Win Fixer Problem

skydiverrg · 08.11.2005

Hallo Leute,

ich bin auch ein leidender der sich den WinFixer eingefangen hat
hier mein Hijackthis.log.

Wer kann mir helfen das teil loszuwerden

Logfile of HijackThis v1.99.1
Scan saved at 12:00:44, on 08.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nslsvice.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\IFOR\WIN\BIN\I4LLMD.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\IFOR\WIN\BIN\I4LS.EXE
C:\Lotus\ntmulti.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\GTCO\wtxpload.exe
C:\Programme\RightFax\FaxCtrl.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\WINDOWS\GTCO\xpoint32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe
C:\Lotus\NLNOTES.EXE
C:\Lotus\ntaskldr.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSTART.exe
C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CNEXT.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\ktlreg\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dometic.lu/www/default.asp
R3 - URLSearchHook: (no name) - _{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
O1 - Hosts: 194.12.5.10 LUHOSML01
O1 - Hosts: 194.12.5.13 www.dometic.lu
O1 - Hosts: 193.23.100.92 kvs.wob.vw.vwg
O1 - Hosts: 193.23.100.92 kvspfv1.pfn.vwg
O1 - Hosts: 193.23.101.92 kvspfv2.pfn.vwg
O1 - Hosts: 143.164.6.110 kvs.ras.audi.vwg
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\Programme\Mass Downloader\MDHELPER.DLL (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [CalCompUtil] ccwtup32.exe
O4 - HKLM\..\Run: [GTCO.wtxpload] C:\WINDOWS\GTCO\wtxpload.exe GTCO
O4 - HKLM\..\Run: [RightFAX Print-to-Fax Driver] C:\Programme\RightFax\\FaxCtrl.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKCU\..\Run: [WINT] C:\WINDOWS\System32\wcpsu.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [CUCore Agent] C:\PROGRA~1\GEMEIN~1\FIRSTV~1\ConfAgent.exe /minimize
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Start 3DxWare.lnk = C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google AdSense Preview Tool - http://pagead2.googlesyndication.com/pagead/preview/en/preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {10B80396-96A7-11D3-B7A6-00A0C94C6AE0} (ParallelGraphics Cortona VRML 1.0 to VRML 2.0 convertor) - http://www.parallelgraphics.com/bin/cortvrml10.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1101109149313
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://playqames.com/default.cab?uid=7&id=31310&ex&1s&ppd=5
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://floridakeysmedia.tv/axiscam/Codebase/AxisCamControl.ocx
O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://webcamnow.com/fs5/ax/ActiveXWebCam.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/2841/defaults/activex/IPSUploader.cab
O16 - DPF: {FFFFFFFF-FFFF-FFFF-FFFF-000000000000} - http://www.solidview.com/autoupdate/autoupdate_svlite.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = KTL1.PRI
O17 - HKLM\Software\..\Telephony: DomainName = KTL1.PRI
O17 - HKLM\System\CCS\Services\Tcpip\..\{36A0A827-5D45-43DC-B5EC-56760D29E008}: NameServer = 194.12.5.11,194.12.5.12
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = KTL1.PRI
O17 - HKLM\System\CS1\Services\Tcpip\..\{36A0A827-5D45-43DC-B5EC-56760D29E008}: NameServer = 194.12.5.11,194.12.5.12
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = KTL1.PRI
O17 - HKLM\System\CS2\Services\Tcpip\..\{36A0A827-5D45-43DC-B5EC-56760D29E008}: NameServer = 194.12.5.11,194.12.5.12
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: WB - C:\Programme\Stardock\Object Desktop\WindowBlinds\fastload.dll (file missing)
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: IBM Nodelock License Server (IBM LUM NDL) - IBM - C:\IFOR\WIN\BIN\I4LLMD.EXE
O23 - Service: Lotus Notes - Gemeinsame Anmeldung (Lotus Notes Single Logon) - Unknown owner - C:\WINDOWS\system32\nslsvice.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Lotus\ntmulti.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINDOWS\System32\Wintab32.exe

Danke im Voraus

PCDpan_fee · 08.11.2005

skydiverrg schrieb:
C:\Programme\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe

Adware.SurfAccuracy: http://www.wintotal.de/Spyware/index.php?Filter=S#Spyware5047
deinstallieren unter Systemsteuerung/Software und mit HijackThis fixen.

R3 - URLSearchHook: (no name) - _{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)

noch fixen mit HijackThis, war TV Media Spyware: http://www.wintotal.de/Spyware/index.php?Filter=T#Spyware4217

O1 - Hosts: 194.12.5.10 LUHOSML01
O1 - Hosts: 194.12.5.13 dometic.lu
O1 - Hosts: 193.23.100.92 kvs.wob.vw.vwg
O1 - Hosts: 193.23.100.92 kvspfv1.pfn.vwg
O1 - Hosts: 193.23.101.92 kvspfv2.pfn.vwg
O1 - Hosts: 143.164.6.110 kvs.ras.audi.vwg

mal deine HOSTS Datei ausmisten
http://www.wintotal.de/Tipps/Eintrag.php?TID=646

O4 - HKCU\..\Run: [WINT] C:\WINDOWS\System32\wcpsu.exe

Clickspring Spyware: http://www.wintotal.de/Spyware/index.php?Filter=W#Spyware5008
Prozess beenden und im abgesicherten Modus [F8] wcpsu.exe löschen.

O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - playqames.com/default.cab?uid=7&id=31310&ex&1s&ppd=5

wenn du die ActiveX-Objekte nicht kennst, löschen unter C:\Windows\Downloaded Program Files

hier mal deine Auswertung: http://www.hijackthis.de/logfiles/de2a777066551767041742e689785e32.html

pan_fee

fat_mike · 11.11.2005

Hallo. Ich habe das gleiche Prob. Hab HijackThis laufen lassen. Hier der log

Logfile of HijackThis v1.99.1
Scan saved at 09:15:11, on 11.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SurfAccuracy\SAcc.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\NavNT\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ikz.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://cgi.adobe.com/special/aum/aumredirect.cgi?op=0&lang=de_DE
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Ausgew?hlte Verkn¸pfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgew?hlte Verkn¸pfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verkn¸pfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verkn¸pfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra->Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - igfxsrvc.dll (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe

Hab mal nachgeschaut. Sollten zusätzlich noch

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - igfxsrvc.dll (file missing)

gefixt werden.
Wäre schön wenn es jemand auswerten könnte.

PCDpan_fee · 12.11.2005

fat_mike schrieb:
C:\Programme\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe

Adware.SurfAccuracy, siehe obriges Posting (Antwort #1)

R3 - Default URLSearchHook is missing

mit HijackThis fixen (Button fix checked)

O20 - Winlogon Notify: igfxcui - igfxsrvc.dll (file missing)

war ein Treiber: http://www.wintotal.de/Spyware/index.php?Filter=I#Spyware2255

Hab mal nachgeschaut. Sollten zusätzlich noch

R3 - Default URLSearchHook is missing

ja, fixen

O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe

siehe oben

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

ist der Microsoft Office CTF Loader (Texteingabegeräte, Spracherkennung):
http://www.wintotal.de/Spyware/index.php?Filter=C#Spyware309

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

der Windows Messenger; Extra-Buttons in der IE-Toolbar oder zusätzliche Einträge im IE-Menü Extras

O20 - Winlogon Notify: igfxcui - igfxsrvc.dll (file missing)

siehe oben

pan_fee

fat_mike · 15.11.2005

Super, thx. Problem gelöst ;D

Manni7777 · 29.11.2005

Ich habe auch alles gemacht und werde den Win Fixer jedoch nicht los.

Hier mein bereits (waren 2 Kröten drin) gesäubertes hijack-log-file:

Schaut doch bitte mal durch.........

Logfile of HijackThis v1.99.1
Scan saved at 10:51:31, on 29.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
H:\PROGRAMME H\ARBEITSTUHLS\AVPERSONAL\AVGUARD.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
H:\PROGRAMME H\ARBEITSTUHLS\Mäusetreiber\MouseWare\system\em_exec.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
H:\PROGRAMME H\ARBEITSTUHLS\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
H:\PROGRAMME H\ARBEITSTUHLS\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\ARBEIT~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe /runonce
O4 - HKLM\..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe runtime -Delay
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] H:\PROGRAMME H\ARBEITSTUHLS\AVPersonal\AVGNT.EXE /min
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O15 - Trusted IP range: http://192.168.1.1
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DDEBC48-57F5-4DAA-A80E-5235E0D529B8}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DDEBC48-57F5-4DAA-A80E-5235E0D529B8}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - H:\PROGRAMME H\ARBEITSTUHLS\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - H:\PROGRAMME H\ARBEITSTUHLS\DSL-Speeder\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--------------------------
Google meinte, das Tool XoftSpy würde mit dem Win Fixer fertig werden, stimmt leider nicht.
SpyBot meldet nichts und a2 auch nicht.

Mit dem Tool SCAN SPYWARE wird Win Fixer jedoch angezeigt.

In der Registry habe ich winfixer.com gelöscht, war ein Eintrag.

Mit JV Powertools danach suchen lassen.............kamen auch 9 Einträge, die auch gelöscht.

Nach Neustart meldet Scan Spyware den immer noch als vorhanden.

Was könnte ich bitte noch tun?

Mit freundlichen Grüßen

PCDpan_fee · 30.11.2005

Manni7777 schrieb:
Schaut doch bitte mal durch.........

nichts verdächtiges
http://www.hijackthis.de/logfiles/c5722da940d0718146f9869aa721da67.html

Nach Neustart meldet Scan Spyware den immer noch als vorhanden.

evtl. mal Cache und Mülleimer leeren.

pan_fee

Manni7777 · 30.11.2005

Hallo PCDpan_fee und danke fürs Antworten! Ich sitze hier wie auf Kohlen!

Cache leeren? Wie gehe ich denn da vor?

Müll ist leer.

Das einzige Tool, welches den orten kann, ist der Scan Spyware und der sagt, der Win Fixer liegt als Folder in C:\Programme\gemeinsame dateien
Man beachte die Schreibweise.............ich habe da Gemeinsame Dateien

Nur.....wenn ich da nachsehe (mit Versteckten) oder suchen lasse, kommt nichts.

Inzwischen habe ich mir noch SpywareDoctor reingenommen.............nichts.

Angeblich soll auch das Symantec-Teil Fix Vundo das Ding erledigen können.....nichts.

Dann noch die letzten 3 Sober-Sucher von Symantec stng259, Ikarus soberY und Symantec W32 Sober 1.7.1 durch.........nichts.

PCDpan_fee · 30.11.2005

Manni7777 schrieb:
Cache leeren? Wie gehe ich denn da vor?

C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temporary Internet Files Inhalt löschen, oder:
http://www.wintotal.de/Tipps/Eintrag.php?TID=922

Das einzige Tool, welches den orten kann, ist der Scan Spyware und der sagt, der Win Fixer liegt als Folder in C:\Programme\gemeinsame dateien
Man beachte die Schreibweise.............ich habe da Gemeinsame Dateien

kommt nichts.

............nichts.

.....nichts.

.........nichts.

evtl. nur ein Fehlalarm ???
was sagt Scan Spyware denn genau?
Welche Datei (Name, exe, dll, etc.) soll angeblich im Verzeichnis gemeinsame dateien denn liegen?

pan_fee

Manni7777 · 30.11.2005

Hallo PCDpan_fee, danke fürs weitere antworten und Engagement!

Mit dem Cache löschen hab ich`s nu gefunden. Das erledigt ja mein Tune Up Uti auch mit.

Die index.dat habe ich mit CCleaner und Neustart geleert.
Danke für den Link........herrjeh ist das kompliziert! Ist nicht mein täglich Brot!

Scan Spyware sagt das: (ich bekomme hier kein shot rein)

Spyware: Win Fixer
Category: Folder
Value: C:\Programme\gemeinsame dateien
Status: high risk

Ansonsten keine weiteren Einträge

PCDpan_fee · 30.11.2005

kenne das Tool Scan Spyware leider nicht, glaube aber fast, dass es sich um ein Fehlalarm handeln könnte, denn du sagst ja, dass kein Ordner Win Fixer darin vorhanden ist.

Alle Dateien und Ordner anzeigen (Ordneroptionen/Ansicht) ist ja bei dir aktiviert, oder? ???
Wie heißen denn die Ordner, die im gemeinsame dateien Verzeichnis liegen?

pan_fee

Manni7777 · 30.11.2005

Versteckte sind ANgeschaltet.........Ja!

Das ist drin in Gemeinsame Dateien:

Logitech=die Maus

Microsoft Shared=reichlich drin

MSSoap=Binaries

ODBC=Data Sources........und der ist leer

Raxco=Perfect Disk Defragger

Real=Playerkram

Softwin=bit defender online scan

SpeechEngines=Microsoft=Lexicon

SWF Studio=leer

System=ado und dll.s

Wise Installation Wizard= 3 versionen win-installer

xing shared=mpeg encode mit`ner dll

PCDpan_fee · 30.11.2005

hmmm ...

schau in die Registry, ob der Unterschlüssel WinSoftware vorhanden ist.
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware
und
HKEY_CURRENT_USER\Software\WinSoftware

mehr fällt mir dann auch nicht mehr ein :-X

pan_fee

Manni7777 · 01.12.2005

In beiden Fällen nichts von WinSoftware vorhanden.

Inzwischen bin ich auf das Tool Windows CleanUp! 4.0 hingewiesen worden. Dies installiert und auf Custom-Basic-und Standard säubern lassen...............immer noch da dieser Fixer!

Ein weiteres Tool was ein Versprechen abgibt: Counterspy von Fa.Sunbelt

Ich kanns jedoch nicht installieren (leider), es kommt beim Installen eine Fehlmeldung, dass bei mir Der Zugriff auf Windows Script Host deaktiviert wurde......ich solle auf den Admin warten.....der Admin bin ich!

Meint der einen Dienst?

In meinen Diensten ist kein Ding wie Script Host.

Ich habe dann deswegen auf den Microseiten nachgesehen.
Dort wird geraten, 2 genau bezeichnete Einträge aus der Registry zu löschen.
Habe nachgesehen..................beide sind bei mir nicht vorhanden.

Es ist zum k.....!

PCDpan_fee · 01.12.2005

Manni7777 schrieb:
Ich kanns jedoch nicht installieren (leider), es kommt beim Installen eine Fehlmeldung, dass bei mir Der Zugriff auf Windows Script Host deaktiviert wurde......ich solle auf den Admin warten.....der Admin bin ich!

Ich habe dann deswegen auf den Microseiten nachgesehen.
Dort wird geraten, 2 genau bezeichnete Einträge aus der Registry zu löschen.

Welche?
Hier nachgesehen?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings\Enable
Wert 0 = Windows Scripting Host deaktiviert
Wert 1 (oder nicht vorhanden) = Windows Scripting Host aktiviert

Inzwischen bin ich auf das Tool Windows CleanUp! 4.0 hingewiesen worden

Ein weiteres Tool was ein Versprechen abgibt: Counterspy

Google meinte, das Tool XoftSpy

ist der Scan Spyware und der sagt

kenne keines der Tools und halte auch nicht viel davon, wie du selbst siehst :-X

pan_fee

Manni7777 · 01.12.2005

Hallo PCDpan_fee,

vielen Dank nochmals, dass Dich mein Kummer weiterhin beschäftigt hält! :

:-*

Der Windows CleanUp! 4.0 hat bei mir gründlich geräumt, so an die 70 MB, wobei auch sämtliche back-ups der Registryputzer beinhaltet waren. Meinen ungebetenen Gast Win Fixer hat er großzügigerweise belassen.........

:'(

Dann gelang es mir doch noch, den Counterspy zu installen. Ich bekam da noch`n Wink mit Zaunpfahl, ich solle doch im XP-Antispy mal den Haken bei Script Host wegnehmen......ich Dusseltier! Natürlich! :-[ :-\

Ergebnis von Counterspy-Suche: 2 angebliche Kröten, diese hier

C:\WINDOWS\system32\ath.mgf
C:\WINDOWS\system32\sub.mgf

beide entlassen, Neustart, Scan Spyware laufen lassen.........Win Fixer begrüßte mich wieder!

***kenne keines der Tools und halte auch nicht viel davon***

Ist mir völlig klar! Du findest Dich in den Weiten der Reggy zurecht wie kein(e) andere(r).
Da ich ein Normal-Fummler bin, MUSS ich auf Tools zurückgreifen, die mir Versprechen leisten oder Hoffnungen machen, so issis nu mal. :-[

Mit freundlichen Grüßen

PCDpan_fee · 01.12.2005

Manni7777 schrieb:
C:\WINDOWS\system32\ath.mgf
C:\WINDOWS\system32\sub.mgf

gehört zu Adware Vcatch

schau mal nach, ob du diese Ordner hast:
C:\Programme\CommonSearch
C:\Programme\adp
C:\Programme\TheSearchAccelerator

sieh auch mal hier nach:
C:\Dokumente und Einstellungen\[Administrator] bzw. [USERNAME] bzw. [All Users] bzw. [Default User], etc.\Startmenü\Programme\vcatch

Kontrolliere auch mal diese Registry Autostart-Einträge nach suspekten Einträgen:
http://www.wintotal.de/Tipps/Eintrag.php?TID=233

nochwas .... lasse mal deine Tools im abgesicherten Modus [F8] laufen.

Hast du Kazaa, eMule etc. auf deinem System?
Starte sie mal alle und und führe HijackThis aus, was sagt das LogFiles jetzt?

pan_fee

Manni7777 · 01.12.2005

gehört zu Adware Vcatch

Hab danach suchen lassen...nix drauf.
-----------------------------

C:\Programme\CommonSearch
C:\Programme\adp
C:\Programme\TheSearchAccelerator

KEINER!
------------------------------

C:\Dokumente und Einstellungen\[Administrator] bzw. [USERNAME] bzw. [All Users] bzw. [Default User], etc.\Startmenü\Programme\vcatch

Nix, auch mit Versteckte nicht.
------------------------------

Kontrolliere auch mal diese Registry Autostart-Einträge nach suspekten Einträgen:
http://www.wintotal.de/Tipps/Eintrag.php?TID=233

Werde ich noch machen, ich kann kaum noch kieken! :-\
--------------------
abgesicherten Modus [F8] laufen.

Kommt als Nächstes! ???
----------------
Hast du Kazaa, eMule etc. auf deinem System?
Nix derartiges, ich schwör`s!

---------------

HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 16:01:28, on 01.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
H:\PROGRAMME H\ARBEITSTUHLS\Mäusetreiber\MouseWare\system\em_exec.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
H:\PROGRAMME H\ARBEITSTUHLS\AVPERSONAL\AVGUARD.EXE
H:\PROGRAMME H\ARBEITSTUHLS\AVPersonal\AVGNT.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
H:\PROGRAMME H\ARBEITSTUHLS\Hijack This\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\ARBEIT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\PROGRAMME H\ARBEITSTUHLS\JAVA\bin\ssv.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe /runonce
O4 - HKLM\..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe runtime -Delay
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] H:\PROGRAMME H\ARBEITSTUHLS\AVPersonal\AVGNT.EXE /min
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\PROGRAMME H\ARBEITSTUHLS\JAVA\bin\ssv.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\PROGRAMME H\ARBEITSTUHLS\JAVA\bin\ssv.dll
O15 - Trusted IP range: http://192.168.1.1
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DDEBC48-57F5-4DAA-A80E-5235E0D529B8}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DDEBC48-57F5-4DAA-A80E-5235E0D529B8}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - H:\PROGRAMME H\ARBEITSTUHLS\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - H:\PROGRAMME H\ARBEITSTUHLS\DSL-Speeder\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--------------------------

Danke!

Manni7777 · 01.12.2005

Ich habe das START-UP-CONTROL-PANEL-Tool von der http://www.wintotal.de/Tipps/Eintrag.php?TID=233 installt, mit dem Ergerbnis:

Es gibt bei dem 5 Einträge in HKLM/Run...........dieselben wie sie in msconfig unter Systemstart sind.

Die Rubriken des Tools bei:
HKCU/Run
Run Once
Startup(common)
Startup(user) sind alle leer.

PCDpan_fee · 01.12.2005

Manni7777 schrieb:
HijackThis

LogFiles ist sauber

ich weiß nicht mehr weiter :?

pan_fee :-X

Win Fixer Problem

skydiverrg

PCDpan_fee

fat_mike

PCDpan_fee

fat_mike

Manni7777

PCDpan_fee

Manni7777

PCDpan_fee

Manni7777

PCDpan_fee

Manni7777

PCDpan_fee

Manni7777

PCDpan_fee

Manni7777

PCDpan_fee

Manni7777

Manni7777

PCDpan_fee

Win Fixer Problem

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums