Winfixer 2005 geht nicht zu löschen

#76 Mama Baer

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=27440&b=29905&t=0&ce=DI&m=NTQzMjU3NTIy&ver=3.0.1.8〈=de
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

PC neustarten

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll
C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe
C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil
C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

PC neustarten

loesche:
C:\Programme\Gemeinsame Dateien\GMT

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

Counterspy
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu
__________
MfG Sabina

rund um die PC-Sicherheit

#77 wow danke.. ich versuchs mal....aber nicht mehr heute.. ich muss ins bett morgen wieder schule..
fragen folgen evtl.

danke

#78 Hey
... Danke für deine Nachricht, ich bin sooo... HAPPY das ihr mir helfen könnt und solche guten Seiten füt jedem zur verfügung stellt der ein Problem hat.
Ich ziehe meinen Hut vor EUCH.
Bin auch gerade bei alles abzuarbeiten, ich sende dir mein Logfile nochmal zur kontrolle zu.

Mit ganz Freundlichem Gruß
Mama Baer

#79 sorry.. schon die erste frage.. also zuerst mal.. kamen meldungen als ich die häcken gesetz hab und dann fixed checked gedrüclkt hab.. kamen 2 meldungen.. eine ob ich will und eine ich soll irgendjemandem einen bericht senden mit meine windows version und noch etwas drin.


dann hab ich jetz im log noch ein weiteres:
R1 - HKCU....Main, Search Bar = www..... ist der gut?

und dann mein problem.. ich kan den winfixer nicht löschen der blockt bei 2 strichen im deinstall. mod.und nichts reagiert mehr.. beim messenger plus! 3 genau das gleiche und den spywarekilla find ich gar nicht auf dem pc..(mit der funktion suchen und in der liste)

zu 2:

ich finde nur 2 der 5 ordner oder dateine was das sind im suchen modus... hab alles anzeigenllasse..

#80 Hallo Sabina,
ich brauche mal wieder Deine Hilfe,
von Panda bekomme ich in unregelmäßigen Abständen die Meldung das ein Netzwekvirus blockiert wurde:
"Ein Netzwerkvirus versuchte in Ihren PC einzudringen. Diese Attacke wurde blockiert. Virusname: Exploit/LSASS2"
Ich nutze WLAN fürs Internet und habe die Verbindung recht gut geschützt.
Ins Internet gehe ich über ein eingeschränkte Benutzerkonto, nur Mails rufe ich über das Admin-Konto ab.
Soll ich mal den hijack durchlaufen lassen und hier rein stellen?
Gruß
Bohne
__________
MfG Bohne
Protecus Website

#81

Zitat

Sabina postete
Krebschen

lass das deinstallieren...arbeite ansonsten alles weitere ab


Lass dir versteckte Dateien anzeigen:
Klick auf Arbeitsplatz ->Extras ->Ansicht
Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein
und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.
2.
loeschen:
C:\WINDOWS\system32\rdirector.exe
C:\Dokumente und Einstellungen\Stucki\Anwendungsdaten\MATHCO....
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\download hide does upload
C:\Dokumente und Einstellungen\Stucki\Anwendungsdaten\CORNHE....

C:\Dokumente und Einstellungen\Stucki\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9Q7OLMB

Killbox
http://virus-protect.org/killbox.html
DelTree (include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories).
Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\Programme\MessengerPlus! 3
C:\Programme\WinFixer 2005

----------------------------------------------------------------------------

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

Counterspy
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu

----------------------------------------------------------------
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

__________
MfG Sabina

rund um die PC-Sicherheit

#82 die_Bohne

vielleicht eroeffnest du besser einen neuen Thread...schreib mir dann per PM, wo er ist, damit ich nachsehe.
Dieses Problem mit dem Exploit/LSASS2 hatten wir hier schon......aber so richtig wissen wir noch nicht, was los ist.....
__________
MfG Sabina

rund um die PC-Sicherheit

#83

Zitat

Sabina postete

Zitat

Sabina postete
Krebschen


C:\Dokumente und Einstellungen\Stucki\Anwendungsdaten\MATHCO....
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\download hide does upload
C:\Dokumente und Einstellungen\Stucki\Anwendungsdaten\CORNHE....

diese kann ich nicht finden?? soll ichs lassen oder weitersuchen??

#84 Hey
... habe alles ausgeführt aber in der Killbox kam dieses nicht: "Do you want to reboot? " ich habe trozdem alles reinkopiert und das rote Kreuz betätigt, war doch richtig oder? Bei Counterspy, nach dem Scan kam nichts mehr, kein: Ignore, Remove, Quarantaine. Habe ich irgendwas falsch gemacht?
Trozdem mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:19:55, on 17.11.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TWAIN_32\FLATBED\DETECTOR.EXE
C:\PROGRAMME\TEXTBRIDGE PRO 8.0\BIN\INSTANTACCESS.EXE
C:\PROGRAMME\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNSERVER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNPROTECTIONSERVER.EXE
C:\PROGRAMME\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNTHREATENGINE.EXE
C:\PROGRAMME\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\COUNTERSPY.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Detector] C:\Windows\twain_32\FlatBed\Detector.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM\..\Run: [SunServer] C:\PROGRAMME\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\sunserver.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [b3t7RWepW] HWASOSP.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

MFG
Mama Baer

#85 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C444-E4C9

Verzeichnis von C:\WINDOWS\tasks

19.10.2005 11:14 <DIR> .
19.10.2005 11:14 <DIR> ..
17.11.2005 22:00 274 AB7AEA8791859FEF.job
04.08.2004 14:00 65 DESKTOP.INI
17.11.2005 20:00 588 Norton AntiVirus - Meinen Computer pr�fen - Stucki.job
17.11.2005 22:50 6 SA.DAT
17.11.2005 21:31 350 Symantec NetDetect.job
5 Datei(en) 1'283 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Stucki\Desktop




so das ist das was im editor rausgekommen ist...
es hat sich gleichzeitig noch so ein schwarzes teil geöffnet...

#86 Hallo@Mama Baer

es scheint alles o.k. zu sein.....oder hat der Counterspy irgendwas beim Scannen angezeigt ?
Poste mal den Scanreport.

#Alternativbrowser zum IE
Firefox
http://www.firefox-browser.de/windows.php
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#87 Krebschen

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AB7AEA8791859FEF.job
del AB7AEA8791859FEF.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

Scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#88 Detected Disinfected
Virus 0 0
Spyware 0 0
Hacking Tools 0 0
Dialers 0 0
Security Risks 0 0
Suspicious files 0 0


der editor war auch normal..

also: danke vielmals.. ich kann ihn jetz wieder ungsetört herunterfahren und die sche.. popups sind auch weg.. tausenddank

#89 Hey

Spyware Scan:
374 memory locations scanned, 0 infected
71303 files checked, 140 infected
20838 registry locations checked, 5602 infected
4 cookies scanned, 0 infected
25 spyware components detected!

Quick Stats:
spyware scans run: 2
spyware detected: 5810
in quarantine: 0

Die Firebox, wozu ist die nötig, brauch ich die?

Aber erstmal ein großes DANKESCHÖN an euch das alles geklappt hat und das mein PC wieder läuft und wenn ich wieder ein Problem habe dann meld ich mich auf alle fälle wieder. Gebe mir einen Tipp, wie man euch mal helfen kann (so lange es nicht mit Pc´s zutun hat, da seit ihr eindeutig die besseren).
MFG
Mama Baer

#90 Mama Baer

Firefox--> ist ein Browser--> so, wie der IE, nur sicherer

Counterspy
nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove
*Quarantaine

wähle immer Remove und starte den PC neu


versuche mal, ob das Tool auf WinMe laeuft:

TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner
__________
MfG Sabina

rund um die PC-Sicherheit