WinFixer 2005

PCDpan_fee · 24.11.2005

Manu12 schrieb:
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

aktuell ist 6.0.2900.2180

mach mal ein Windows-Update.

Running processes:
C:\Programme\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe

Prozess SAcc.exe beenden ([STRG + ALT + ENTF]) und dann in der Systemsteuerung/Software die Adware SurfAccuracy deinstallieren.
Sollte es Probleme geben mußt du es im abgesicherten Modus [F8] versuchen.

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

lies hier:
http://www.wintotal.de/Tipps/Eintrag.php?TID=384

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - ysbweb.com/ist/softwares/v4.0/ysb_website.cab

ysbweb = YourSiteBar Adware
miste deine ActiveX-Objekte aus unter C\Windows\Downloaded Program Files.

pan_fee

Akonoor · 30.11.2005

Bei mir fanden weder HiJackThis, Ad-Aware, Spybot, AV-Antivirus o.ä. Programme diesen Winfixer 2005.

Also hab ich mich auf die Suche gemacht und dann auch tatsächlich erlegt

Folgende Beschreibung, wie man vorgehen muss
(Achtung, hier wird die Registry geöffnet. Also bitte nur dann, wenn man sich auskennt!)

WinFixer2005 hat verschiedene EXE-Namen.
Bei mir hießen diese:

radrc32r.exe, vclslsvc.exe, dudir.exe, install_ct.exe, usbifsvc.exe

Löscht man im Weiteren eine dieser versteckten Installationen, reproduziert sich das gelöschte File wieder!

Schritt 1:

Erstmal *alles* mit den üblichen Tools beseitigen lassen.

Schritt 2:

Aus der Eingabeaufforderung (START - Ausführen) regedit.exe starten lassen.
Im Registryeditor in den Hive HKEY_USERS wechseln.
Hier findet man die SecurityID des angemeldeten Users.
Meist sowas wie S-1-5-21-606747145-1202660629-1234567890-500, das ist überall verschieden.
Diese notiert man sich (oder man C&P mittels Rechtsklick -> umbenennen. Vorsicht! NICHT umbenennen, nur kopieren mit STRG-C ^^)
Jetzt den Registryeditor wieder schließen.

Schritt 3:

Aus der Eingabeaufforderung (START - Ausführen) mit cmd.exe eine DOS-Box aufmachen.

In der DOS-Box zum Verzeichnis C:\ wechseln (Root-Dir)
Dann öffnen wir den leeren Papierkorb mit :

C:\> cd RECYCLER\S-1-5-21-606747145-1202660629-1234567890-500

Mit attrib -s -h *.* lässt sich jetzt alles sichtbar machen.

Alles, was dort sichtbar ist, sollte man jetzt löschen, AUSSER DER DESKTOP.INI !
Vorhandene Directorys (meist INIT2, CONTENT.1, CONTENT.2, etc) vor dem löschen leeren!

Am Ende darf nur noch die desktop.ini dastehen.

Schritt 4:

Ebenfalls in der DOS-Box wechseln wir jetzt ins Verzeichnis:
C:\ cd WINNT\Downloaded Program Files (bei WinNT/2000)
C:\ cd WINDOWS\Downloaded Program Files (bei WinXP)

Dort finden sich meist Programme, außer DLLs für Java und Virenscanner, die nicht hier hinzu gehören.

z.B. Media*.exe, alle (einige) der oben genannten 5 Reproduktionsprogramme, etc.

Wer nicht weiß, was er hier löschen soll und was nicht, lässt besser die Finger davon, falls er die
verseuchten Programme nicht eindeutig erkennt.
In dem Fall sucht bei Google nach einer Beschreibung der Datei (xxxxx.exe in der Googlesuche eingeben).

Auflistung der möglicherweise vorhandenen gutartigen Dateien (nicht löschen!):

Code:

 Verzeichnis von C:\WINNT\Downloaded Program Files

25.11.2005  23:55       &lt;DIR>          .
25.11.2005  23:55       &lt;DIR>          ..
24.03.2004  03:19              203.568 arclib.dll
11.11.2005  08:28              135.168 asinst.dll
14.10.2005  12:20                  525 asinst.inf
30.01.2002  08:21              143.360 avsniff.dll
30.01.2002  08:21                  626 AvSniff.inf
02.07.2003  00:00                2.432 catalog.dat
16.02.2004  04:00                   65 desktop.ini
14.10.1997  18:52                  697 DirectAnimation Java Classes.osd
25.07.2002  17:13               24.576 dwusplay.dll
25.07.2002  17:13              196.608 dwusplay.exe
28.03.2002  16:05                1.268 erma.inf
27.08.1999  03:04                1.434 i263_32.inf
13.04.2004  05:04              307.200 isusweb.dll
02.08.2005  15:48                  495 LegitCheckControl.inf
20.01.2000  15:25                1.162 Microsoft XML Parser for Java.osd
18.11.1999  12:49                  992 msaudio.inf
12.01.2000  15:07                6.854 navapi.vxd
12.01.2000  14:53              208.896 navapi32.dll
02.07.2003  00:00              120.024 naveng32.dll
02.07.2003  00:00              578.776 navex32a.dll
13.09.2002  09:56                  144 QTPlugin.inf
02.07.2003  00:00               72.944 scrauth.dat
08.12.2003  13:58                3.759 swflash.inf
02.07.2003  00:00                7.971 symaveng.cat
02.07.2003  00:00                  902 symaveng.inf
02.07.2003  00:00                  747 tcdefs.dat
02.07.2003  00:00                2.647 tcscan7.dat
02.07.2003  00:00               41.738 tcscan8.dat
02.07.2003  00:00               95.019 tcscan9.dat
02.07.2003  00:00                  453 tinf.dat
02.07.2003  00:00                  148 tinfidx.dat
02.07.2003  00:00                1.957 tinfl.dat
02.07.2003  00:00               19.680 tscan1.dat
02.07.2003  00:00                1.179 tscan1hd.dat
02.07.2003  00:00                5.382 v.grd
02.07.2003  00:00                2.225 v.sig
25.11.2005  04:46            1.604.307 vet.da1
08.06.2004  03:06            2.575.174 vet.dat
28.04.2005  09:21              745.543 vete.dll
02.07.2003  00:00              106.236 virscan.inf
02.07.2003  00:00              800.493 virscan1.dat
02.07.2003  00:00              576.475 virscan2.dat
02.07.2003  00:00              142.176 virscan3.dat
02.07.2003  00:00              311.955 virscan4.dat
02.07.2003  00:00               70.612 virscan5.dat
02.07.2003  00:00              368.326 virscan6.dat
02.07.2003  00:00              802.427 virscan7.dat
02.07.2003  00:00              813.550 virscan8.dat
02.07.2003  00:00              719.730 virscan9.dat
02.07.2003  00:00                   32 virscant.dat
04.07.2003  20:52                2.072 vscanmsx.dat
25.03.2004  10:10              180.282 webscan.dll
11.03.2004  12:41                  477 webscan.inf
30.06.2003  21:41                1.689 WMV9VCM.inf
02.07.2003  00:00                  224 zdone.dat
              55 Datei(en)     12.013.401 Bytes
               2 Verzeichnis(se),     243.023.872 Bytes frei

Schritt 5:

Jetzt *SOFORT* den Rechner rebooten und Winfixer ist tot

Ich guck ab und an mal hier ins Forum, um evtl. auftretende Fragen zu beantworten.
Solltet ihr Fragen haben, beantworte ich sie gerne.

Udo Koenig · 01.12.2005

Hallo
Alles zu kompliziert.
Ich habe es mit Ewido Securitie Suite gemacht.
Habe die Testversion am Sonntag geladen. Seit dem ist Ruhe.
Es läuft alles wieder Super.

Akonoor · 01.12.2005

ewido zeigt mir die infizierten Dateien an, aber wirklich gelöscht hat es sie nicht.
Nach 2-3 Tagen kam das Popup wieder (getestet auf einem anderen Rechner).

Die Dateien sind im Papierkorb versteckt und agieren aus diesem heraus.

Im FileMon (www.sysinternals.com) werden die infizierten Dateien im Directory
C:\%windir%\system32
angezeigt, wo sie allerdings nicht sind und was das Versagen vieler Tools und Scanner erklären könnte.

Manni7777 · 02.12.2005

Zu diesem Win Fixer-Zrätt möchte ich der Vollständigkeit halber auch meine Erfahrungen zu dem Ding kundtun. Ich mache seit 3 Tagen nischt anderes als den loszuwerden!

Ich habe hier nun alle postings durchgelesen.
Leider ist mein Win Fixer eine andere Version als Eure. Hier geht`s in erster Linie um den Wi-Fi 2005. Meiner heisst nur Win Fixer.

Meine Wi-Fi-Variante ist weder in Software, Systray noch sonstewo, sondern angeblich in gemeinsame dateien. Per Suchen nach...null Ergebnis.

Mit tatkräftiger Hilfe von PC-Pan_fee wurde alles Mögliche bei mir versucht.

Mein HiJackThis ist sauber wie`n Waschbecken. EWIDO findet den nicht, Counterspy auch nicht, SpyBot-Ad Aware usw sowieso nicht.

Das einzige Tool, welches MEINE Version Wi-Fi aufspürt, ist der Scan Spyware http://www.scanspyware.net
.....nur kostet der eben.
Dieses Tool also spürt den bei mir auf, ist jedoch NICHT in der Lage den zu vernichten, obwohl er im Tool in der Spyware-Liste aufgeführt ist, neben 96 anderen Krötensorten.
Auch im Abgesicherten war dem nicht beizukommen.

Ich bin nun in Kontakt mit den Machern und habe denen eben mein scan-log zugeschickt. Ich hoffe die basteln ein entsprechendes Update.

MfG

Manni7777 · 02.12.2005

NU HAMWAS! Cheesy Grin Cheesy

Der Mailkontakt mit den Machern hat sich in meinem Fall gelohnt!
Es wurde von denen ein scan-log verlangt.

Soeben kam ein Update für den Scan Spyware rein, danach ergab der Durchlauf NULL!

So sah mein scan-log aus:

Application Information
=======================
Application Version: ScanSpyware v3.8 build 3.8.0.4
Original Database: pests12-19-04.db
Updated Database: ssdb112905.db
Current Date: Friday, December 02, 2005 09:59:06 __________________________________________________
Directories recognized:
==================
[WinFixer]
C:\Programme\gemeinsame dateien
__________________________________________________
Files recognized:
=================
__________________________________________________
Registry keys recognized:
=========================
__________________________________________________
Registry values recognized:
===========================
__________________________________________________
Cookies recognized:
===================
__________________________________________________

MfG

PCDpan_fee · 02.12.2005

Manni7777 schrieb:
Soeben kam ein Update für den Scan Spyware rein, danach ergab der Durchlauf NULL!

So sah mein scan-log aus:

Directories recognized:
==================
[WinFixer]
C:\Programme\gemeinsame dateien

und nu? ???
ich sehe den Eintrag Winfixer immer noch ???

pan_fee

Manni7777 · 02.12.2005

Das war der Eintrag VOR dem Update des Tools! ;D

MfG
Manni7777

BindieSarah · 02.12.2005

Ich hab auch diesen scheiß Win Fixer installiert. Bis jetzt hab ich keine Probleme, aber, wie ich gelesen hab, kann auch erst nach paar std ein problem auftreten.
Ich hab über Systemsteuerung das Prog. deinstalliert und den Installer gelöscht.
Kann mir jemand helfen?

Meine Log File

Logfile of HijackThis v1.99.0
Scan saved at 22:11:47, on 02.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Lexmark 2300 Series\lxcgmon.exe
C:\Programme\Lexmark 2300 Series\ezprint.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Daten\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hyrican.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcgmon.exe] C:\Programme\Lexmark 2300 Series\lxcgmon.exe
O4 - HKLM\..\Run: [EzPrint] C:\Programme\Lexmark 2300 Series\ezprint.exe
O4 - HKLM\..\Run: [FaxCenterServer] C:\Programme\Lexmark Fax Solutions\fm3032.exe /s
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-Online DSL-Manager] C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Mopy Points Collector.lnk = C:\MOPYFISH\GETPOINT.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127313515687
O17 - HKLM\System\CCS\Services\Tcpip\..\{644889F7-4493-40E2-B6BF-64C666B1ACFC}: NameServer = 217.237.150.97 217.237.151.33
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: lxcg_device - Unknown - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: T-Online DSL-Manager - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Vielen vielen dank!!!

PCDpan_fee · 02.12.2005

BindieSarah schrieb:
Ich hab über Systemsteuerung das Prog. deinstalliert und den Installer gelöscht.

sehr gut

deine Auswertung ist sauber:
http://www.hijackthis.de/logfiles/c5722da940d0718146f9869aa721da67.html

pan_fee

Mystery2050 · 03.12.2005

Hi, wie viel ander habe ich auch das Problem ich hoffe mir kann jemand helfen!

Aber bitte nicht so kompliziert!

Hier meine Angaben:

Logfile of HijackThis v1.99.1
Scan saved at 00:42:24, on 03.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Microsoft SQL Server\MSSQL$KSR\Binn\sqlservr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Microsoft SQL Server\MSSQL$KSR\Binn\sqlagent.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\DMDKT.FRITZ\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.esearch2005.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.esearch2005.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch2005.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.esearch2005.com/sp2.php
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] C:\Programme\D-Tools\daemon.exe -lang 1033
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe runtime
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1110483667859
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BB0317A-174B-4DC2-8030-E308CC6A72EA}: NameServer = 192.168.1.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB9B8C4-0B30-4261-A515-8619F422C15A}: NameServer = 192.168.1.254
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

PCDpan_fee · 03.12.2005

BindieSarah
in deiner Log ist nichts auffälliges zu erkennen

Mystery2050

Mystery2050 schrieb:
C:\Programme\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe

solltest du über Systemsteuerung - Software entfernen können.

R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

ICQ-Toolbar, kannst du mit HijackThis fixen (Button fix checked) oder einfach so belassen.

WinFixer: einige Lösungswege:
http://www.wintotal-forum.de/index.php/topic,100715.0.html

pan_fee

Mystery2050 · 03.12.2005

Hallo danke für den Tipp!

Über Software läßt sich die exe nicht löschen! Und so auch nicht!

Ich bekomme immer wieder die aufforderung das Program zu installieren und es öfnen sich ständig neue Popups!

Also bis jetzt hat sich noch nichts verändert!

MFG

Mystery2050 · 03.12.2005

Habe die Datei umbenannt und dadurch unbrauchbar gemacht!
Reicht das wohl?

MFG

PCDpan_fee · 04.12.2005

Mystery2050 schrieb:
Habe die Datei umbenannt und dadurch unbrauchbar gemacht!
Reicht das wohl?

hmmm.... gute Frage

Ich bekomme immer wieder die aufforderung das Program zu installieren und es öfnen sich ständig neue Popups!

bekommt du noch Aufforderungen und Popups? ???

pan_fee

Mystery2050 · 04.12.2005

Ja bekomme sie immer noch! Heißt also das es wohl nicht reicht.

Was nun? Das nervt ziemlich, da immer wenn ich am cs zocken bin sich etwas öffnet und das Spiel sich minimiert.

Hier noch mal zum ansehen:

Logfile of HijackThis v1.99.1
Scan saved at 20:31:10, on 04.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Microsoft SQL Server\MSSQL$KSR\Binn\sqlservr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Microsoft SQL Server\MSSQL$KSR\Binn\sqlagent.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\DMDKT.FRITZ\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.esearch2005.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.esearch2005.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch2005.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.esearch2005.com/sp2.php
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] C:\Programme\D-Tools\daemon.exe -lang 1033
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe runtime
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1110483667859
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BB0317A-174B-4DC2-8030-E308CC6A72EA}: NameServer = 192.168.1.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB9B8C4-0B30-4261-A515-8619F422C15A}: NameServer = 192.168.1.254
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

PCDpan_fee · 04.12.2005

Mystery2050 schrieb:
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe

ist ja immer noch drauf

lösche im abgesicherten Modus [F8]
und siehe in die Registry unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run = SAcc.exe

pan_fee

CrazyGrafiX · 06.12.2005

Hatte das selbe problem. Bei mir hat Bitdefender das problem gelöst. vergiß nicht die odner in deinem Programmverzeichnis zu löschen und mach danach am besten einen sfc /scannow in der eingabeausführung um das windows dateisystem wiederherzustellen. Im anschluß wird eine chkdsk /f unter ausführen auch nicht schaden. wenn du schritt für schritt diese anweisungen befolgst sollte dein problem gelöst sein.

WinFixer: BAD APPLICATION !!!!!!!!!!!!

Dole · 09.12.2005

Hi!

Habe immer noch ein Problem mit dem Winfixer vielleicht kennt ja jemand ne Lösung.

In der Registry habe ich das hier im abgesicherten Modus löschen können.

HKEY_CURRENT_USER
-Software
-Microsoft
-Search Assistent
-ACMRU
-5603
AB 000
dort hat er zwischen winfixer und sacc immer gewechselt

Dieses habe ich nicht lösen können immer wenn er online geht ist es da.

HKEY_LOCAL_MACHINE
-System
-Controlset001
-Services
-Tcpip
-Parameters
-Interfaces
-BDEOF5EB-966F-449E-98B23BDA350210D4
Name Server 212.59.54.180 212.59.54.188
im abgesicherten Modus ist dort kein Server eingetragen erst wenn ich den Internet Explorer benutze erscheint dieser Eintrag wieder wenn er vorher gelöscht worden war

marizus · 09.12.2005

huhu erstmal,

also ich habe ein problem gehabt oder habe es noch!!! zu erst ging garnix mehr,hatte dann alles vom rechner bis auf die popups andauernt und da öffnet sich audh das angespochene fenster von wegen winfixer habe aber nix zugestimmt und nix gerrunter geladen nu is auch auf de rechner nix von winfixer zu finden und totzdem geht abundzu weiten auf und unteranderem auch die seite wo zum kauf dieses programms geworben wird.

ich weiss nu net mehr weiter sitzte hier schon 5 stunden rum und finde die lösung net wäre um jede hilfe dankbar

Logfile of HijackThis v1.99.1
Scan saved at 15:56:58, on 09.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\pnpsp2fix.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
F2 - REG:system.ini: UserInit=Userinit.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135442572375
O20 - Winlogon Notify: pmkhf - pmkhf.dll (file missing)
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\mvjol9131.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Unknown owner - C:\WINDOWS\system32\pnpsp2fix.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

WinFixer 2005

PCDpan_fee

Akonoor

Udo Koenig

Akonoor

Manni7777

Manni7777

PCDpan_fee

Manni7777

BindieSarah

PCDpan_fee

Mystery2050

PCDpan_fee

Mystery2050

Mystery2050

PCDpan_fee

Mystery2050

PCDpan_fee

CrazyGrafiX

Dole

marizus

WinFixer 2005

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums