Home » Spyware & Browser Hijacker Support Forum » WinFixer PopUps » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

WinFixer PopUps

28.02.2006, 11:34

Sabina

Ehrenmitglied

Beiträge: 29434

#16 manuincolae

es ist alles wieder in Ordnung

__________
MfG Sabina

rund um die PC-Sicherheit

28.03.2006, 21:27

Schraenky

Member

Beiträge: 22

#17 Hallo,

bin mal wieder hier wegen dem WinFixer-Problem und bitte um Hilfe.

Hier mein Hijack-Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:26:53, on 28.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\MediaGateway\MediaGateway.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\download\Anwendungen\Stardate Neu\stardate.exe
c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\fwebprot.exe
C:\Dokumente und Einstellungen\Ralph Ringwald\Eigene Dateien\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DosSpecFolder Object - {1AE6D7D5-0C28-4DB6-9FD1-33B870A4C5F2} - C:\WINDOWS\system32\awtst.dll
O2 - BHO: Neopets - {CD292324-974F-4224-D074-CACA427AA030} - C:\Programme\Neopets\Toolbar\Toolbar.dll
O3 - Toolbar: Neopets - {CD292324-974F-4224-D074-CACA427AA030} - C:\Programme\Neopets\Toolbar\Toolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [MediaGateway] C:\Programme\MediaGateway\MediaGateway.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Stardate.lnk = C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\download\Anwendungen\Stardate Neu\stardate.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {579FC5F5-F9FE-451C-A0DC-2F7FF46F9597} (PTV xVectorMap Plugin 2.0) - http://xvectormap.ptv.de/xvectormap/PTVxVectorMap20.cab
O16 - DPF: {853B7AC5-1DC9-484C-972B-479E790D4A4D} (CVxChatControl Object) - http://www.visit-x.net/downloads/applet/853B7AC5-1DC9-484c-972B-479E790D4A4D/8,0,0,9/cP-Client-80-light.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {98BFD494-F6AD-4794-9038-832C0654CC43} (AOL YGP UPF Ctrl) - http://meinefotos04.aol.de/ygp/aol/plugin/upf/YGPUPF.de-DE.9.2.4.0.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D3E33EA6-92BF-444E-9DF3-E7F879F2006F} (TSRFileManagerXControl Control) - http://sims2.thesimsresource.com/TSRInstallationWizard.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B484BC1-CC2A-4A24-AFE9-BFE1DA3F4068}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B484BC1-CC2A-4A24-AFE9-BFE1DA3F4068}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: awtst - C:\WINDOWS\system32\awtst.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

29.03.2006, 00:02

Sabina

Ehrenmitglied

Beiträge: 29434

#18 Schraenky

1.
arbeite den vundo.fix ab (und poste den scanreport)
http://virus-protect.org/artikel/tools/vundofixx.html

Zitat

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

O2 - BHO: DosSpecFolder Object - {1AE6D7D5-0C28-4DB6-9FD1-33B870A4C5F2} - C:\WINDOWS\system32\awtst.dll
O2 - BHO: Neopets - {CD292324-974F-4224-D074-CACA427AA030} - C:\Programme\Neopets\Toolbar\Toolbar.dll
O3 - Toolbar: Neopets - {CD292324-974F-4224-D074-CACA427AA030} - C:\Programme\Neopets\Toolbar\Toolbar.dll
O4 - HKLM\..\Run: [MediaGateway] C:\Programme\MediaGateway\MediaGateway.exe

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab

O20 - Winlogon Notify: awtst - C:\WINDOWS\system32\awtst.dll

3.
PC neustarten

4.
deinstallieren:
C:\Programme\Neopets
C:\Programme\MediaGateway

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

5.
counterspy
http://virus-protect.org/counterspy.html

* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove --> Status: Deleted
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport a
__________
MfG Sabina

rund um die PC-Sicherheit

29.03.2006, 16:39

Schraenky

Member

Beiträge: 22

#19 Hallo Sabina,

habe die Schritte der Reihe nach durchgeführt. Jedoch weiß ich nicht genau, welche Scanreports du nun meinst. Habe weder bei Vundo noch bei Counterspy sowas entdecken können.

die beiden Einträge

O2 - BHO: DosSpecFolder Object - {1AE6D7D5-0C28-4DB6-9FD1-33B870A4C5F2} - C:\WINDOWS\system32\awtst.dll
O20 - Winlogon Notify: awtst - C:\WINDOWS\system32\awtst.dll

waren nicht mehr im Hijack-Log, konnte sie demnach auch nicht "fixen".

29.03.2006, 17:49

Sabina

Ehrenmitglied

Beiträge: 29434

#20 Schraenky

mache nun bitte einen Onlinescan mit Panda und poste unbedingt den Scanreport

http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

01.04.2006, 03:06

Schraenky

Member

Beiträge: 22

#21 Hallo,

also das Popup scheint weg zu sein,..hier der report:

Incident Status Location

Potentially unwanted tool:application/altnet Not disinfected HKEY_CLASSES_ROOT\Interface\{CE9B37EC-D243-47A2-83DB-3A8350175193}
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@2o7[2].txt
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@adtech[2].txt
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@advertising[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@atdmt[2].txt
Spyware:Cookie/Bfast Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@bfast[1].txt
Spyware:Cookie/Casalemedia Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@casalemedia[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@doubleclick[2].txt
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@fastclick[2].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@mediaplex[1].txt
Spyware:Cookie/Paypopup Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@paypopup[1].txt
Spyware:Cookie/Overture Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@perf.overture[1].txt
Spyware:Cookie/Qsrch Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@qsrch[2].txt
Spyware:Cookie/QuestionMarket Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@questionmarket[2].txt
Spyware:Cookie/RealMedia Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@realmedia[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@sel.as-eu.falkag[2].txt
Spyware:Cookie/onestat.com Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@stat.onestat[2].txt
Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@statse.webtrendslive[1].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@tradedoubler[2].txt
Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@tribalfusion[2].txt
Spyware:Cookie/Xiti Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@xiti[1].txt
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@2o7[2].txt
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@adtech[2].txt
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@advertising[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@atdmt[2].txt
Spyware:Cookie/Bfast Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@bfast[1].txt
Spyware:Cookie/Casalemedia Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@casalemedia[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@doubleclick[2].txt
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@fastclick[2].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@mediaplex[1].txt
Spyware:Cookie/Paypopup Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@paypopup[1].txt
Spyware:Cookie/Overture Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@perf.overture[1].txt
Spyware:Cookie/Qsrch Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@qsrch[2].txt
Spyware:Cookie/QuestionMarket Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@questionmarket[2].txt
Spyware:Cookie/RealMedia Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@realmedia[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@sel.as-eu.falkag[2].txt
Spyware:Cookie/onestat.com Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@stat.onestat[2].txt
Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@statse.webtrendslive[1].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@tradedoubler[2].txt
Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@tribalfusion[2].txt
Spyware:Cookie/Xiti Not disinfected C:\Dokumente und Einstellungen\Ralph Ringwald\Cookies\ralph ringwald@xiti[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\RECYCLER\S-1-5-21-4143970251-850424955-3015618976-1008\Dc2\process.exe
Spyware:Spyware/Virtumonde Not disinfected C:\WINDOWS\system32\ljhih.dll

01.04.2006, 09:39

Sabina

Ehrenmitglied

Beiträge: 29434

#22 Schraenky

noch immer vorhanden, also , der PC ist noch nicht sauber..........

Zitat

Spyware/Virtumonde
C:\WINDOWS\system32\ljhih.dll

arbeite den vundo.fix ab (und poste den scanreport)
http://virus-protect.org/artikel/tools/vundofixx.html

danach ueberpruefe ich es noch mal:

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

01.04.2006, 21:42

KleineBlume

...neu hier

Beiträge: 2

#23 Hallo,

ich bin neu hier. Auf dem PC meines Vaters tauchen ebenfalls immer wieder Pop-ups von WinFixer auf, auch welche, die von einer Seite namens amaena.com kommen. Ich vermute, das ist das gleiche. Zudem erschienen schon vorher ab und zu Pop-ups und Verknüpfungen von Sex- und Glücksspielseiten. Seit dieser WinFixer da ist, kann man nicht einmal mehr über "Internetoptionen" die tmp-Dateien löschen, weil der PC kurze Zeit später abstürzt.

Auf dem PC lief lange Norton, jetzt ein anderer Antivirenwächter, dessen Name mir nicht bekannt ist. Mein Bruder und ich haben versucht, die Viren mit verschiedenen Antiviren- und Antispyware-Programmen (Norton, Antivir, Ad-Aware, Stinger, Spysubstract) zu bekämpfen, doch sie kamen immer wieder. Und ich kenne mich leider nicht so aus.

Hier ist das log-File von Hijackthis, ich hoffe, dass ihr helfen könnt:

Logfile of HijackThis v1.99.1
Scan saved at 21:08:57, on 01.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Lexmark 7100 Series\lxbxmon.exe
C:\Programme\Lexmark 7100 Series\ezprint.exe
C:\windows\system32\xycmofph.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\802.11 Wireless LAN\802.11b Wireless CardBus & PCI Adapter HW.11 V1.10\WlanCU.exe
C:\Programme\AntiVirus 2005\AVKService.exe
C:\Programme\AntiVirus 2005\AVKWCtl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lxbxcoms.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Hans\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Hans\LOKALE~1\Temp\sp.dll/sp.html
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\geebb.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\xvftn.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\system32\vturo.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [DLuxde] c:\program files\siteicons\dialers\dluxde\dluxde.exe /nocomm
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QOWZMQHN] c:\windows\system32\qowzmqhn.exe /install
O4 - HKLM\..\Run: [ture] c:\windows\system32\ture.exe /nocomm
O4 - HKLM\..\Run: [LXBXCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBXtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxbxmon.exe] "C:\Programme\Lexmark 7100 Series\lxbxmon.exe"
O4 - HKLM\..\Run: [FaxCenterServer4_in_1] "C:\Programme\Lexmark 7100 Series\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 7100 Series\ezprint.exe"
O4 - HKLM\..\Run: [wulasfs] c:\windows\system32\adwzmbr.exe r
O4 - HKLM\..\Run: [_WinProc] C:\WINDOWS\winfast.exe
O4 - HKLM\..\Run: [RtlFindVal] bingo9.exe
O4 - HKLM\..\Run: [AliceSD] xxtoolbar.exe
O4 - HKLM\..\Run: [xycmofph] c:\windows\system32\xycmofph.exe xycmofph
O4 - HKLM\..\Run: [dmtpp.exe] C:\WINDOWS\system32\dmtpp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [AliceSD] ATLIEHELPER.exe
O4 - HKCU\..\Run: [Brong32] bingo9.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11b Wireless CardBus & PCI Adapter HW.11 V1.10\WlanCU.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1023_EN_XP.cab
O16 - DPF: {1604DF98-D1A5-44FE-844A-98D6FD0518D0} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1060_XP.cab
O16 - DPF: {39EA2F6F-3F50-4F58-9C63-4B3D53B0926E} - http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1049_EN_XP.cab
O16 - DPF: {6AA85413-165C-4200-8154-71166077B22E} - http://scripts.downloadv3.com/binaries/IA/sysiasvc32_EN_XP.cab
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_EN_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83BA44A7-D418-45D4-A89E-D70D48C14D60}: NameServer = 85.255.114.83,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{F670A237-8954-4D13-93B6-3C6DCD66D64B}: NameServer = 85.255.114.83,85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{83BA44A7-D418-45D4-A89E-D70D48C14D60}: NameServer = 85.255.114.83,85.255.112.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{83BA44A7-D418-45D4-A89E-D70D48C14D60}: NameServer = 85.255.114.83,85.255.112.5
O20 - Winlogon Notify: geebb - C:\WINDOWS\SYSTEM32\geebb.dll
O20 - Winlogon Notify: pmkjj - C:\WINDOWS\system32\pmkjj.dll (file missing)
O20 - Winlogon Notify: vturo - C:\WINDOWS\system32\vturo.dll
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirus 2005\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirus 2005\AVKWCtl.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: lxbx_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbxcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

01.04.2006, 23:17

Sabina

Ehrenmitglied

Beiträge: 29434

#24 KleineBlume

auf diese Reinigung lasse ich mich nicht ein
C:\Programme\UnSpyPC usw. usw.
Die Internetverbindung geht in die Ukraine. (Wareout)

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{83BA44A7-D418-45D4-A89E-D70D48C14D60}: NameServer = 85.255.114.83,85.255.112.5

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

du musst formatieren, der PC ist, wie man so schoen sagt...hinueber.
Und richte deinem Vater aus, dass er mit mehr Bedacht surfen soll.
Es gibt Seiten, die man besser meidet, wenn man nicht jede Woche neu formatieren will
__________
MfG Sabina

rund um die PC-Sicherheit

02.04.2006, 14:00

KleineBlume

...neu hier

Beiträge: 2

#25 Hallo Sabina!

Vielen Dank für deine Hilfe.
Mein Bruder wird den PC bald neu formatieren.

Viele Grüße und Dank - KleineBlume

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2