#1 26. November 2005 Mit bietet immer ein PopUp an ich soll WinFixer con WinFixer.xom installieren um Sytemfröste zu vermeiden die hab ich im mOment sehr stark wollte fragen ob das Proggy irgendnen Spaware scheis ist oder ob man das schon nehmen kann ? thx für eure antworten undertaker2
#2 26. November 2005 http://securityresponse.symantec.com/avcenter/FixVundo.exe das teil downloaden, und im abgesicherten modus ausführen, sollte dein problem lösen. aber ich hab es nicht getestet, das war nur der erste treffer mit google. was ich dir empfehlen möchte ist mach nen hijackthis logfile (HijackThis Logfileauswertung) und poste dein logfile hier, damit es anständig analysiert werden kann. außerdem rate ich dir zu einem online virenscan bei panda poste auch dieses pogfile hier. mfg spotting
#3 26. November 2005 Logfile of HijackThis v1.99.1 Scan saved at 17:05:22, on 26.11.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Mouse Driver\mousedriver.exe C:\WINDOWS\System32\nfomon\nfomon.exe C:\WINDOWS\System32\vidmon\vidmon.exe C:\Programme\AVPersonal\AVGNT.EXE c:\programme\internet explorer\iexplore.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\phonostar\ps_agent.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\Spyware Doctor\swdoctor.exe C:\WINDOWS\System32\ZoneLabs\vsmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Photodex\ProShowGold\ScsiAccess.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Tobias Rimbach\Desktop\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: ATLDistrib Object - {659E147E-BD03-4605-988C-AA6D7EA497CA} - C:\WINDOWS\System32\geedb.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [odtomkml] C:\WINDOWS\System32\kuawdfud.exe O4 - HKLM\..\Run: [ocF1qi] C:\WINDOWS\wosifkj.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Tools1] C:\Programme\Tools1.de-Surfbar\surfbar.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator 7 Pro\CheckNewUser.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Play-in] C:\Programme\surfbar.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Microsoft SDKP2] mswinsdp.exe O4 - HKLM\..\Run: [RcNB Test] blda32a.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [SANSUNMouse ] C:\Programme\Mouse Driver\mousedriver.exe O4 - HKLM\..\Run: [Audio Driver] C:\WINDOWS\System32\msadrv.exe O4 - HKLM\..\Run: [timessquare] c:\windows\timessquare.exe O4 - HKLM\..\Run: [Nfo] C:\WINDOWS\System32\nfomon\nfomon.exe O4 - HKLM\..\Run: [vidmon] C:\WINDOWS\System32\vidmon\vidmon.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [adtech2005] c:\windows\adtech2005.exe O4 - HKLM\..\Run: [NI.UWFX5U_0001_N56M1711] "C:\Dokumente und Einstellungen\Tobias Rimbach\Desktop\WinFixer2005ScannerInstallDE.exe" -nag O4 - HKLM\..\RunServices: [Microsoft SDKP2] mswinsdp.exe O4 - HKLM\..\RunServices: [RcNB Test] blda32a.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [Microsoft SDKP2] mswinsdp.exe O4 - HKCU\..\Run: [RcNB Test] blda32a.exe O4 - HKCU\..\Run: [radarspy] C:\WINDOWS\nwc.exe O4 - HKCU\..\Run: [NWC] C:\WINDOWS\nwc.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: ArchiCrypt Stealth - {5A62567B-9F3A-468A-8200-E7D33EA8845B} - C:\Programme\ArchiCrypt Stealth 3\ACStealth3.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by12fd.bay12.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {69FD62B1-0216-4C31-8D55-840ED86B7C8F} - http://installs.hotbar.com/installs/hotbar/programs/hotbar.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B5A54A5B-00EF-4E8D-A81F-B333BE32D653}: NameServer = 194.97.173.124 194.97.173.125 O20 - Winlogon Notify: geedb - C:\WINDOWS\System32\geedb.dll O20 - Winlogon Notify: Shell - C:\WINDOWS\system32\tpbyuv.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ScsiAccess - Unknown owner - C:\Programme\Photodex\ProShowGold\ScsiAccess.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing) hioer mal das logfile ich hab die au alle fixxen lassen EDIT: Bei mir kommt immer "das bearbeiten der registrierung wurde durch den admin deaktiviert und auch das gleiche bei dem taskmanager was kann das sein ? thx undertaker2
#4 26. November 2005 was soll das heißen, du hast die alle fixxen lassen? hmmm.... das programm listet dir alles auf, das in deinem system ist, (naja, fast alles) wenn du alles fixxed, löschst du systemdateien, die von windows benötigt werden. naja, wie dem auch sei, dein logfile ist sehr verseucht. einfache und schnelle lösung ist format c: dauer 2 stunden effekt, du hast dann ein sauberes system alternative. ich schau das logfile mal genauer an. dauer mir 10 minuten schreibe daraufhin ne anleitung, wie du das sauber bekommst. dauer mir 20 minuten du arbeitest dich durch die anleitung dauer dir 1-2 stunden du machst dann ein neues logfile, und noch ein paar scans, die ich dir empfehle dauer dir 10 - 24 stunden dann kann es sein, das alles nochmal von vorne anfängt. wie dem auch sei, wenn ich das alles auswerten soll, sag bescheid. bring aber ne menge zeit mit. und mach vorher diese dinge. 1. ccleaner um die temp. dateien zu löschen 2. online virenscan von pande. und das logfile posten. 3. die programme killbox und ewido auf deinen pc bringen (ewido ist ein virenscanner beim instllieren wenn du gefragt wird, den hintergrundwächter nicht aktivieren/installieren) mach mit ewido ebenfalls einen scan, und poste das logfile hier. mfg spotting