winfixer Popup Fenster geht immer wieder auf

#1 Hallo Freunde!

C:\WINDOWS\Downloaded Program Files\DE648_1020.exe is infected with Dialer.MoldConecta
C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_N56M1711NetInstaller.exe is infected with WinFixer


Auch ich bin ein Frischling hier und habe (wie viele vorher auch) das Prob mit dem Winfixer. (siehe oben)
Der in euerem Forum gelesene und angewandte Tipp CounterSpy und CleanUp über System laufen zu lassen, hat zwar 10 Würmer und Maden entfernt, aber WinWixer sorry, WinFixer ist immer noch da.
Jetzt bin ich mit meinem Versicherungsfuzzylatein am Ende. Das shitteil sagt jedesmal beim PC hochfahren: WinFixer 2005 Service ist momentan nicht verfügbar.
Wer von euch ist so nett und kann mir weiterhelfen? Wie bekomm ich das Teil raus?
Ich danke schonmal im Voraus,
Gruß
Karsten (Magixx)

Ich hab gesehen zur Hilfe benötigt Ihr diesen Scan: Würde mich riesig freuen wenn Ihr mir helfen könntet.

Logfile of HijackThis v1.99.1
Scan saved at 18:19:05, on 10.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\trcboot.exe
C:\Programme\Trend Micro\ntrtscan.exe
C:\PROGRA~1\prisma\SEJavaService.exe
C:\Programme\PCom\PCS_AGNT.EXE
C:\Programme\Trend Micro\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tp4serv.exe
C:\WINDOWS\System32\ltmsg.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32\javaw.exe
C:\Programme\Trend Micro\pccntmon.exe
C:\PROGRAMME\EQUANT\AUTOUPDT\EACUPDT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_N56M1711NetInstaller.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\VUS2001\System\ZACLIENT.EXE
C:\Programme\Trend Micro\pccntupd.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\Equant\Dialer\dialer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\CounterSpy.exe
C:\DOKUME~1\ANWEND~1\LOKALE~1\Temp\Rar$EX00.249\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.de.zurich.com/home/start.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://hkhkh/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy2.de.zurich.com:80;gopher=proxy2.de.zurich.com:80;http=proxy2.de.zurich.com:80;https=proxy2.de.zurich.com:80;socks=proxy2.de.zurich.com:80
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [prisma desktop connector] "C:\PROGRA~1\prisma\pjc_dc.lnk"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [EACAutoUpdt] C:\PROGRAMME\EQUANT\AUTOUPDT\EACUPDT.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NI.UWFX5U_0001_N56M1711] "C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_N56M1711NetInstaller.exe" -nag
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: AS Client-Manager.lnk = C:\VUS2001\System\ZACLIENT.EXE
O4 - Global Startup: Zurich Gruppe Deutschland.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O15 - Trusted Zone: *.ao-z.de (HKLM)
O15 - Trusted Zone: *.zuerich.de (HKLM)
O15 - Trusted IP range: http://127.0.0.1
O15 - Trusted IP range: http://127.0.0.1 (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {70A3ED4F-E41D-452F-8D59-0433205A754A} (MypopInstall Control) - http://cdc006.ucast.mypop.jp/ucast/client/install_files/MYPOP.CAB
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33FB3828-9446-47BD-B048-1E1D6E45D1B8}: NameServer = 10.200.156.1 10.200.180.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{5259380F-8CD4-4F16-B3D4-4111139DC479}: NameServer = 172.30.80.10
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = de.zurich.com,vgdb.eur.deuba.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{33FB3828-9446-47BD-B048-1E1D6E45D1B8}: NameServer = 10.200.156.1 10.200.180.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = de.zurich.com,vgdb.eur.deuba.com
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\ntrtscan.exe
O23 - Service: prisma - Silverstroke AG - C:\PROGRA~1\prisma\SEJavaService.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Programme\Trend Micro\tmlisten.exe
O23 - Service: TrcBoot - IBM Corporation - C:\WINDOWS\System32\drivers\trcboot.exe

#2 hey...
hab auch das ähnliche prob...ich denke bei mir is es weg...ich hab mir spybot s&d runtergeladen und dann ma gescannt...dann hat der winfixer gefunden und es(ich hoffe es sehr) gelöscht...also vllt klappt das bei dir...

#3 Magixx

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [NI.UWFX5U_0001_N56M1711] "C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_N56M1711NetInstaller.exe" -nag
O15 - Trusted Zone: *.ao-z.de (HKLM)
O15 - Trusted Zone: *.zuerich.de (HKLM)
O15 - Trusted IP range: http://127.0.0.1
O15 - Trusted IP range: http://127.0.0.1 (HKLM)

PC neustarten

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:

C:\WINDOWS\Downloaded Program Files\DE648_1020.exe
C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_N56M1711NetInstaller.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

dann scanne im abgesicherten Modus mit Counterspy

- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
---------------------------------------------------------------------------------------------
wozu dient dieses Programm ????????????

Zitat

C:\Program Files\UCAST\Free2\m\mypop.exe
C:\Program Files\UCAST\Free2\m\InfoWnd.exe
C:\Program Files\UCAST\Free2\m\InfoMng.exe

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKCU\..\Run: [mypop_Free] C:\Program Files\UCAST\Free2\(User）\startup.exe
O11 - Options group: [!CNS] JWord(
O16 - DPF: {70A3ED4F-E41D-452F-8D59-0433205A754A} (MypopInstall Control) -
http://cdc006.ucast.mypop.jp/ucast/client/install_files/MYPOP.CAB

__________
MfG Sabina

rund um die PC-Sicherheit

#4 Danke Dir für die Antwort, super.
Hab nur noch ne Frage: Du hälst diese Einträge
O15 - Trusted Zone: *.ao-z.de (HKLM)
O15 - Trusted Zone: *.zuerich.de (HKLM)
O15 - Trusted IP range: http://127.0.0.1
O15 - Trusted IP range: http://127.0.0.1 (HKLM)
für Malware?

Bei ao-z.de und zuerich.de und auch der IP Nummer bin ich mir da nicht sicher, sieht eher nach meinem Unternehmen aus.

Wozu dieses Proggi ist hab ich -absolut- keine Ahnung, ich weiss nicht mal welche Funktion es auslösen soll.

Zitat:
C:\Program Files\UCAST\Free2\m\mypop.exe
C:\Program Files\UCAST\Free2\m\InfoWnd.exe
C:\Program Files\UCAST\Free2\m\InfoMng.exe

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKCU\..\Run: [mypop_Free] C:\Program Files\UCAST\Free2\(User）\startup.exe
O11 - Options group: [!CNS] JWord(
O16 - DPF: {70A3ED4F-E41D-452F-8D59-0433205A754A} (MypopInstall Control) -
http://cdc006.ucast.mypop.jp/ucast/client/install_files/MYPOP.CAB

#5 Magixx

aus 015 sollte erst mal alles rausgeloescht werden...man kann es ja dann wieder einsetzen, falls es "gut" ist

O15 - Trusted IP range: http://127.0.0.1
O15 - Trusted IP range: http://127.0.0.1 (HKLM)
das sollte besser raus.

das ist der Winfixer+ ein Dialer, der ist ja nun geloescht
C:\WINDOWS\Downloaded Program Files\DE648_1020.exe
C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_N56M1711NetInstaller.exe

scanne mit Counterspy
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Hallo grüsse euch hatte auch das problem bis gestern mit dem winfixer 2005,
habe von der Computerbild Ausgabe 26/2005 das Programm Ashampoo WinOptimizer Platinum Suite 2 (F_asv_de) (deutsch) installiert und regiestrieren lassen. Regiestrierung ist kosten los. Ja habe das programm ausgeführt hat mir ne menge müllruntergeworfen aber auch den winfixer 2005 ind der Regiestrierung gelöscht seither hab ich keine meldung mehr erhalten.
Habs mit Norton versucht fehlanzeige mit HijackThis hatte kein erfolg damit.
Vieleicht hilft das Ashampoo euch da weiter. Probierts einfach mal aus. Bei mir hats jedenfalls geholfen.

http://www.ashampoo.de


Gruss Knacki