winfixer - UWFX5U_0001_N56M1711NetInstaller.exe

#1

Zitat

Guten Abend Sabina

habe gelesen, dass Sie schon recht vielen helfen konnten zum Thema Winfixer. Habe auch schon einige Ihrer Hilfen versucht anzuwenden aber irgendwie klappt es einfach nicht. Vielleicht könnten Sie mal über meinen "Log" sehen ( bekomme Ihn irgendwie nicht in den Forum rein).

Viele Grüße
FHA

Logfile of HijackThis v1.99.1
Scan saved at 23:46:12, on 01.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
d:\Norman\NPF\NPFSVICE.EXE
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Java\jre1.5.0_02\bin\jusched.exe
D:\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_N56M1711NetInstaller.exe
D:\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Harzheim\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/nwshp?hl=de&tab=wn&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/nwshp?hl=de&tab=wn&q=
F3 - REG:win.ini: load=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AWMON] "D:\F-Secure Anti-Virus\Anti-Spyware\Ad-Monitor.exe"
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "D:\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [NI.UWFX5U_0001_N56M1711] "C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_N56M1711NetInstaller.exe" -nag
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Startup: Quicken 2003 Zahlungserinnerung.lnk = D:\Quicken2003\billmind.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120498919984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134064727843
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://82.151.42.188:89//activex/AMC.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all01.kundenserver.de/app/static/activex/msxml4.cab
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norman Type-R - Unknown owner - d:\Norman\NPF\NPFSVICE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

__________
MfG Sabina

rund um die PC-Sicherheit

#2 FHA

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:

C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_N56M1711NetInstaller.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes

PC neustarten

öffne das HijackThis -- Button "scan" -- vor den Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [NI.UWFX5U_0001_N56M1711] "C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_N56M1711NetInstaller.exe" -nag

PC neustarten

Counterspy
http://virus-protect.org/counterspy.html
Klicke: "Run a Spyware Scan Now"
- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu


-------------------------------------------------------------------------
Info Winfixer
http://virus-protect.org/artikel/spyware/winfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina

KLASSE !
Das "WINFIXER" Fenster ist weg !!! DANKE !!!

Kleiner Nachteil : windows update blockiert jetzt mit der

Fehlernummer: 0x80072EFD !????

Gibt es da einen Zusammenhang !???

MfG
Frank

#4 FHA

arbeite das mal durch:
http://support.microsoft.com/default.aspx?scid=kb;de;836941

dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Guten Morgen Sabina

das hatte ich schon versucht !
Leider kein Erfolg :-(

Viele Grüße
Frank

#6 sind die WindowsUpdates in den Diensten aktiviert ?

Start-> Einstellungen- Systemsteuerung- Verwaltung- Computerverwaltung und dann den Eintrag Dienste auswählen.
Nun werden alle laufenden Dienste angezeigt
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina

JA !!! Die sind aktiviert !

Viele Grüße
Frank

#8 Start-->Ausfuehren--> regedit

ueberpruefe die einstellungen in der registry:

--> sollte 0 sein.....

HKEY_CURRENT_USER\Software\Microsoft\security center
FirewallDisableNotify = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"
AntiVirusDisableNotify = "dword:00000001"

HKEY_LOCAL_MACHINE\Software\Microsoft\security center
FirewallDisableNotify = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"
AntiVirusDisableNotify = "dword:00000001"

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

*DoNotAllowXPSP2
dword:00000001
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Guten Morgen Sabina

geht irgendwie nicht. Bei mir sieht es wie folgt aus

HKEY_CURRENT_USER\Software\Microsoft\security center
(Standard) RG_SZ ( Bei Wert steht gar nix)
First Run RG_DWORD 0x00000001(1)


HKEY_LOCAL_MACHINE\Software\Microsoft\security center
(Standard) RG_SZ ( Wert nicht gesetzt)
FirewallDisableNotify = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"
AntiVirusDisableNotify = "dword:00000001"

Den Pfad
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

finde ich nicht. :-(((

Viele Grüße
Frank

#10 FHA

so so...dehalb geht es wahrscheinlich auch nicht.
Die registry scheint zerschossen zu sein...denn alle Werte, die auf 1 stehen...muessen auf 0 stehen.

Zitat

HKEY_LOCAL_MACHINE\Software\Microsoft\security center
(Standard) RG_SZ ( Wert nicht gesetzt)
FirewallDisableNotify = "dword:00000001" --> 0
UpdatesDisableNotify = "dword:00000001" --> 0
AntiVirusDisableNotify = "dword:00000001" --> 0

vielleicht versuchst du den Schluessel
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

neu anzulegen.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]

Zitat

http://www.administrator.de/WSUS_ohne_Dom%E4ne%3F.html

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://servername:8530"
"WUStatusServer"="http://servername:8530"
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Clients"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:00000001
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000c
"UseWUServer"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001
"DetectionFrequency"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"NoAUShutdownOption"=dword:00000000
"AUOptions"=dword:00000004

oder:
http://www.uni-kiel.de/rz/pc/wsus

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://wsus.rz.uni-kiel.de"
"WUStatusServer"="http://wsus.rz.uni-kiel.de"
"ElevateNonAdmins"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000d
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:0000000a
"AutoInstallMinorUpdates"=dword:00000001
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:0000000f
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:0000000a

--------------------------------------------------------------------------------
Die Konfiguration des AUC kann auch durch Änderung der Registry erfolgen. Öffnen Sie mittels regedit den Registry-Schlüssel

HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/Windows/WindowsUpdate/AU
-------------------------------------------------------------------------------

Konfiguration des automatischen Update Client (AUC)

du kannst es auch ueber den Gruppenrichtlinieneditor versuchen.
http://www.hs-bremen.de/Deutsch/Seiten.asp?SeitenID=10961
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina

bin anscheinend zu blöde. :-(( Bekomme es einfach nicht hin. Hast Du vieleicht noch ne andere Idee??

Viele Grüße
Frank

#12 nun. der Eingriff in die Registry ist eine ernste Agelegenheit..ich koennte eine reg-Datei erstellen, aber ich kenne die Konsequenzen nicht.
Deshalb rate ich zum Formatieren.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Sabina

ein Versuch wäre es vieleicht wert ?
Formatieren kann ich dann immer noch.

Gruß
Frank

#14 ohne Gewaehr... berichte dann...

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://wsus.rz.uni-kiel.de"
"WUStatusServer"="http://wsus.rz.uni-kiel.de"
"ElevateNonAdmins"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000d
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:0000000a
"AutoInstallMinorUpdates"=dword:00000001
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:0000000f
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:0000000a

http://www.uni-kiel.de/rz/pc/wsus
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hallo Sabina

also die gute Nachricht
DER PC LÄUFT NOCH nach der Registry Änderung :-)

die Schlechte
es hat sich nix getan
Fehlermeldung weiterhin :
Fehlernummer: 0x80072EFD

Hast Du vieleicht noch ne gute Idee ??

Viele Grüße aus Köln
Frank