Winfixer 2005, PSGuard, Winhound, WorldAntiSpy,Spyware Soft Stop, SpyAxe

#1

Zitat

Winfixer ist bei mir erst erschienen, nachdem ich eine virenverseuchte Internetseite aufgerufen hatte. Mein Virenscanner (AVG) hatte das auch gleich erkannt , nur scheint es, dass dabei ein Virus noch zu neu war.
Mir scheint, dass Winfixer mit einem Virus/Wurm/Trojaner eingeschleust wird und nicht jeder Virenscanner kannn das erkennen.
Ich habe mir den Winfixer 2005 heruntergeladen und auch bezahlt.
Danach fielen nach und nach mehrere Funktionen auf meinem Laptop aus.
Als das Betribssystem nicht mehr funktionierte mußte ich einen Fachmann kommen lassen, der ca. 2 Std. brauchte, bis alles wieder in Ordnung war.
Ein teurer Spass - nur wie kann ich mein Geld bei Winfixer
zurückbekommen?

http://board.protecus.de/t20326.htm
http://virus-protect.org/artikel/spyware/winfix.html

Frage:
ist es moeglich, dass diese Betrueger nun ueber die ihnen bekannten Kontodaten...das Konto der naiven Userin abraeumen ?
__________
MfG Sabina

rund um die PC-Sicherheit

#2 Jein. Zwar kann jeder heutzutage behaupten, er habe eine Einzugsermächtigung, aber aus dem Ausland ist es wohl derzeit noch etwas schwieriger. Wenn allerdings die Kontodaten in Verbindung mit PIN und TAN rausgerückt worden sind, dann sind wir beim Phishing-Problem (und das bedeutet, unverzüglich TAN-Liste sperren und PIN ändern).

Ich würde jedenfalls Vorsorge treffen und Abbuchungen aus dem Ausland unterbinden sowie regelmäßig den Kontostand checken und ggf. Rückbuchungen vornehmen. Obwohl ich nicht glaube, dass die von Winfixer so dreist sind.

btw. mir geht es wieder besser, werde also bald wieder hier richtig mitmischen
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Hallo @Managor

Ich hoffe, dir gehts nicht so, wie auf deinem Bildchen
Alles Gute ..komm bald wieder.
__________
MfG Sabina

rund um die PC-Sicherheit

#4

Zitat

Obwohl ich nicht glaube, dass die von Winfixer so dreist sind.

Sich für diese "Software" sich Geld bezahlen zu lassen ist schon dreist genug. Und man kann auch nicht ausschließen, dass ein Lastschriftauftrag einfach von Deutschland aus erfolgt und möglicherweise nicht extra überprüft wird. Ist bei Banken durchaus Praxis. Deswegen aufmerksam beobachten.

Geld zurück bekommen? Einfach anschreiben und es versuchen. Beschreibe den Schaden und warte ab, ob die sich melden.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 das sind ganz dreiste Betrueger, die am laufenden Band neue "Tools " erstellen...es geht anscheindend alles aufs Konto der gleichen...
Arnold und ich sind schon lange mit ihnen beschaeftigt.wir haben sogar Kontakte usw,

Winfixer2005
http://virus-protect.org/artikel/spyware/winfix.html

WorldAntiSpy
http://virus-protect.org/artikel/spyware/worldantispy.html

SpyAxe
http://virus-protect.org/artikel/spyware/spyaxe.html

SpySheriff
http://virus-protect.org/artikel/spyware/spysheriff.html

WindowsSecurityCenter
http://virus-protect.org/artikel/spyware/securitycenter2.html

C:\secure32.html - Spyware Infection
http://virus-protect.org/artikel/spyware/secure_32.html

regfreeze - CashDeluxe
http://virus-protect.org/artikel/spyware/regfreeze.html

Spyware.PSGuard + wininet.dll
http://virus-protect.org/artikel/spyware/psguard.html

WareOut
http://virus-protect.org/artikel/spyware/wareout.html

usw.usw....du siehst, man ist voll beschaeftigt in diesem Bereich und von "Geld zurueck" kann keine Rede sein.....

das funktioniert dann ueber:

* Pornoseiten
* Kreditangebote von Banken, die es nicht gibt, wo man aber seine PIn eingibt --> weiter geleitet auf eine webseite new.egg.com

* bezahlen der Tools (gleiches)
* umleiten auf andere Seiten
* zerstoeren vom PC --> formatieren

Zitat

Registrant:
PR InterMedia Corp.
Kropotkinskaya str., 7-140
Moscow, MO 120235
RU
+7.0952347952

Domain Name: PR-CORP.COM

Administrative Contact:
Burnas, Yanis Whois Privacy and Spam Prevention by Whois Source
Kropotkinskaya str., 7-140
Moscow, MO 120235
RU
+7.0952347952

Technical Contact:
Burnas, Yanis Whois Privacy and Spam Prevention by Whois Source
Kropotkinskaya str., 7-140
Moscow, MO 120235
RU
+7.0952347952

Zitat

gibt man ueber die Konsole "tracert" ein: 205.177.122.27 oder arbeitet mit anderen Tracert-Tools

Zitat

gibt man ueber die Konsole "tracert" ein: 205.177.122.27 oder arbeitet mit anderen Tracert-Tools
Dort ist die Seite anscheinend gehostet

http://advancedhosters.com/index.html

Server : ns-cache0.oleane.net
Address : 194.2.0.20
205.177.122.27
205.177.122.27 nameserver = ns2.advancedhosters.com
205.177.122.27 nameserver = ns1.advancedhosters.com
ns2.advancedhosters.com internet address = 69.31.128.2
ns1.advancedhosters.com internet address = 209.8.161.88

Inhaber vom Server:
Name: George
e-mail: sales@AdvancedHosters.com
ICQ: 104327042
330078914
AIM: AH | Bullet
Name: Alex
e-mail: sales@AdvancedHosters.com
ICQ: 289168068

__________
MfG Sabina

rund um die PC-Sicherheit

#6

Zitat

Sabina postete
Ich hoffe, dir gehts nicht so, wie auf deinem Bildchen

Du wirst es nicht glauben, ich sehe so ähnlich aus wie auf dem Avatar
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7

Zitat

Hallo Sabina,
vielen Dank für den Hinweis, das Konto sperren zu lassen.
Ich habe bei der Bank auch eine Rückbuchung verlangt und mich bei Winfixer beschwert.
In einem Antwortschreiben haben sie sich entschuldigt und die Rückzahlung angeboten. Ob´s wahr ist, weiß ich allerdings nicht.
Viele Grüße
Rebekka
http://board.protecus.de/t20326.htm

__________
MfG Sabina

rund um die PC-Sicherheit

#8 die legen sich staendig neue Domains zu und bauen Stueck fuer Stueck die Malware aus...die sie als Antispyware-Tools anpreisen.
Wenn man nach ihrem neusten Werk...dem Winhound sucht, findet man bei Yahoo gleich auf der ersten Seite bei den Suchergebnissen folgendes:

WorldAntiSpy



Info:
http://virus-protect.org/artikel/spyware/worldantispy.html
http://board.protecus.de/t19364-2.htm#199672

Zitat

I'm sorry, but could you please write in English?
If you have any questions regarding pr-corp com and our API.dll pages - I'm here to answer it.

Zitat

Hello,

We are responsible for securityAPI dll?xC02

It's not a spyware of any kind. It's not even a software at all. You or someone used your computer HAVE AGREED to set this page as your home page, so it's fully legal. You or someone using your computer have visited some porn site and clicked on something like "OK, I want to set this page as my home page to prove I'm 18+ and what to see free porn" - this is the way this page set up as your browser's home page.

Zitat

You can change your browser's home page at any time to any page you would like.

But all other issues in this thread is out of our control, they just happen in the same time.

Regularly visit http://windowsupdate.microsoft.com/ if you don't want to have problems with something they suddenly appeared on your PC, it's the first way. The second way is "use another product" - FireFox for example.

-------------------------------------------------------------------------

WinHound
http://virus-protect.org/artikel/spyware/winhound.html
http://www.virus-protect.org/artikel/spyware/trojanagent2.html




PSGuard
http://virus-protect.org/artikel/spyware/psguard.html




Suchbegriff: teslaplus.com

Adresse: whois.criticalinternet.com
Suchergebnis:
Registration Service Provided By: ESTDOMAINS
Contact: +372.55647646
Website: http://www.estdomains.com

Domain Name: TESLAPLUS.COM

Registrant:
Individual
Iola Tuvlier (iolatuv@yahoo.com)
Calle Quito con M.Eric <---- alte Bekannte
Otavalo
,000
EC
Tel. +159.36292071

Creation Date: 08-Aug-2005
Expiration Date: 08-Aug-2006

Domain servers in listed order:
ns1.teslaplus.com
ns2.teslaplus.com

Administrative Contact:
Individual
Iola Tuvlier (iolatuv@yahoo.com)
Calle Quito con M.Eric
Otavalo
,000
EC
Tel. +159.36292071

Technical Contact:
Individual
Iola Tuvlier (iolatuv@yahoo.com)
Calle Quito con M.Eric
Otavalo
,000
EC
Tel. +159.36292071

Billing Contact:
Individual
Iola Tuvlier (iolatuv@yahoo.com)
Calle Quito con M.Eric
Otavalo
,000
EC
Tel. +159.36292071

wir duerfen uns also noch auf 7 weitere gefasst machen.................
__________
MfG Sabina

rund um die PC-Sicherheit

#9 es geht rund.....ich will nicht wissen, wie viele Leute bezahlen, um ihre Ruhe zu haben ......
Das nennt man auch Erpressung. Oder du zahlst, oder hast die Hoelle auf deinem PC....

Zitat

Hallo Sabina,
mein Kreditkartenistitut hat mir den Betrag inc. Auslandsspesen wieder gutgeschrieben, eine freiwillige Zahlung wird demnach nicht mehr erfolgen.
Und nur zur info wurde das Geld aus Singapore und nicht aus Russland eingezogen.
Spams bekomme ich auch nicht, nur dauernd die Pop ups, die zum downloden auffordern.
LG Rebekka
http://board.protecus.de/t20326-3.htm

__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hallo, ich bin neue hier
Wollte euch was fragen, ich hab mein Computer mit dem Scan Spyware scaniert(weiss nicht wie schreibt man das) und dann auch mit meinem Antivirus Norton, habe alles gelöscht was ich nicht bauche, mein Computer soll eigentlich sauber sein, aber der ist sooo langsam, weiss nich was mit ihm los ist. Kann vileicht jemand helfen und sagen was ich tun soll damit er wieder wie früher schneller wird.

Danke

#11 wieder was neues:
http://board.protecus.de/t20414-lastpage.htm
..........................
Trojan.Favadd - Trojan.Howiper - idemlog.exe
http://virus-protect.org/artikel/spyware/idemlog.html

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\plvtx.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\plvtx.dll
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{14A54512-4E5A-4985-B74B-CFAC931830E2}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{586A287B-562A-4D83-8EF9-5BEC869D40AC}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{14A54512-4E5A-4985-B74B-CFAC931830E2}: NameServer = 85.255.114.20,85.255.112.82

Zitat

I got infected with something called UnSpyPc, which pretends to be an anti-spyware program. I knocked out most of it with adaware, but there is one piece left.

Every time my computer starts, it puts a right navbar/skyscraper type of thing with categories: Gambling, Dating, Pharmacy, XXX, Spyware, and Insurance.

__________
MfG Sabina

rund um die PC-Sicherheit

#12 Hallo,
auch ich werde von winfixer belästigt.
Könntest du mir bitte auch helfen.

#13 Hallo@xylophon

Eroeffne bitte einen neuen Thread, unter:
http://board.protecus.de/f7.htm
also nicht hier posten.

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#14

Zitat

Sabina postete
es geht rund.....ich will nicht wissen, wie viele Leute bezahlen, um ihre Ruhe zu haben ......
Das nennt man auch Erpressung. Oder du zahlst, oder hast die Hoelle auf deinem PC....

Zitat

Hallo Sabina,
mein Kreditkartenistitut hat mir den Betrag inc. Auslandsspesen wieder gutgeschrieben, eine freiwillige Zahlung wird demnach nicht mehr erfolgen.
Und nur zur info wurde das Geld aus Singapore und nicht aus Russland eingezogen.
Spams bekomme ich auch nicht, nur dauernd die Pop ups, die zum downloden auffordern.
LG Rebekka
http://board.protecus.de/t20326-lastpage.htm

Hi There!

Das das Geld ueber mehrere Laender laeuft ist common practice. Die Verbrecher versuchen so die Spuren zu vernichten. Es werden immer wieder Zeitungsannouncen geschlatet, in denen angepriesen wird nur durch das Ueberweisen von Geld eine hohe Summe fuer sich selber behalten zu duerfen. Sei es via einer normalen Bank oder Western Union. Auch so wird das so ergatterte Geld gewaschen und ueber mehrere Mittelsmaenner in die Haende der Gauner gespielt. Das Fiese daran ist, das wenn man Geld ueberweist, man Mitschuld traegt und sich Strafbar macht ohne es vll zu wissen.

Oh, BTW, Biene wenn ich wieder Zeit habe ( naechste Woche, dann versuchen wir das mit unseren kleinen Freunden noch mal )

LG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)

#15 SpyAxe

Zitat

C:\WINDOWS\system32\netwrap.dll
scheint eine neue Variante vom SpyAxe zu sein
(Kaspersky meint: Kaspersky Anti-Virus Found not-virus:Hoax.Win32.Renos.am

was Kaspersky dazu meint....

Zitat

http://www.trojaner-board.de/showpost.php?p=187791&postcount=12
Für Interessierte das wörtliche Statement von Kaspersky Lab:

SpyAxe ist jedoch kein Virus, sondern ein Anti-Spyware-Tool, das offiziell zur Verfügung steht bzw. verkauft wird: http://spyaxe.net.
Daher dürfen die Antiviren-Hersteller diesen aus juristischen Gründen nicht als Virus bezeichnen. Bei allen Fragen nach Deinstallation von SpyAxe von dem Rechner muss man aus verständlichen Gründen direkt an den Hersteller wenden: http://spyaxe.net/support.php. Wir dürfen da keine Abhilfe leisten.

Übrigens: das 2-Spyware.com-Forschungszentrum (http://www.2-spyware.com) traf eine Entscheidung, SpyAxe der Kategorie korrupter Anti-Spyware zuzurechnen. Das Programm wurde bisher als zuverlässiges Anti-Spyware-Programm klassifiziert, aber leider begann der Hersteller aggressive Werbemethoden zu verwenden, um SpyAxe zu fördern. Wir erhielten zahlreiche Berichte und Beschwerden von Kunden, die meldeten, dass ihre Computer mit einem trojanischen Programm befallen sind. Der Rechner zeigte die Falschmeldung "Your computer is infected! Dangerous malware infection was detected on your PC..."; ein Mausklick darauf führte zur offiziellen Webseite von SpyAxe. Obwohl wir nicht wissen, wer für diese Probleme wirklich verantwortlich ist (der Hersteller des Programms bestreitet alle Anklagen), raten wir vom Kauf von SpyAxe ab, bis die Situation geklärt ist.
Wir können Ihnen auch folgende Informationen anbieten: http://www.2-spyware.com/review-spyaxe.html.

-----------------------------------------------------------------------

Zitat

Zitat:
der registrar ist Americaner aber die domain ist woanders gestellt. somit faellt es nicht unter amerikanisches Recht und man kan ihm nicht den Garaus machen, wie kuerzlich einem anderen rogue antispyware program

Suchbegriff: spywarestrike.com
Adresse: whois.criticalinternet.com

Suchergebnis:
Registration Service Provided By: ESTDOMAINS
Contact: +372.55647646
Website: http://www.estdomains.com

Domain Name: SPYWARESTRIKE.COM

Registrant:
Keramitsu LLC
David Alan Taylor (tailor.david@gmail.com)
321th Melburn Street
Seattle
Washington,98107
US
Tel. +207.9545521

Creation Date: 20-Dec-2005
Expiration Date: 20-Dec-2006

Domain servers in listed order:

ns1.almanah.biz
ns2.almanah.biz
ns3.almanah.biz
ns4.almanah.biz
ns5.almanah.biz
ns6.almanah.biz

Administrative Contact:
Keramitsu LLC
David Alan Taylor (tailor.david@gmail.com)
321th Melburn Street
Seattle
Washington,98107
US
Tel. +207.9545521

Technical Contact:
Keramitsu LLC
David Alan Taylor (tailor.david@gmail.com)
321th Melburn Street
Seattle Washington,98107
US
Tel. +207.9545521

Billing Contact:
Keramitsu LLC
David Alan Taylor (tailor.david@gmail.com)
321th Melburn Street
Seattle
Washington,98107
US
Tel. +207.9545521
__________
MfG Sabina

rund um die PC-Sicherheit