Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   WinFIX ?? oder etwas anderes?????? (https://www.trojaner-board.de/23625-winfix-etwas-anderes.html)

mattzci 14.11.2005 14:27

WinFIX ?? oder etwas anderes??????
 
Hallo erstmal,

hatte vor ein paar tagen das Pop up Winfixer welches sich ständig öffnete. Nach stöbern in diesem und anderen foren habe ich win fixer mit spybot und adaware (glaub ich) einen Teil dvon entfernen können.
nun habe ich folgendes Problem:

in unregelmäßigen abständen, wenn ich online bin öffnet sich zwei Fenster:
1. eine leere Seite mit dem Titel: Fehler ( und noch etwas) in der Adresszeile
steht dann irgendetwas von winfix und so weiter..........( habe jetzt darauf
gewartet, um es komplett abschreiben zu können, aber wie das so ist wenn
man darauf wartet erscheint es nicht.)
2. das andere da steht etwas von "windows security update" in der Titelzeile
und und dann auf englisch das die datei win32res.exe folgende
informationen eben gesendet hat. dann sind eine ip-adresse und noch nen
paar andere daten aufgeführt. und dann soll ich mir doch 2 programme
downloaden irgendetwas mit win2005´( keine Ahnung genau)

Ich poste hier mal gleich mein HJT-log mit vielleicht kann mir ja jemand helfen, bitte erklärt es mir für dummies ( also schritt für schritt anleitung)
Ich bin mir nicht sicher aber ich denke das es etwas mit den 2 dll-dateien zu tun hat ich kann diese aber nicht fixen. (vtsqp.dll und mljge.dll) sowie den dazugehörigen eintragen o2 und o20)
Ich sage schon mal Danke im Voraus.

Logfile of HijackThis v1.99.1
Scan saved at 14:23:08, on 14.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Cindy\Antivir\AVGUARD.EXE
D:\Cindy\Antivir\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\DATEV\PROGRAMM\INSTALL\AdlServ.Exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
D:\Cindy\Antivir\AVSched32.EXE
C:\WINDOWS\System32\winadm.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Cindy\Antivir\AVGNT.EXE
D:\Cindy\Stampit\BINARY\STRAY.EXE
D:\Cindy\scanner\AM32.exe
D:\Cindy\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
D:\Cindy\Adobe\Distillr\acrotray.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\winadmd.exe
D:\Cindy\virenprogramme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\vtsqp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Cindy\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Cindy\Adobe\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\mljge.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Cindy\Adobe\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVSCHED32] D:\Cindy\Antivir\AVSched32.EXE /min
O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\System32\winadm.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Cindy\Antivir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STAMPIT-Tray] D:\Cindy\Stampit\BINARY\STRAY.EXE
O4 - Global Startup: Action Manager 32.lnk = D:\Cindy\scanner\AM32.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Cindy\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NewShortcut4.lnk = Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Cindy\Adobe\Distillr\acrotray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Cindy\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Cindy\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Cindy\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131376893982
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131783037357
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - h**p://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - h**p://asp01.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6171A471-4185-4E08-8102-C0B89CB72766}: NameServer = 217.237.149.225 217.237.151.97
O20 - Winlogon Notify: mljge - C:\WINDOWS\System32\mljge.dll
O20 - Winlogon Notify: vtsqp - C:\WINDOWS\SYSTEM32\vtsqp.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Cindy\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Cindy\Antivir\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Update-Manager-Dienst - DATEV eG - D:\DATEV\PROGRAMM\INSTALL\AdlServ.Exe



PSPS: hatte jetzt wieder die leere seite:

Titel: Fehler Entdeckt
Adresse: h**p://de.winfixer.com/pages/scanner_de/?aid=vm_sv_wfx5de_1&ed=2&ax=2&ex=1

[edit]
links entfernt
[/edit]

Shadow 14.11.2005 15:38

Welchen Grund gibt es für das extrem veraltete Windows und den veralteten Internetexplorer?
Warum kümmer sich die Leute erst wenn es brennt und zu spät ist, um ihr System *grübel*
Windowsupdate sagt dir nichts? Noch nie gehört?

Wildone 14.11.2005 15:42

Hallo,
editiere erst mal die Links im Log (aus http hxxp machen) und auch von dem unteren Link, oder willst du das sich auch noch andere Leute anstecken?
Führe mal diese Anleitung (*Link entfernt*) durch und poste danach ein neues Log.

[EDIT]
Ich sehe gerade das du offensichtlich nicht lernfähig bist, siehe hier, und stelle damit meine Hilfe ein, wer sein Betriebssystem trotz besseren Wissens vernachläßigt muss mit Viren und Popups leben lernen.
[/EDIT]

Grüße Wildone

mattzci 14.11.2005 16:41

Ich versteh nicht so ganz, warum du mich jetzt so runtermachst.

Ich bin mir eigentlich keiner schuld bewußt, da ich regelmäßig updates von Windows ziehe seit dem letzten mal. das einzigste was ich nicht mache ist SP 2.
Ich wollte meinen ersten eintrag editieren kann ich aber leider nicht mehr sorry.



Gibt es vielleicht doch noch jemanden der mir helfen möchte ohne mich anzumeckern?

Danke

mattzci

PS: @ Wildone: Kannst du mir noch mal die Anleitung (Link entfernt) geben, damit ich dieses ändern kann? danke

GUA 14.11.2005 19:00

@ mattzci

bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:

http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA

mattzci 14.11.2005 19:13

Danke, ich wollte es ändern aber da ging es nicht mehr.

Also nochmals danke das du es für mich gemacht hast.


mattzci

Shadow 14.11.2005 20:31

Zitat:

Zitat von mattzci
das einzigste was ich nicht mache ist SP 2.

Und warum nicht?

GaMMeLHaNsy 22.01.2006 20:45

Ich hab genau das gleiche problem!!!
bloß bei mir sind das auch andere seiten

nur um mal einige beispiele zu nennen:

http://www.deal-nation.com/normal/yyy102.html
http://www.deal-mobile.com/normal/yyy102.html
http://www.mega-cheap.com/normal/yyy65.html
http://www.mega-savings.com/normal/yyy102.html
http://www.cash-coupon.com/normal/yyy102.html
http://www.discount-home.com/normal/yyy102.html
http://www.winantiviruspro.com/?SID=d47018ed3472a6e6bc05a52ae78b7dae
http://www212.paypopup.com/networks/adtegrity2.php?rurl=http%3A%2F%2Fpopunder.paypopup.com%2Fprogress.php%3Fsn%3D851134826831%26serverfile%3Dpopdirect%26siteid%3DBundleWare%26subid%3D237 82%26data%3DrSe_2%25D1%25CE%25CC%25CD%25D3%25CE%25D6%25D2%25D1%25D1%25C1%2529g%255E%255DcY%25DD%25DF%252B%2524%257B%2525%2522%25F1%257B%252F%257C%25BF q_ZcY%25DD%25CF%25CC%25D0%25D3%25CE%25C6%25244%25E3%2527%252Bl%255Ejs2%25E4%25E2%25BF%25FB%252A%2528%2529%25FB%2529%2524-%25FAeO5%255EZ%25CD%257D%25FE%25C5%257B%257D%25DB%2528%25DB%25D0%25C9%25D1%252AOf%2527j0%25D8%2527%25D6%25CB%25CA%25D5%25C6%2B%252B%25D6%2527%253B%25F D%2526-%25FE%252A3%25DC%257E%252C2%25DD%25E70%252B%2521%25FCf%25F3aj2%25D8%25D1%25C7%25CE%25D1%25CA%25D5%25D2%25CC%25D6%25D2%26adsid%3D24%26adsname%3Dadtegri ty_prepopped
http://www212.paypopup.com/networks/budsinc2.php?rurl=http%3A%2F%2Fpopunder.paypopup.com%2Fprogress.php%3Fsn%3D861134828275%26serverfile%3Dpopdirect%26siteid%3DBundleWare%26subid%3D23782 %26data%3DrSe_2%25D1%25CF%25CC%25CD%25D3%25CE%25D8%25CC%25D7%25CF%25C5-g%255E%255DcY%25DD%25E0%252B%2524%257B%2525%2522%25F1%257D%2529%2521%25C3q_ZcY%25DD%25D0%25CC%25D0%25D3%25CE%25C6%25246%25DD%252B%252Fl%255Ejs2%25E4%2 5E3%25BF%25FB%252A%2528%2529%25FB%252B%257D1%25FEeO5%255EZ%25CD%257E%25FE%25C5%257B%257D%25DB%2528%25DD%25CA%25CD%25D5%252AOf%2527j0%25D9%2527%25D6%25 CB%25CA%25D5%25C6%2522%2525%25DA%252B%253B%25FD%2526-%25FE%252A4%25DC%257E%252C2%25DD%25E72%2525%2525%257Cf%25F3aj2%25D8%25D2%25C7%25CE%25D1%25CA%25D5%25D2%25CE%25D0%25D6%26adsid%3D4%26adsname%3Dbudsinc_ prepopped
http://www212.paypopup.com/networks/adtegrity2.php?rurl=http%3A%2F%2Fpopunder.paypopup.com%2Fprogress.php%3Fsn%3D841134828518%26serverfile%3Dpopdirect%26siteid%3DBundleWare%26subid%3D237 82%26data%3DrSe_2%25D1%25CD%25CC%25CD%25D3%25CE%25D8%25CF%25D1%25D5%25BF0g%255E%255DcY%25DD%25DE%252B%2524%257B%2525%2522%25F1%257D%252C%25FE%25C6q_Zc Y%25DD%25CE%25CC%25D0%25D3%25CE%25C6%25246%25E0%25252l%255Ejs2%25E4%25E1%25BF%25FB%252A%2528%2529%25FB%252B%2521%252B%257DeO5%255EZ%25CD%257C%25FE%25C 5%257B%257D%25DB%2528%25DD%25CD%25C7%25D8%252AOf%2527j0%25D7%2527%25D6%25CB%25CA%25D5%25C6%2522%2528%25D4.%253B%25FD%2526-%25FE%252A2%25DC%257E%252C2%25DD%25E72%2528%257E%2Bf%25F3aj2%25D8%25D0%25C7%25CE%25D1%25CA%25D5%25D2%25CE%25D3%25D0%26adsid%3D24%26adsname%3Dadtegrity _prepopped
http://www.z404.com/ad/az_landing.php
http://www.myfuncards.com/?partner=ZUxdm209&spu=true
http://de.dadamobile.com/splash/specialoffer_de1.html
http://c.azjmp.com/az/ch.php?f=2177&i=9676&sub=&pop=0&aux=&bypass=&geo=1&r=1
http://www.amaena.com/security/?aid=mwav1&lid=c1
http://www212.paypopup.com/networks/budsinc2.php?rurl=http%3A%2F%2Fpopunder.paypopup.com%2Fprogress.php%3Fsn%3D861134829000%26serverfile%3Dpopdirect%26siteid%3DBundleWare%26subid%3D23782 %26data%3DrSe_2%25D1%25CF%25CC%25CD%25D3%25CE%25D9%25CA%25D1%25C8%25BE%2528g%255E%255DcY%25DD%25E0%252B%2524%257B%2525%2522%25F1%257E%2527%25FD%25BEq_ ZcY%25DD%25D0%25CC%25D0%25D3%25CE%25C6%25247%25DB%2524%252Al%255Ejs2%25E4%25E3%25BF%25FB%252A%2528%2529%25FB%252C%257B%252A%25F9eO5%255EZ%25CD%257E%25 FE%25C5%257B%257D%25DB%2528%25DE%25C8%25C6%25D0%252AOf%2527j0%25D9%2527%25D6%25CB%25CA%25D5%25C6%2523%2523%25D3%2526%253B%25FD%2526-%25FE%252A4%25DC%257E%252C2%25DD%25E73%2523%257D%25FBf%25F3aj2%25D8%25D2%25C7%25CE%25D1%25CA%25D5%25D2%25CF%25CE%25CF%26adsid%3D4%26adsname%3Dbudsinc_ prepopped
http://www.instantnavigation.com/search.php?cat=pcsoftwareinternet&partner=my_tk
http://www.hostingprovider.at/http://www212.paypopup.com/networks/adtegrity2.php?rurl=http%3A%2F%2Fpopunder.paypopup.com%2Fprogress.php%3Fsn%3D861134829245%26serverfile%3Dpopdirect%26siteid%3DBundleWare%26subid%3D237 82%26data%3DrSe_2%25D1%25CF%25CC%25CD%25D3%25CE%25D9%25CC%25D5%25CF%25C2-g%255E%255DcY%25DD%25E0%252B%2524%257B%2525%2522%25F1%257E%2529%257D%25C3q_ZcY%25DD%25D0%25CC%25D0%25D3%25CE%25C6%25247%25DD%2528%252Fl%255Ejs2%25E4%2 5E3%25BF%25FB%252A%2528%2529%25FB%252C%257D.%25FEeO5%255EZ%25CD%257E%25FE%25C5%257B%257D%25DB%2528%25DE%25CA%25CA%25D5%252AOf%2527j0%25D9%2527%25D6%25 CB%25CA%25D5%25C6%2523%2525%25D7%252B%253B%25FD%2526-%25FE%252A4%25DC%257E%252C2%25DD%25E73%2525%2522%257Cf%25F3aj2%25D8%25D2%25C7%25CE%25D1%25CA%25D5%25D2%25CF%25D0%25D3%26adsid%3D24%26adsname%3Dadtegri ty_prepopped
http://www212.paypopup.com/networks/budsinc2.php?rurl=http%3A%2F%2Fpopunder.paypopup.com%2Fprogress.php%3Fsn%3D821134829481%26serverfile%3Dpopdirect%26siteid%3DBundleWare%26subid%3D23782 %26data%3DrSe_2%25D1%25CB%25CC%25CD%25D3%25CE%25D9%25CE%25D9%25CD%25C6%2529g%255E%255DcY%25DD%25DC%252B%2524%257B%2525%2522%25F1%257E%252B%2522%25BFq_ ZcY%25DD%25CC%25CC%25D0%25D3%25CE%25C6%25247%25DF%252C%252Bl%255Ejs2%25E4%25DF%25BF%25FB%252A%2528%2529%25FB%252C%2B2%25FAeO5%255EZ%25CD%25FE%25FE%25C 5%257B%257D%25DB%2528%25DE%25CC%25CE%25D1%252AOf%2527j0%25D5%2527%25D6%25CB%25CA%25D5%25C6%2523%2527%25DB%2527%253B%25FD%2526-%25FE%252A0%25DC%257E%252C2%25DD%25E73%2527%2526%25FCf%25F3aj2%25D8%25CE%25C7%25CE%25D1%25CA%25D5%25D2%25CF%25D2%25D7%26adsid%3D4%26adsname%3Dbudsinc_ prepopped
http://www.mega-savings.com/normal/yyy102.html
http://certified-safe-downloads.com/adserver/RegClean/soref/newdownload.asp?Referrer=ellregclean
http://www.kontron-emea.com/?source=overture
http://www.efs.com/default.asp?Acc=130994&Sub=YF332&Eng=TrafflicLogic&Key=E-file%20Federal%20Taxes
http://www.coupon-online.com/normal/yy

man kann das auftauchen dieser seiten unterdrücken.
ich habe 2 wege gefunden:
die nforce4 hardware-firewall oder wenn einer das nicht hat zone alarm.
ich glaub um das problem für immer zu beseitigen hilft nur das brutalste :koch:
PLATTE PLATT MACHEN :teufel2:


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131