WinFixer2005 / Winfix-Meldung |
||
---|---|---|
#0
| ||
05.08.2005, 12:28
...neu hier
Beiträge: 2 |
||
|
||
05.08.2005, 12:30
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@GBG
HijackThis http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.08.2005, 10:04
Moderator
Beiträge: 7805 |
||
|
||
06.08.2005, 12:55
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@raman
das ist ein neuer Hijacker, ich wollte erst mal mit dem HijackThis beginnen, um zu sehen, ob der user ueberhaupt reagiert und dann das ganze Programm abspulen...gerade weil es ein neuer Hijacker ist und ich noch im Dunkeln "tappe" wie es ausschaut, reagiert der User aber nicht--> schade, ich haette die Geschichte gern analysiert __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.08.2005, 13:14
Moderator
Beiträge: 7805 |
#5
Das sollte eine Vundo-Variante sein
http://forums.net-integration.net/index.php?showtopic=31626&st=0& http://castlecops.com/p576660-Winfixer_pop_out_saying_my_system_contains_error.html#576660 Nicht das ihr mit den Downloader vorher noch killt, der installer waere durchaus wichtig! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.08.2005, 14:36
Ehrenmitglied
Beiträge: 29434 |
#6
genau...ich brauche einen User, der meine "tollen Tools" abarbeitet
Danke, Raman fuer die Tipps __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.08.2005, 14:57
Member
Beiträge: 4730 |
#7
Wenn mir jemand sagt, wo ich mich damit infizieren kann... ich mach das gerne mal zu Testzwecken (mit meiner Testumgebung in der Quasi-Sandbox)
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
06.08.2005, 20:34
Ehrenmitglied
Beiträge: 6028 |
#8
Wenn man sich vertippt mit www.symantic.com anstatt Symantec wird man umgeleitet nach Winfixer.com
Dabei wird versucht "WFI.cab" zu installieren __________ MfG Argus |
|
|
||
06.08.2005, 22:11
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo@blueslayah
ran ans Werk und vielleicht hilft das was ...wir saeubern dann damit den PC..o.k. ? http://virus-protect.org/Artikel/spyware/winfix.html ich weiss noch nicht genau, wie das funktioniert, aber wir koennen es ja mal versuchen. es gibt schon einige Infektionen (in anderen Foren gesehen) , es scheint aber erst der Beginn zu sein. also: Beginn: das log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.08.2005, 23:06
Member
Beiträge: 4730 |
#10
Ok, es wird gefragt, ob man der zu installierenden Software vertrauen möchte. Ich habe es bejaht.
Winfixer 2005 wird heruntergeladen, installiert, macht einen Systemscan und findet auf meinem definitiv sauberen System "1039 Severe System Threads". Als DAU klicke ich natürlich auf "Repair", womit das Spektakel seinen Lauf nehmen sollte. Danach erschein folgendes Bild: Ich klicke auf "fix selected" -> passiert nix, ich werde nur zum Kauf des Programms aufgefordert. Ich schließe die sich öffnende Internetseite und sehe plötzlich ein PopUp, welches mir erzählt, dass ich 1039 Probleme hätte. Ich klicke hier auf ok: Hierauf öffnet sich ein payment-Fenster, was ich schließe, da ich ja eh nix kaufen möchte. Ich schließe den Internet Explorer ganz und starte den PC neu. PC neugestartet, kommt wiederum folgendes Fenster: Ich klicke auf "Remind me later", schließe das Programm. Hier nun ein HJT-Log von diesem Zustand aus: Logfile of HijackThis v1.99.1 Scan saved at 23:04:11, on 06.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\VMADD\VMUSrvc.exe C:\Programme\WinFixer 2005\wfx5.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\VMADD\VMSRVC.EXE C:\WINDOWS\System32\VPCMap.exe C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe O4 - HKLM\..\Run: [WinFixer 2005] C:\Programme\WinFixer 2005\wfx5.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE Da ich das Programm los werden möchte, entschließe ich mich als DAU, das Programm zu löschen. Uninstall-Routine wird mitgeliefert. Ich werde aufgefordert, Windows neu zu starten. Neu gestartet: Das Ding ist offensichtlich weg. Logfile of HijackThis v1.99.1 Scan saved at 23:07:16, on 06.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\VMADD\VMUSrvc.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\VMADD\VMSRVC.EXE C:\WINDOWS\System32\VPCMap.exe C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE Abgesehen von einem Überrest in der Registrierung ist nichts mehr vorhanden. Ok, dann müssen wir ein anderes Szenario ausdenken. Was schlagt ihr vor? Ich gehe jetzt erstmal inne Disco. Morgen können wir dann weitermachen. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
06.08.2005, 23:45
Ehrenmitglied
Beiträge: 6028 |
#11
http://www.google.de/search?hl=de&q=%22WinSoftware+Ltd%22&btnG=Google-Suche&meta=
WinAntivirus 2005 http://www.spywarewarrior.com/rogue_anti-spyware.htm __________ MfG Argus |
|
|
||
07.08.2005, 20:19
Member
Beiträge: 4730 |
#12
Lukas war so freundlich und hat meinen Nickname auf meinen offiziellen Nickname "Managor" geändert
Ok, also nächster Versuch. WinAntiVirus 2005 installiert. Registrierung erforderlich: Die wollen allerhand (teilweise persönliche) Info haben. Ok Nach ner Weile Nichtstun (ich war gerade dabei, ne SMS an das Mädel zu schreiben, welches ich gestern inner Disco kennengelernt habe) erschien plötzlich ein PopUp: Ich habs geschlossen und mich entschlossen, nen kompletten Systemscan mit dem Programm zu machen. Leider ist das Programm dabei abgestürzt... also mache ich nen Neustart. Erstmal zwischendurch ein HJT-Log: Logfile of HijackThis v1.99.1 Scan saved at 19:40:04, on 07.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\VMADD\VMUSrvc.exe C:\Programme\WinAntiVirus 2005 Pro Trial\AVTray.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\VMADD\VMSRVC.EXE C:\WINDOWS\System32\VPCMap.exe C:\Programme\WinAntiVirus 2005 Pro Trial\AVSvc.exe C:\Programme\WinAntiVirus 2005 Pro Trial\AVSchSvc.exe C:\Programme\WinAntiVirus 2005 Pro Trial\pgeng.exe C:\Programme\WinAntiVirus 2005 Pro Trial\Quar.exe C:\Programme\Gemeinsame Dateien\WinSoftware\VapFM.exe C:\Programme\WinAntiVirus 2005 Pro Trial\cs_srv.exe C:\Dokumente und Einstellungen\doof\Desktop\HijackThis.exe O2 - BHO: CIEIntegrator Object - {2178F3FB-2560-458f-BDEE-631E2FE0DFE4} - C:\Programme\WinAntiVirus 2005 Pro Trial\winpgi.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [VPCUserServices] C:\WINDOWS\VMADD\VMUSrvc.exe O4 - HKLM\..\Run: [AVTray] "C:\Programme\WinAntiVirus 2005 Pro Trial\AVTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Unknown file in Winsock LSP: c:\programme\winantivirus 2005 pro trial\mailscan.dll O10 - Unknown file in Winsock LSP: c:\programme\winantivirus 2005 pro trial\mailscan.dll O10 - Unknown file in Winsock LSP: c:\programme\winantivirus 2005 pro trial\mailscan.dll O10 - Unknown file in Winsock LSP: c:\programme\winantivirus 2005 pro trial\mailscan.dll O10 - Unknown file in Winsock LSP: c:\programme\winantivirus 2005 pro trial\mailscan.dll O10 - Unknown file in Winsock LSP: c:\programme\winantivirus 2005 pro trial\mailscan.dll O23 - Service: AVScheduler - Unknown owner - C:\Programme\WinAntiVirus 2005 Pro Trial\AVSchSvc.exe O23 - Service: WinAntivirus - Unknown owner - C:\Programme\WinAntiVirus 2005 Pro Trial\AVSvc.exe Wobei ich auch hier sagen muss, dass mir da noch nichts wirklich böses aufgefallen ist. Vermutlich ist es sogar gar nicht die Original-Software von denen, sondern nur ein Nachbau, der das System beeinträchtigt. Ich recherchiere mal weiter... jetzt bin ich erstmal wieder weg (mein Date wartet ) __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
08.08.2005, 12:36
Ehrenmitglied
Beiträge: 29434 |
#13
also, ich sehe auch nicht, dass dies hier was besonderes ist...einfach nur die uebliche PopUps, wie es auch beim ErrorGuard geschieht, wenn man bestimmte Seiten ansurft.
dennoch kann man es ja mal versuchen: Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. kopiere den Code rein: echo ** This batch was originally written by OSC ** cd C:\WINDOWS\inf\ if exist C:\contents.txt del C:\contents.txt echo ************************************>> C:\contents.txt echo **These are the hidden files found**>> C:\contents.txt echo ************************************>> C:\contents.txt dir /a:h >> c:\contents.txt echo ************************************>> C:\contents.txt echo **These are the system files found**>> C:\contents.txt echo ************************************>> C:\contents.txt dir /a:s >> C:\contents.txt attrib /d /s -s -r -h -a start notepad c:\contents.txt exit 3. Speichere die Datei als findtheother.bat auf dem Desktop 4. Doppel klick auf diese Datei findtheother.bat -->inhalt posten, bitte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.08.2005, 15:39
Member
Beiträge: 4730 |
#14
Nix zu machen:
************************************ **These are the hidden files found** ************************************ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C8D-79B8 Verzeichnis von C:\WINDOWS\inf Verzeichnis von C:\WINDOWS\inf 06.08.2005 03:58 <DIR> . 06.08.2005 03:58 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 15.529.553.920 Bytes frei **These are the system files found** ************************************ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C8D-79B8 Verzeichnis von C:\WINDOWS\inf Ich deinstalliere das Ding irgendwann wieder. Statt Viren zu finden stürzt das Programm eh nur ab. Gestern hatte er zwar ein paar Viren entdeckt, aber ich bin mir sicher, dass das False Positives waren. Vor allem hat er heute keine mehr gefunden (bis zum Zeitpunkt des Programmabsturzes). __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
08.08.2005, 16:08
Ehrenmitglied
Beiträge: 29434 |
#15
ich hab was auf einem anderen PC gefunden:
C:\DOCUME~1\t40p\LOCALS~1\Temp 04.08.2005 08:36 793 pcf9.tmp 04.08.2005 08:32 2.234.435 WinFixer2005ScannerSetup.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
wie kann ich das denn ausschalten.
Und wenn ich was bei Google eingebe kommt da fast immer die msn suche