Winfixer

Dieses Thema Winfixer im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Nick85, 28. Jan. 2006.

Thema: Winfixer Hey habe seit längerem Probleme mit Winfixer. Symantec Security Check zeigt an, dass drei Dateien infiziert sind....

  1. Hey habe seit längerem Probleme mit Winfixer. Symantec Security Check zeigt an, dass drei Dateien infiziert sind.

    C:\WINNT\Downloaded Program Files\UWA6P_0001_N56M1011NetInstaller.exe ist infiziert mit WinFixer
    C:\WINNT\Downloaded Program Files\UWFX5U_0001_N57M1412NetInstaller.exe ist infiziert mit WinFixer
    C:\WINNT\Downloaded Program Files\CONFLICT.1\UWFX5U_0001_N57M1412NetInstaller.exe ist infiziert mit WinFixer


    Leider gibt es diese Dateien nicht auf meinem PC, also zumindest nicht in dieser Form. Auch nicht, wenn ich sämtliche Dateien anzeigen lasse.

    Deshalb hier mal mein Logfile. Vielleicht findet ihr ja was oder habt einen anderen Lösungsweg. Schon mal danke im Voraus.

    Logfile of HijackThis v1.99.1
    Scan saved at 14:33:43, on 28.01.2006
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\Programme\Sygate\SPF\smc.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    e:\Programme\AVPersonal\AVGUARD.EXE
    e:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINNT\System32\svchost.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    E:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
    E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\WINNT\WinsysRsr.exe
    E:\Programme\AVPersonal\AVGNT.EXE
    C:\WINNT\system32\internat.exe
    C:\Programme\Yahoo!\Messenger\ypager.exe
    C:\Programme\Shareaza\Shareaza.exe
    C:\Programme\ArcorOnline\Arcor.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\WINNT\winhlp32.exe
    C:\Dokumente und Einstellungen\Rainer Hartmann\Lokale Einstellungen\Temp\HijackThis.exe
    C:\WINNT\system32\NOTEPAD.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bvb.de/?Z%1B%E7%F4%9D
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: ATLDistrib Object - {2353FCBC-012D-487B-8BF3-865C0929FBEB} - C:\WINNT\System32\tusqo.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
    O4 - HKLM\..\Run: [Adobe Photo Downloader] E:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
    O4 - HKLM\..\Run: [RemoteControl] e:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [WinsysRsr] C:\WINNT\WinsysRsr.exe
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [NI.UWFX5U_0001_N57M1412] C:\Dokumente und Einstellungen\Rainer Hartmann\Desktop\UWFX5U_0001_N57M1412NetInstaller.exe -nag
    O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [Shareaza] C:\Programme\Shareaza\Shareaza.exe -tray
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Global Startup: AntiVir.lnk = E:\Programme\AVPersonal\AVWIN.EXE
    O4 - Global Startup: Arcor Online Software starten.lnk = C:\Programme\ArcorOnline\Arcor.exe
    O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
    O9 - Extra->Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136597274438
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D62D2E64-6FFB-40AE-8CFE-0ED6B9BD4820}: NameServer = 195.50.140.250 195.50.140.114
    O20 - Winlogon Notify: tusqo - C:\WINNT\System32\tusqo.dll
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - e:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - e:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
    O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe (file missing)
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


    verschoben von Windows NT/2000
     
  2. hp
    hp
  3. hi Hugo danke für den Tipp und was rätst du mir also? beide dateien im abgeicherten modus löschen? Hast du vielleicht auch noch nen tipp für ein kostenloses Antivirusprogramm? Hab zur zeit antivir drauf und das erkennt diesen virus nicht.
     
  4. hp
    hp
    auf jedenfall die dateien vom system löschen, dann mit hijackthis die registryeinträge fixen. das ganze im abgesicherten modus natürlich machen, spybot und adaware, stinger usw. laufen lassen und alles bereinigen, was diese eo anzeigen, die programme sollten natürlich auch auf dem neuesten stand sein, antivir natürlich auch, die kennen einen teil dieser trojaner inwischen auch, nur halt unter anderem namen. hier http://www.wintotal.de/Software/index.php?rb=31 findest du auch noch andere programme die nach schädlingen scannen können, online scanner findest du hier www.antivirus-online.de ...

    greetz

    hugo
     
  5. Hey Hugo habe ja jetzt die Programme installiert die du mir empfohlen hast. die Viren sind aber immer noch drauf. Selbst im Abgesicherten modus kann ich dieses tusco.dll nicht löschen. Hast du noch einen Rat?
     
  6. hp
    hp
    der prozess ist sicherlich aktiv, also mußt du ihn killen und dann aus dem verzeichnis c:\windows\system32\dllcache und c:\windows\system32 löschen ... und das hijackthislog kannst du hier www.hijackthis.de auswerten, der zeigt dir dann an, welche prozesse schädlich sind. auch die systemwiederherstellung (bei xp) mal abschalten, dann sind die bösewichte aus diesen dateien auch weg.

    greetz

    hugo
     
  7. ich schon wieder.

    Tusco.dll lässt sich weder fixen noch löschen es taucht einfach immer wieder auf. Genauso wie shost.exe. Habe das mal ausgewertet. Ersten ist böse zweites unnötig. Beides kann ich aber nicht löschen. Mach ich was falsch?
     
  8. hp
    hp
    hast du mal nach den dateien gesucht? sind die auch wirklich auf dem rechner zu finden? wenn ja, mußt du diese vor dem starten von windows löschen. das kann man über die wiederherstellungskonsole machen oder aber mit hijackthis. in hijackthis wählst du den butten open the misc tools section dann wählst du deb button delete a file on reboot ... aus und suchst dir via explorer fenster das zu löschende file aus. dann kommt ein hinweis popup das du mit ja beantworten mußt und anschließend wird die kiste rebootet und die datei gelöscht. das machst du so oft wie nötig, bis halt im hijackthislog nichts mehr bösses auftaucht. sollte trotzdem die dinger immer wieder erscheinen, ist die quelle allen übels nicht gefunden, dann versteckt sich der virus in einer datei, die nicht angezeigt wird. da muß mann dann wie ein detektiv auf spurensuche gehn ...

    greetz

    hugo
     
  9. Das Problem ist ja, dass HijackThis es nicht mal vor dem Windowsstart schafft tusqo.dll zu löschen. Laut Anti-spy.info ist das ein Programm, das meinen Browser überwacht. Wenn ich in der Registrierung versuche es zu löschen ist es gleich wieder da. Bis jetzt habe ich noch ncihts gefunden, das das beseitigt.
     
  10. Hallo,
    habe heute ein Spy Programm von Der neuen PC- Welt installiert,
    und im Protokoll erschien ein Win Fixer welcher angeblich gelöscht werden kann .also gesagt und getan. er erscheint jetzt nach einem neuen Scan nicht mehr.
    Vielleicht gibt es dieses Programm ja auch irgendwo im Internet.
    Der Name ist SpyCatcher.
     
Die Seite wird geladen...

Winfixer - Ähnliche Themen

Forum Datum
Re: WinFixer 2005 Windows XP Forum 11. Dez. 2005
WinFixer/SpySheriff Viren, Trojaner, Spyware etc. 3. Juni 2006
Winfixer Problrm Windows XP Forum 1. Mai 2006
WINFIXER PROBLEM, EINFACHE LÖSUNG! Windows XP Forum 1. März 2006
winfixer Windows XP Forum 3. Feb. 2006