Fragen zu Winfixer

#1 Hallo
Also ich habe ein Netzwerk zu hause und vor einigen Tagen auf einem PC bemerkt dass was nicht stimmt, weil dieses Popup da war.
Hab danach erstmal Spybot durchlaufen lassen und das hat auch einiges gefunden, konnte alles entfernt werden.
Das komische dabei ist aber dass dieser PC nur ein Server ist, ich also nicht auf im arbeite oder so.
Außer eben mal auf goldese gehe oder seiten wo ich zb demos lade (chip.de).
Nun habe ich heute feststellen müssen das auch auf meinem Notebook Winfixer drauf ist,was ich bisher immer sauber gehalten habe.
Ich hatte bis vor einer Woche mit Spybot nichts gefunden.

Nun frage ich mich also wo kommt Winfixer her?
Wird er im LAN übertragen?
Kann es sein, dass ein Bakannter ihn "eingeschläust" hat?
Wie installiert er sich?

Denn bevor ich mich jetzt abquäle ihn wegzubekommen wäe es ja sicher vorteilhaft zu wissen wo er herkommt.

Ich hoffe mir kann da jemand helfen.
thx

cya
tbb

#2 thebluntblad

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere die 4 Textdateien
http://virus-protect.org/datfindbat.html

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 So. Ich hab jetzt auf beiden PCs CleanUp durchlaufen lassen.

Das sind die Logs von datFind:

Vom Notenook:


Verzeichnis von C:\WINDOWS\system32

04.01.2006 13:41 194.568 FNTCACHE.DAT
31.12.2005 01:38 1.923 UTLDEFI.WLL
19.12.2005 15:29 470 ws344069.ocx
19.12.2005 15:24 3.176 gafilter.sti
19.12.2005 15:24 4.808 gaeffect.sti
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:32 1.495.040 shdocvw.dll
30.11.2005 15:34 5.618 jupdate-1.5.0_05-b05.log
24.11.2005 01:39 3.016.192 mshtml.dll
24.11.2005 01:39 1.022.464 browseui.dll
09.11.2005 22:29 98.304 CmdLineExt.dll
05.11.2005 04:35 607.232 urlmon.dll
05.11.2005 04:34 1.056.256 danim.dll
31.10.2005 13:04 54.614 perfc009.dat
31.10.2005 13:04 384.930 perfh009.dat
31.10.2005 13:04 396.586 perfh007.dat
31.10.2005 13:04 65.866 perfc007.dat
31.10.2005 13:04 911.074 PerfStringBackup.INI
21.10.2005 04:38 667.136 wininet.dll
21.10.2005 04:38 474.624 shlwapi.dll
21.10.2005 04:38 39.424 pngfilt.dll
21.10.2005 04:38 530.944 mstime.dll
21.10.2005 04:38 146.432 msrating.dll
21.10.2005 04:38 448.512 mshtmled.dll
21.10.2005 04:38 205.312 dxtrans.dll
21.10.2005 04:38 96.768 inseng.dll
21.10.2005 04:38 251.904 iepeers.dll
21.10.2005 04:38 55.808 extmgr.dll
21.10.2005 04:38 152.064 cdfview.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
11.10.2005 19:14 1.158 wpa.dbl
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:11 1.839.488 win32k.sys
27.09.2005 01:47 24.064 xpsp3res.dll
23.09.2005 04:24 8.493.568 shell32.dll
21.09.2005 15:24 940 mapisvc.inf
21.09.2005 15:24 525 MAPISVC.INF.bak
11.09.2005 19:35 17 '
11.09.2005 15:30 1.375 SpoonUninstall-dBpowerAMP WMA V9.1 Codec.dat
11.09.2005 15:30 130.048 SpoonUninstall.exe
11.09.2005 15:30 33.846 SpoonUninstall-dBpowerAMP WMA V9.1 Codec.bmp
11.09.2005 15:30 2.421 SpoonUninstall-dBpowerAMP Ogg Vorbis Codec.dat
11.09.2005 15:30 33.846 SpoonUninstall-dBpowerAMP Ogg Vorbis Codec.bmp
11.09.2005 15:30 2.055 SpoonUninstall-dBpowerAMP Lame (Exe) Codec.dat
11.09.2005 15:29 27.958 SpoonUninstall-dBpowerAMP Lame (Exe) Codec.bmp
11.09.2005 15:29 35.128 SpoonUninstall-dBpowerAMP Music Converter.dat
11.09.2005 15:29 33.846 SpoonUninstall-dBpowerAMP Music Converter.bmp
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:46 292.352 winsrv.dll
01.09.2005 02:46 19.968 linkinfo.dll


Verzeichnis von C:\DOKUME~1\THEBLU~1\LOKALE~1\Temp

05.01.2006 15:39 856 options.vnc
1 Datei(en) 856 Bytes
0 Verzeichnis(se), 26.335.670.272 Bytes frei


Verzeichnis von C:\WINDOWS

05.01.2006 15:29 4.566 ModemLog_SoftV90 Data Fax Modem with SmartCP.txt
05.01.2006 15:29 1.891.711 WindowsUpdate.log
05.01.2006 15:29 0 0.log
05.01.2006 15:29 2.048 bootstat.dat
05.01.2006 15:28 26.110 SchedLgU.Txt
05.01.2006 15:28 50 wiaservc.log
05.01.2006 15:28 411 wiadebug.log
05.01.2006 14:45 116 NeroDigital.ini
03.01.2006 15:53 27 BRPP2KA.INI
03.01.2006 15:53 476 BRWMARK.INI
28.12.2005 21:26 848.053 setupapi.log
26.12.2005 12:13 75.078 wmsetup.log
25.12.2005 16:16 4.096 d3dx.dat
24.12.2005 14:11 227 system.ini
24.12.2005 14:11 604 win.ini
19.12.2005 15:29 326 ULEAD32.INI
15.12.2005 14:03 73.344 iis6.log
15.12.2005 14:03 97.754 ntdtcsetup.log
15.12.2005 14:03 162.640 comsetup.log
15.12.2005 14:03 1.393 imsins.log
15.12.2005 14:03 184.604 tsoc.log
15.12.2005 14:03 25.785 ocmsn.log
15.12.2005 14:03 10.650 KB910437.log
15.12.2005 14:03 236.496 ocgen.log
15.12.2005 14:03 23.687 msgsocm.log
15.12.2005 14:03 481.836 FaxSetup.log
15.12.2005 14:03 26.705 updspapi.log
15.12.2005 14:03 1.393 imsins.BAK
15.12.2005 14:03 30.341 KB905915.log
27.11.2005 13:18 257 psolaw1.ini
27.11.2005 13:18 232 wpsola.ini
21.11.2005 15:13 213.584 setupact.log
19.11.2005 22:26 1.341 CDPlayer.ini
11.11.2005 14:22 400 ODBC.INI
10.11.2005 14:00 15.577 KB896424.log
08.11.2005 18:50 64.760 DirectX.log
06.11.2005 19:06 249.856 Setup1.exe
06.11.2005 19:06 73.216 ST6UNST.EXE
30.10.2005 11:35 212.106 ntbtlog.txt
12.10.2005 17:31 24.008 KB901017.log
12.10.2005 17:31 27.663 KB902400.log
12.10.2005 17:30 18.685 KB905414.log
12.10.2005 17:30 20.635 KB896688.log
12.10.2005 17:29 17.386 KB900725.log
12.10.2005 17:29 11.808 KB904706.log
12.10.2005 17:29 12.452 KB905749.log
21.09.2005 16:39 25 myip.ini


Verzeichnis von C:\

05.01.2006 15:42 0 sys.txt
05.01.2006 15:42 8.653 system.txt
05.01.2006 15:42 292 systemtemp.txt
05.01.2006 15:41 99.525 system32.txt
05.01.2006 15:40 4.096.054 Wallpaper4U.bmp
05.01.2006 15:28 937.660.416 hiberfil.sys
05.01.2006 15:28 1.409.286.144 pagefile.sys
24.12.2005 14:11 211 boot.ini
19.12.2005 15:29 469 os466477.bin
13.11.2005 10:37 399 _arm_errors.log
04.11.2005 19:09 512 TEXT.DAT
10.07.2005 08:03 27 expand.txt



Vom Server:


Verzeichnis von C:\WINDOWS\system32

05.01.2006 14:30 2.206 wpa.dbl
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
26.11.2005 01:56 311.740 perfh009.dat
26.11.2005 01:56 40.128 perfc009.dat
26.11.2005 01:56 316.924 perfh007.dat
26.11.2005 01:56 48.354 perfc007.dat
26.11.2005 01:23 787.052 PerfStringBackup.INI
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
10.11.2005 17:37 93.480 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
14.09.2005 19:50 0 h323log.txt
14.09.2005 19:15 44 '
14.09.2005 19:01 261 $winnt$.inf
14.09.2005 18:59 2.951 CONFIG.NT
14.09.2005 18:59 16.832 amcompat.tlb
14.09.2005 18:59 23.392 nscompat.tlb
14.09.2005 18:58 488 WindowsLogon.manifest
14.09.2005 18:58 488 logonui.exe.manifest
14.09.2005 18:57 749 nwc.cpl.manifest
14.09.2005 18:57 749 cdplayer.exe.manifest
14.09.2005 18:57 749 ncpa.cpl.manifest
14.09.2005 18:57 749 wuaucpl.cpl.manifest
14.09.2005 18:57 749 sapi.cpl.manifest
14.09.2005 18:55 21.740 emptyregdb.dat
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll


Verzeichnis von C:\DOKUME~1\admin\LOKALE~1\Temp


Verzeichnis von C:\WINDOWS

05.01.2006 15:45 84 pftppro.ini
05.01.2006 15:45 2.058 pftp.ini
05.01.2006 15:41 0 0.log
05.01.2006 15:41 1.293.381 WindowsUpdate.log
05.01.2006 15:40 2.048 bootstat.dat
05.01.2006 15:40 19.782 SchedLgU.Txt
31.12.2005 14:39 573 win.ini
31.12.2005 14:39 227 system.ini
18.12.2005 13:04 318.103 iis6.log
18.12.2005 13:04 98.178 comsetup.log
18.12.2005 13:04 57.808 ntdtcsetup.log
18.12.2005 13:04 13.692 tabletoc.log
18.12.2005 13:04 14.565 ocmsn.log
18.12.2005 13:04 123.027 tsoc.log
18.12.2005 13:04 1.393 imsins.log
18.12.2005 13:04 10.448 KB910437.log
18.12.2005 13:04 131.372 ocgen.log
18.12.2005 13:04 46.110 netfxocm.log
18.12.2005 13:04 18.487 MedCtrOC.log
18.12.2005 13:04 13.231 msgsocm.log
18.12.2005 13:04 258.850 FaxSetup.log
18.12.2005 13:04 86.298 msmqinst.log
18.12.2005 13:04 18.762 updspapi.log
18.12.2005 13:04 1.393 imsins.BAK
18.12.2005 13:04 16.286 KB905915.log
27.11.2005 20:35 183.867 setupapi.log
27.11.2005 17:38 1.456 COM+.log
19.11.2005 15:35 169.886 setupact.log
10.11.2005 16:04 11.769 KB896424.log
26.10.2005 22:28 22.960 KB901017.log
26.10.2005 22:27 25.215 KB902400.log
26.10.2005 22:27 15.430 KB896688.log
26.10.2005 22:27 14.720 KB899589.log
26.10.2005 22:26 15.036 KB905414.log
26.10.2005 22:26 14.788 KB900725.log
26.10.2005 22:26 12.156 KB904706.log
26.10.2005 22:26 12.812 KB905749.log
12.10.2005 17:54 52 ftppass.ini
12.10.2005 17:53 86 pftppront.ini
24.09.2005 11:55 2.814 KB885884.log
21.09.2005 15:09 400 ODBC.INI
14.09.2005 19:47 50 wiaservc.log
14.09.2005 19:47 509 wiadebug.log
14.09.2005 19:47 0 Sti_Trace.log
14.09.2005 19:45 1.348 regopt.log
14.09.2005 19:42 23.032 KB899587.log
14.09.2005 19:42 22.155 KB896422.log
14.09.2005 19:42 21.901 KB885835.log
14.09.2005 19:42 20.905 KB885836.log
14.09.2005 19:42 21.724 KB885250.log
14.09.2005 19:42 22.171 KB899591.log
14.09.2005 19:42 21.975 KB893756.log
14.09.2005 19:41 20.463 KB896423.log
14.09.2005 19:41 20.481 KB873339.log
14.09.2005 19:41 22.975 KB896727.log
14.09.2005 19:41 17.391 KB888113.log
14.09.2005 19:41 17.999 KB887742.log
14.09.2005 19:41 17.399 KB887472.log
14.09.2005 19:41 18.594 KB896358.log
14.09.2005 19:41 17.434 KB891781.log
14.09.2005 19:41 18.418 KB890046.log
14.09.2005 19:40 17.804 KB893066.log
14.09.2005 19:40 17.427 KB873333.log
14.09.2005 19:40 17.594 KB901214.log
14.09.2005 19:40 16.932 KB888302.log
14.09.2005 19:40 12.316 KB886185.log
14.09.2005 19:40 17.792 KB899588.log
14.09.2005 19:40 16.915 KB893086.log
14.09.2005 19:40 16.068 KB896428.log
14.09.2005 19:40 16.553 KB894391.log
14.09.2005 19:40 16.643 KB890859.log
14.09.2005 19:29 5.052 KB893803v2.log
14.09.2005 19:28 6.994 KB898461.log
14.09.2005 19:04 829 OEWABLog.txt
14.09.2005 19:04 936 wmsetup.log
14.09.2005 19:04 694.677 setuplog.txt
14.09.2005 19:01 8.192 REGLOCS.OLD
14.09.2005 19:00 630 setuperr.log
14.09.2005 18:59 0 control.ini
14.09.2005 18:59 316.640 WMSysPr9.prx
14.09.2005 18:59 4.161 ODBCINST.INI
14.09.2005 18:57 749 WindowsShell.Manifest
14.09.2005 18:56 1.023 sessmgr.setup.log
14.09.2005 18:55 37 vbaddin.ini
14.09.2005 18:55 36 vb.ini
14.09.2005 18:55 133 DtcInstall.log
14.09.2005 18:51 200 cmsetacl.log


Verzeichnis von C:\

05.01.2006 15:49 0 sys.txt
05.01.2006 15:48 6.081 system.txt
05.01.2006 15:47 129 systemtemp.txt
05.01.2006 15:47 89.294 system32.txt
05.01.2006 15:40 754.974.720 pagefile.sys
31.12.2005 14:39 211 boot.ini
14.09.2005 18:59 0 AUTOEXEC.BAT
14.09.2005 18:59 0 IO.SYS
14.09.2005 18:59 0 MSDOS.SYS
14.09.2005 18:59 0 CONFIG.SYS



Und das sind die Logs von HiJackThis:

Vom Notebook:


Logfile of HijackThis v1.99.1
Scan saved at 15:52:01, on 05.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Fast.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Launch Manager\LaunchAp.exe
C:\Launch Manager\HotkeyApp.exe
C:\Launch Manager\OSD.exe
C:\Launch Manager\OSDCtrl.exe
C:\Launch Manager\Wbutton.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\WALLPA~1\WALLPA~1.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\RMClock\RMClock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\thebluntblade\Desktop\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8088
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrVolOSD] C:\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Wallpaper4U] C:\PROGRA~1\WALLPA~1\WALLPA~1.EXE -w
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RMClock] C:\Programme\RMClock\RMClock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.ogame.de
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O20 - Winlogon Notify: OdysseyClient - C:\WINDOWS\
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: HDD Temperature Enterprise Server (HDDTempNetServer) - Unknown owner - C:\Programme\PalickSoft\HDD Temperature Enterprise\HDDNetTempServer.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe


Vom Server:


Logfile of HijackThis v1.99.1
Scan saved at 15:54:07, on 05.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\dhcpsrv1.5\dhcpsrv.exe
C:\Programme\NettalkIRCD\NettalkIRCD.exe
C:\Programme\OpenVPN\bin\openvpnserv.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\OpenVPN\bin\openvpn.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\Programme\MiniWebserver\MiniWebServer.exe
C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - Startup: eMule.lnk = C:\Programme\eMule\emule.exe
O4 - Startup: WEB-Server.lnk = C:\Programme\MiniWebserver\MiniWebServer.exe
O4 - Global Startup: FTP-Server.lnk = C:\Programme\MRSoft\PFTPPRO\PFTPPRO.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AAB178F-9717-4DD1-A680-E22EAF12DEEF}: NameServer = 10.11.3.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{57A85B87-2442-4B7C-8F6A-80237C61C93C}: NameServer = 10.11.3.91
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DHCP Server (DHCPServer) - Uwe A. Ruttkamp - C:\Programme\dhcpsrv1.5\dhcpsrv.exe
O23 - Service: NettalkIRCD (NtIrcd) - Nicolas Kruse - C:\Programme\NettalkIRCD\NettalkIRCD.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)


So.
Danke für die schnelle Hilfe.
Aber nochmal zu meinen Fragen.
Wird Winfixer im Lan übertragen?Sind die anderen PCs im LAN gefärdet?
sollte ich da auch mal alles durchlaufen lassen und posten? (auf denen sind bisher keine Anzeichen von winfixer)

cya
tbb

#4 Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

Vom Notenook:

C:\WINDOWS\system32\UTLDEFI.WLL
C:\WINDOWS\system32\ws344069.ocx
__________
MfG Sabina

rund um die PC-Sicherheit

#5 bei
C:\WINDOWS\system32\UTLDEFI.WLL
wurde bei keinem der scanner ein virus gefunden,also spar ich mir das posten.
bei
C:\WINDOWS\system32\ws344069.ocx
wurde auch bei keinem ein virus gefunden

#6 scanne bitte mit Counterspy und poste dann den scanbericht
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ist es empfehlenswert die überwachungsfunktion von counterspy zu aktivieren?

also
counterspy hat auf dem notebook

11x cydoor (hab nen screenshot von den fundorten gemacht, falls ich hnposten soll bescheid sagen)
ICanNews
RBot.steam (is bei CS1.6 drinne gewesen)
Cok.ad.yieldmanager (Cookie)
CGI-Bin Cookie)
Stat.Onestat Cookie)
UltraVNC (is von mir installiert)

gefunden

hab die jeweils empfohlene aktion ausgeführt
die ersten 3 in quarantäne (soll ich die löschen? )
den rest entfernt bis auf vnc

auf dem server
wurde nur vnc und der RBot.steam entdeckt, den hab ich gelöscht.

#8 dann verstehe ich nicht, wieso du die winfixer meldungen bekommst, denn Counterspy ist eigentlich ein sicherer TIP,, um Winfixer zu entfernen.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 also bisher kamen keine meldungen mehr.
ich hoffe es kommen auch keine mehr.
hat winfixer vlt auch was mit cadoor zu tun,weil das hat er ja gefunden gehabt und in der beschreibung zu cydoor in counterspy stand ja dass IE fenster erscheinen.
kennst du eine liste mit programmen die cydoor mitbringen,hab keine gefunden.