Home » Spyware & Browser Hijacker Support Forum » Löschen von WinFixer 2005 » Themenansicht

Löschen von WinFixer 2005

Thema ist geschlossen!
Thema ist geschlossen!
#0
11.11.2005, 00:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 tiina

den Winfixer kann ich loeschen...alle Varianten ;)
das Problem von unikos ist nicht der Winfixer .....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.11.2005, 00:51
Nanz
...neu hier

Beiträge: 4
#32 Hallo!
Ich hab auch das Schei... Problem mit dem Win Fixer...
Vielleicht habt ihr ja auch ne Lösung für mein logfile!
Ich hab jetzt schon so viele Foren durchsucht und nix passendes gefunden!
Danke und lg
Manu

Logfile of HijackThis v1.99.1
Scan saved at 00:44:40, on 11.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wisptis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Herbert\LOKALE~1\Temp\Rar$EX00.468\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\jkklk.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\jkhfd.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [_Cat1] C:\WINDOWS\nmmst.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O20 - Winlogon Notify: jkhfd - C:\WINDOWS\system32\jkhfd.dll
O20 - Winlogon Notify: jkklk - jkklk.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
11.11.2005, 01:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 Nanz

loesen wir im Handumdrehen lol (hoffentlich)

poste das Log von Option 1
http://virus-protect.org/l2mfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.11.2005, 01:16
Nanz
...neu hier

Beiträge: 4
#34 Hoffentlich! Das Teil nervt schon seit Wochen!
hier das Logfile:

L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkhfd]
"Asynchronous"=dword:00000001
"DllName"="C:\\WINDOWS\\system32\\jkhfd.dll"
"Impersonate"=dword:00000000
"Startup"="SysLogon"
"Logoff"="SysLogoff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkklk]
"Asynchronous"=dword:00000001
"DllName"="jkklk.dll"
"Impersonate"=dword:00000000
"Logon"="Logon"
"Logoff"="Logoff"


**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""


**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
browseui.dll Sat 3 Sep 2005 0:53:20 A.... 1.019.904 996,00 K
cdfview.dll Sat 3 Sep 2005 0:53:20 A.... 152.064 148,50 K
cdosys.dll Sat 10 Sep 2005 2:54:28 A.... 2.067.968 1,97 M
danim.dll Sat 3 Sep 2005 0:53:20 A.... 1.055.744 1,00 M
dxtrans.dll Sat 3 Sep 2005 0:53:22 A.... 205.312 200,50 K
extmgr.dll Sat 3 Sep 2005 0:53:22 ..... 55.808 54,50 K
gdi32.dll Thu 6 Oct 2005 4:18:12 A.... 280.064 273,50 K
hneock32.dll Fri 21 Oct 2005 8:55:42 A.... 45.056 44,00 K
iepeers.dll Sat 3 Sep 2005 0:53:22 A.... 251.392 245,50 K
inseng.dll Sat 3 Sep 2005 0:53:22 A.... 96.768 94,50 K
jkhfd.dll Fri 21 Oct 2005 22:34:06 ..SH. 540.692 528,02 K
linkinfo.dll Thu 1 Sep 2005 2:44:42 A.... 19.968 19,50 K
mshtml.dll Tue 4 Oct 2005 16:26:02 A.... 3.013.120 2,87 M
mshtmled.dll Sat 3 Sep 2005 0:53:22 A.... 448.512 438,00 K
msrating.dll Sat 3 Sep 2005 0:53:22 A.... 146.432 143,00 K
mstime.dll Sat 3 Sep 2005 0:53:22 A.... 530.432 518,00 K
netman.dll Mon 22 Aug 2005 19:31:48 A.... 197.632 193,00 K
pngfilt.dll Sat 3 Sep 2005 0:53:22 A.... 39.424 38,50 K
quartz.dll Tue 30 Aug 2005 4:55:36 A.... 1.292.800 1,23 M
shdocvw.dll Sat 3 Sep 2005 0:53:22 A.... 1.484.288 1,41 M
shell32.dll Fri 23 Sep 2005 4:06:22 A.... 8.491.520 8,10 M
shlwapi.dll Sat 3 Sep 2005 0:53:22 A.... 474.112 463,00 K
umpnpmgr.dll Tue 23 Aug 2005 4:39:58 A.... 124.416 121,50 K
urlmon.dll Sat 3 Sep 2005 0:53:22 A.... 605.696 591,50 K
wininet.dll Sat 3 Sep 2005 0:53:22 A.... 664.064 648,50 K
winsrv.dll Thu 1 Sep 2005 2:44:44 A.... 292.352 285,50 K

26 items found: 26 files (1 H/S), 0 directories.
Total of file sizes: 23.595.540 bytes 22,50 M
Locate .tmp files:

C:\WINDOWS\SYSTEM32\
dfhkj.tmp Fri 21 Oct 2005 22:34:08 A.SH. 124 0,12 K
mcrh.tmp Thu 10 Nov 2005 16:22:56 A.... 143 0,14 K

2 items found: 2 files (1 H/S), 0 directories.
Total of file sizes: 267 bytes 0,26 K
**********************************************************************************
Directory Listing of system files:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\WINDOWS\System32

11.11.2005 01:17 273.221 dfhkj.ini2
10.11.2005 21:56 270.124 dfhkj.bak2
26.10.2005 00:58 <DIR> dllcache
21.10.2005 23:28 141.730 dfhkj.ini
21.10.2005 22:34 140.323 dfhkj.bak1
21.10.2005 22:34 124 dfhkj.tmp
21.10.2005 22:34 540.692 jkhfd.dll
14.02.2003 10:45 <DIR> Microsoft
6 Datei(en) 1.366.214 Bytes
2 Verzeichnis(se), 10.823.249.920 Bytes frei
Seitenanfang Seitenende
11.11.2005, 09:02
unikos
Member

Beiträge: 25
#35 hallo sabina

kannst du mir nochmal auf die sprünge helfen?!
mfg
ps: wie wärs mir einer sammelklage gegen winfixer? wäre sowas denkbar?
Seitenanfang Seitenende
11.11.2005, 10:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#36 unikos

ich helfe dir in allem , was du willst...nur ....der Winfixer ist nicht das Problem, sondern die Backdoors, Viren und Trojaner, die sich auf deinem System tummeln.
Du musst unbedingt alles abarbeiten, was ich geschrieben habe, dann erst loeschen wir den Winfixer.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.11.2005, 10:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37

Zitat

Sabina postete
unikos

sichere erst mal alle deine wichtigen Dateien...Dokumente, Fotos usw.....das ist kein Problem ;)
------------------------------------------------------------------------------------------------
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum

http://www.virustotal.com/flash/index_en.html

C:\msu.exe
C:\black update.exe
C:\WINDOWS\unslive.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\system32\spmsg.dll
-----------------------------------------------------------------------------------

KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\lpdriver.sys
C:\WINDOWS\system32\TFTP3332
C:\WINDOWS\system32\TFTP3352
C:\WINDOWS\system32\TFTP3512
C:\WINDOWS\system32\TFTP3376
C:\WINDOWS\system32\TFTP3480
C:\WINDOWS\system32\TFTP2340
C:\WINDOWS\system32\TFTP3356
C:\WINDOWS\system32\TFTP652
C:\WINDOWS\system32\TFTP572
C:\WINDOWS\system32\TFTP3008
C:\WINDOWS\system32\install.exe
C:\WINDOWS\system32\x.bat
C:\WINDOWS\System32\sys_xp.exe
C:\WINDOWS\system32\sys_xp.exeopenopenopen
C:\WINDOWS\system32\sys_xp.exeopenopenopenopen
C:\WINDOWS\system32\re_file.exe
C:\WINDOWS\pre2.exe
C:\WINDOWS\Germany.exe
C:\WINDOWS\inetinfomon.exe
C:\Program Files\Vpyj\Gexeu.exe
C:\Program Files\Vpyj
C:\WINDOWS\unslive.exe
C:\WINDOWS\etb\pokapoka66.exe
C:\WINDOWS\etb

C:\debug.dcd
C:\debug.src
C:\debug.param
C:\et20050910.log
C:\et20050909.log
C:\pok20050909.log
C:\et20050908.log
C:\pok20050908.log
C:\et20050907.log
C:\pok20050907.log
C:\et20050906.log
C:\pok20050906.log
C:\et20050905.log
C:\pok20050905.log
C:\et20050904.log
C:\pok20050904.log
C:\pok20050903.log
C:\et20050903.log
C:\et20050902.log
C:\pok20050902.log
C:\pok20050901.log
C:\et20050901.log
C:\pok20050831.log
C:\et20050831.log
C:\pok20050830.log
C:\et20050830.log
C:\pok20050829.log
C:\et20050829.log

PC neustarten

ueberpruefe, ob das geloescht ist:
C:\WINDOWS\etb
C:\Program Files\Vpyj

Bagle-Removaltool (scanne)
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle@mm.removal.tool.html

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip
- entzippen
- scannen
- POST_THIS.TXT abkopieren

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

Lpdriver

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Doppelklick:regsrch.vbs
reinkopieren:

TlntSvr

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

scanne mit den Scannern und poste die Scanreporte
http://virus-protect.org/multiavtool.html

Onlinescan Kaspersky (kopiere den Scanreport ab)
http://virus-protect.org/onlinescan.html

--------------------------------------------------------------------------

Um den Winfixer kuemmern wir uns spaeter...das ist jetzt nicht so wichtig ;)


----------------

Zitat

C:\WINDOWS\system32\sys_xp.exeopenopenopen
C:\WINDOWS\system32\sys_xp.exeopenopenopenopen
C:\WINDOWS\System32\sys_xp.exe
http://vic.zonelabs.com/tmpl/body/CA/virusDetails.jsp?VId=39624
Aliasnamen: [ZIP.]Bagle; [Win32.]Bagle.AC ; [I-Worm.]Bagle.ah (Kaspersky); [W32.]Beagle.AC@mm (Symantec); [Win32/]Bagle.ZIP.Worm; [W32/]Bagle.ag@MM (McAfee) ; [W32/]Bagle.AG-mm (Wildlist);

Zitat

# %Windir%\ctflog.exe
# %Windir%\explore.exe
# %Windir%\inetinfomon.exe
# %Windir%\MPM.exe
# %Windir%\service.exe
# %Windir%\winlog.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ExtA
http://securityresponse.symantec.com/avcenter/venc/data/trojan.spexta.html

roj/Spexta-A kann sich als E-Mail-Attachment in E-Mails verbreiten, die vorgeben, von "CNN Newsletter" mit der Betreffzeile "TERROR HITS LONDON" zu stammen. Der Trojaner ist als Attachment mit dem Dateinamen "LondonTerrorMovie.zip" darin enthalten.

<System>\lpdriver.sys
http://www.sophos.com/virusinfo/analyses/w32tileboth.html

09.09.2005 22:38 1.071 debug.dcd
09.09.2005 22:38 2.142 debug.src
09.09.2005 22:38 559 debug.param

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.11.2005, 11:11
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 Nanz

VundoFix.exe
http://www.atribune.org/downloads/VundoFix.exe





reinkopieren:

C:\WINDOWS\system32\jkhfd.dll

# Enter -> F6 --> Enter

# dann wird erscheinen:

Please type in the second filepath as instructed by the forum staff Then Press Enter, Then F6, Then Enter Again to continue with the fix.

# Enter --> dann die F6 Taste --> Enter
reinkopieren:

C:\WINDOWS\system32\dfhkj.*

# Enter --> F6 --> Enter
# HijackThis wird sich oeffnen
# In HijackThis --> Haekchen setzen vor diese Eintraege --> FIX CHECKED:

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\jkklk.dll (file missing)
O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\jkhfd.dll
O4 - HKLM\..\Run: [_Cat1] C:\WINDOWS\nmmst.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O20 - Winlogon Notify: jkhfd - C:\WINDOWS\system32\jkhfd.dll
O20 - Winlogon Notify: jkklk - jkklk.dll (file missing)

# schliesse Hijackthis, druecke irgendeine Taste und der PC wird neustarten
# es wird einen"Blue Screen of Death" geben, das ist normal

KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\jkklk.dll
C:\WINDOWS\system32\hneock32.dll
C:\WINDOWS\system32\dfhkj.tmp
C:\WINDOWS\nmmst.exe

PC neustarten

KIllbox
DelTree (include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories).
Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\Programme\SurfAccuracy

PC neustarten

suchen/loeschen: _TMPBF07A.EXE

CleanUp (anwenden, wie beschrieben)
http://virus-protect.org/cleanup.html

Counterspy
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
----------------------------------------------------------

Zitat

TrojanDownloader:Win32/Small.AHG, TROJ_SMALL.SD
Trojan.Downloader.nmmst downloads the file _TMPBF07A.EXE from a predefined URL
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FSMALL%2ESD&VSect=T


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.11.2005, 11:30
Mama Baer
...neu hier

Beiträge: 8
#39 Hey
bin seit kurzem auch besitzer des winfixer. könnt ihr mir helfen dieses zu löschen, wäre euch sehr dankbar

Logfile of HijackThis v1.99.1
Scan saved at 16:32:29, on 10.11.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\ANTIVIRENKIT SE\AVKSERV.EXE
C:\PROGRAMME\ANTIVIRENKIT SE\AVKWCTL9.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\WINDOWS\TWAIN_32\FLATBED\DETECTOR.EXE
C:\PROGRAMME\TEXTBRIDGE PRO 8.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=27440&b=17862&t=0&ce=DI&m=NTQzMjU3NTIy&ver=2.1.0.0
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {93730CBE-DC7C-4B8B-B1CE-C4702982F4D8} - C:\WINDOWS\SYSTEM\WMPUI32.DLL (file missing)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\PROGRAMME\SIDEFIND\SFBHO.DLL
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM220.DLL (file missing)
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\PROGRAMME\APRPS\CXTPLS.DLL (file missing)
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\WSEM303.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\PROGRAMME\ISTBAR\ISTBARCM.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [Detector] C:\WINDOWS\twain_32\FlatBed\Detector.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [80GfpQ83] C:\WINDOWS\UTYHM.EXE
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [3QNMA5] "C:\WINDOWS\TEMP\CXTPLS_LOADER.EXE" /PC=CP.IST2 /SHUN /UNAR="/CTUN"
O4 - HKLM\..\Run: [AutoUpdater] "c:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [q42X36S] IESONCE.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [AvkServer] C:\Programme\AntiVirenKit SE\AvkServ.exe /systemstart
O4 - HKLM\..\RunServices: [AVKWCtl] C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [b3t7RWepW] HWASOSP.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\PROGRAMME\SIDEFIND\SIDEFIND.DLL
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {77EF6DBF-3929-4081-AF2E-178D387E211C} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1037_EN.cab
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://172.16.0.71:10000/msrdp.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {261EE805-4893-45A3-8E9E-AD90914CB39A} (VacPro.internazionale_98_ver11) - http://www9.advnt01.com/dialer/internazionale_98_ver11.CAB
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://playqames.com/default.cab?uid=7&id=31245&ex&1s&ppd=5


Mfg
Mama Baer
Dieser Beitrag wurde am 11.11.2005 um 12:48 Uhr von Mama Baer editiert.
Seitenanfang Seitenende
11.11.2005, 12:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#40 Hallo@Mama Baer

ich empfehle zu formatieen..derPC besteht nur aus Viren und Malware.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=27440&b=17862&t=0&ce=DI&m=NTQzMjU3NTIy&ver=2 .1.0.0
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {93730CBE-DC7C-4B8B-B1CE-C4702982F4D8} - C:\WINDOWS\SYSTEM\WMPUI32.DLL (file missing)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\PROGRAMME\SIDEFIND\SFBHO.DLL
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM220.DLL (file missing)
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\PROGRAMME\APRPS\CXTPLS.DLL (file missing)
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\WSEM303.DLL (file missing)
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\PROGRAMME\ISTBAR\ISTBARCM.DLL
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [80GfpQ83] C:\WINDOWS\UTYHM.EXE
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [3QNMA5] "C:\WINDOWS\TEMP\CXTPLS_LOADER.EXE" /PC=CP.IST2 /SHUN /UNAR="/CTUN"
O4 - HKLM\..\Run: [AutoUpdater] "c:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [q42X36S] IESONCE.EXE
O4 - HKCU\..\Run: [b3t7RWepW] HWASOSP.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\PROGRAMME\SIDEFIND\SIDEFIND.DLL
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {77EF6DBF-3929-4081-AF2E-178D387E211C} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1037_EN.cab
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {261EE805-4893-45A3-8E9E-AD90914CB39A} (VacPro.internazionale_98_ver11) - http://www9.advnt01.com/dialer/internazionale_98_ver11.CAB
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://playqames.com/default.cab?uid=7&id=31245&ex&1s&ppd=5
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.11.2005, 12:59
Mama Baer
...neu hier

Beiträge: 8
#41 Hey
...und was heißt das jetzt.
Seitenanfang Seitenende
11.11.2005, 14:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#42 Mama Baer
das heisst, dass du formatieren solltest...eine Reinigung ist zwecklos....
Dann hast du wieder ein sauberes System .
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.11.2005, 21:04
Mama Baer
...neu hier

Beiträge: 8
#43 Sabina, danke
muß ich wegen winfixer noch etwas unternehmen oder ist es damit erledigt?
Mal was anderes wo bekomme ich günstige aber gut viren software her hast du einen Tipp für mich.

Mfg
Mama Baer
Dieser Beitrag wurde am 11.11.2005 um 21:06 Uhr von Mama Baer editiert.
Seitenanfang Seitenende
11.11.2005, 23:50
Tiina
...neu hier

Beiträge: 3
#44

Zitat

Sabina postete
tiina

den Winfixer kann ich loeschen...alle Varianten ;)
das Problem von unikos ist nicht der Winfixer .....
Son Pech aber auch, leider zu spät für meinen Rechner...;)
Seitenanfang Seitenende
12.11.2005, 00:53
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45

Zitat

Mama Baer postete
Sabina, danke
muß ich wegen winfixer noch etwas unternehmen oder ist es damit erledigt?
Mal was anderes wo bekomme ich günstige aber gut viren software her hast du einen Tipp für mich.

Mfg
Mama Baer
formatiere...es ist wirklich das vernuenftigste.....dann poste hier das neue Log vom HijackThis...zur Ueberpruefung ;)

http://virus-protect.org/antivirenfree.html
http://virus-protect.org/antivirshare.html
http://virus-protect.org/antispytools.html
http://virus-protect.org/temp.html
http://virus-protect.org/reinigungstoolsregistry.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123