WinFixer2005 / Winfix-Meldung

#1 hi ich habe ein Problem wenn ich im internet bin dann öffnet sich imemr ein fenster von winfixer 2005 und dann kommt da so ne meldung.
wie kann ich das denn ausschalten.

Und wenn ich was bei Google eingebe kommt da fast immer die msn suche

#2 Hallo@GBG

HijackThis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Entschuldigt, wenn ich mich da schnell einmische, aber koenntest du zusaetzlich, bevor du etwas loescht, einmal mit eScan deinn Rechner pruefen un das posten, was als infiziert gemeldet wird?
__________
MfG Ralf
SEO-Spam Hunter

#4 Hallo@raman

das ist ein neuer Hijacker, ich wollte erst mal mit dem HijackThis beginnen, um zu sehen, ob der user ueberhaupt reagiert und dann das ganze Programm abspulen...gerade weil es ein neuer Hijacker ist und ich noch im Dunkeln "tappe"
wie es ausschaut, reagiert der User aber nicht--> schade, ich haette die Geschichte gern analysiert
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Das sollte eine Vundo-Variante sein

http://forums.net-integration.net/index.php?showtopic=31626&st=0&
http://castlecops.com/p576660-Winfixer_pop_out_saying_my_system_contains_error.html#576660

Nicht das ihr mit den Downloader vorher noch killt, der installer waere durchaus wichtig!
__________
MfG Ralf
SEO-Spam Hunter

#6 genau...ich brauche einen User, der meine "tollen Tools" abarbeitet
Danke, Raman fuer die Tipps
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Wenn mir jemand sagt, wo ich mich damit infizieren kann... ich mach das gerne mal zu Testzwecken (mit meiner Testumgebung in der Quasi-Sandbox)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#8 Wenn man sich vertippt mit www.symantic.com anstatt Symantec wird man umgeleitet nach Winfixer.com

Dabei wird versucht "WFI.cab" zu installieren
__________
MfG Argus

#9 Hallo@blueslayah

ran ans Werk und vielleicht hilft das was ...wir saeubern dann damit den PC..o.k. ?
http://virus-protect.org/Artikel/spyware/winfix.html
ich weiss noch nicht genau, wie das funktioniert, aber wir koennen es ja mal versuchen.
es gibt schon einige Infektionen (in anderen Foren gesehen) , es scheint aber erst der Beginn zu sein.

also: Beginn: das log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Ok, es wird gefragt, ob man der zu installierenden Software vertrauen möchte. Ich habe es bejaht.

Winfixer 2005 wird heruntergeladen, installiert, macht einen Systemscan und findet auf meinem definitiv sauberen System "1039 Severe System Threads". Als DAU klicke ich natürlich auf "Repair", womit das Spektakel seinen Lauf nehmen sollte.

Danach erschein folgendes Bild:

Ich klicke auf "fix selected" -> passiert nix, ich werde nur zum Kauf des Programms aufgefordert. Ich schließe die sich öffnende Internetseite und sehe plötzlich ein PopUp, welches mir erzählt, dass ich 1039 Probleme hätte. Ich klicke hier auf ok:



Hierauf öffnet sich ein payment-Fenster, was ich schließe, da ich ja eh nix kaufen möchte. Ich schließe den Internet Explorer ganz und starte den PC neu.

PC neugestartet, kommt wiederum folgendes Fenster:



Ich klicke auf "Remind me later", schließe das Programm.

Hier nun ein HJT-Log von diesem Zustand aus:

Logfile of HijackThis v1.99.1
Scan saved at 23:04:11, on 06.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\VMADD\VMUSrvc.exe
C:\Programme\WinFixer 2005\wfx5.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\VMADD\VMSRVC.EXE
C:\WINDOWS\System32\VPCMap.exe
C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe
O4 - HKLM\..\Run: [WinFixer 2005] C:\Programme\WinFixer 2005\wfx5.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

Da ich das Programm los werden möchte, entschließe ich mich als DAU, das Programm zu löschen. Uninstall-Routine wird mitgeliefert. Ich werde aufgefordert, Windows neu zu starten.

Neu gestartet: Das Ding ist offensichtlich weg.

Logfile of HijackThis v1.99.1
Scan saved at 23:07:16, on 06.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\VMADD\VMUSrvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\VMADD\VMSRVC.EXE
C:\WINDOWS\System32\VPCMap.exe
C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

Abgesehen von einem Überrest in der Registrierung ist nichts mehr vorhanden.

Ok, dann müssen wir ein anderes Szenario ausdenken. Was schlagt ihr vor? Ich gehe jetzt erstmal inne Disco. Morgen können wir dann weitermachen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#11 http://www.google.de/search?hl=de&q=%22WinSoftware+Ltd%22&btnG=Google-Suche&meta=
WinAntivirus 2005 http://www.spywarewarrior.com/rogue_anti-spyware.htm
__________
MfG Argus

#12 Lukas war so freundlich und hat meinen Nickname auf meinen offiziellen Nickname "Managor" geändert

Ok, also nächster Versuch. WinAntiVirus 2005 installiert.
Registrierung erforderlich:
Die wollen allerhand (teilweise persönliche) Info haben. Ok




Nach ner Weile Nichtstun (ich war gerade dabei, ne SMS an das Mädel zu schreiben, welches ich gestern inner Disco kennengelernt habe) erschien plötzlich ein PopUp:



Ich habs geschlossen und mich entschlossen, nen kompletten Systemscan mit dem Programm zu machen. Leider ist das Programm dabei abgestürzt... also mache ich nen Neustart.

Erstmal zwischendurch ein HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:40:04, on 07.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\VMADD\VMUSrvc.exe
C:\Programme\WinAntiVirus 2005 Pro Trial\AVTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\VMADD\VMSRVC.EXE
C:\WINDOWS\System32\VPCMap.exe
C:\Programme\WinAntiVirus 2005 Pro Trial\AVSvc.exe
C:\Programme\WinAntiVirus 2005 Pro Trial\AVSchSvc.exe
C:\Programme\WinAntiVirus 2005 Pro Trial\pgeng.exe
C:\Programme\WinAntiVirus 2005 Pro Trial\Quar.exe
C:\Programme\Gemeinsame Dateien\WinSoftware\VapFM.exe
C:\Programme\WinAntiVirus 2005 Pro Trial\cs_srv.exe
C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe

O2 - BHO: CIEIntegrator Object - {2178F3FB-2560-458f-BDEE-631E2FE0DFE4} - C:\Programme\WinAntiVirus 2005 Pro Trial\winpgi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe
O4 - HKLM\..\Run: [AVTray] "C:\Programme\WinAntiVirus 2005 Pro Trial\AVTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus 2005 pro trial\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus 2005 pro trial\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus 2005 pro trial\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus 2005 pro trial\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus 2005 pro trial\mailscan.dll
O10 - Unknown file in Winsock LSP: c:\programme\winantivirus 2005 pro trial\mailscan.dll
O23 - Service: AVScheduler - Unknown owner - C:\Programme\WinAntiVirus 2005 Pro Trial\AVSchSvc.exe
O23 - Service: WinAntivirus - Unknown owner - C:\Programme\WinAntiVirus 2005 Pro Trial\AVSvc.exe

Wobei ich auch hier sagen muss, dass mir da noch nichts wirklich böses aufgefallen ist. Vermutlich ist es sogar gar nicht die Original-Software von denen, sondern nur ein Nachbau, der das System beeinträchtigt. Ich recherchiere mal weiter... jetzt bin ich erstmal wieder weg (mein Date wartet )
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#13 also, ich sehe auch nicht, dass dies hier was besonderes ist...einfach nur die uebliche PopUps, wie es auch beim ErrorGuard geschieht, wenn man bestimmte Seiten ansurft.

dennoch kann man es ja mal versuchen:

Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor. Oder unter Start/Programme/Zubehör/Editor

2. kopiere den Code rein:


echo ** This batch was originally written by OSC **
cd C:\WINDOWS\inf\
if exist C:\contents.txt del C:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the hidden files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:h >> c:\contents.txt echo ************************************>> C:\contents.txt
echo **These are the system files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:s >> C:\contents.txt
attrib /d /s -s -r -h -a
start notepad c:\contents.txt
exit


3. Speichere die Datei als findtheother.bat auf dem Desktop

4. Doppel klick auf diese Datei findtheother.bat -->inhalt posten, bitte
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Nix zu machen:
************************************
**These are the hidden files found**
************************************
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C8D-79B8

Verzeichnis von C:\WINDOWS\inf


Verzeichnis von C:\WINDOWS\inf

06.08.2005 03:58 <DIR> .
06.08.2005 03:58 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 15.529.553.920 Bytes frei
**These are the system files found**
************************************
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C8D-79B8

Verzeichnis von C:\WINDOWS\inf

Ich deinstalliere das Ding irgendwann wieder. Statt Viren zu finden stürzt das Programm eh nur ab. Gestern hatte er zwar ein paar Viren entdeckt, aber ich bin mir sicher, dass das False Positives waren. Vor allem hat er heute keine mehr gefunden (bis zum Zeitpunkt des Programmabsturzes).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#15 ich hab was auf einem anderen PC gefunden:

C:\DOCUME~1\t40p\LOCALS~1\Temp

04.08.2005 08:36 793 pcf9.tmp
04.08.2005 08:32 2.234.435 WinFixer2005ScannerSetup.exe
__________
MfG Sabina

rund um die PC-Sicherheit