jetzt alles. der haken ist gesetzt. wo find ich die dinger dann?

sooo, erstmal vielen dank für alles. war bestimmt nicht einfach mit mir.
kriegst n gaaaanz großes danke und n dickes bienchen.
ich hab zwar immer noch son ding in den registrys, aber ich geh mal davon aus, dass die momentan keinen schaden machen.
ich werd jetzt erstmal in den urlaub starten.
euch ein schönes weihnachtsfest und nen guten rutsch.
ich schau sicherlich öfters mal rein....weil: pc-null!!!
grüße
gräfin

Hallo,
hast dich doch wacker geschlagen, da hatte ich schon ganz andere hier. Wünsche dir einen angenehmen Urlaub und schöne Feiertage.

Grüße Wildone