Wie auch zur hartnäckigen Adware SpySheriff häufen sich nun die Anfragen zu Winfixer.
Auch hier schaffen Tools nur gewisse Abhilfe. Trotzdem haben einige User WinFixer erfolgreich beseitigen können.
WinFixer ist ein suspektes Optimierungs-AntiVirus-Tool und fordert den Anwender mit Popups auf, das Programm zu kaufen. Wir gehen davon aus, dass die "
Firma" hinter diesen ganzen Programmen ein und dieselbe sein wird. Wenn zu viele Methoden gegen die Software entwickelt wurden oder der Name zu negativ belastet ist, dann "
verkauft" man eben ein neues Produkt. Nicht umsonst sehen
SpyTrooper und
SpySheriff identisch aus in der Oberfläche.
Neuer Name - selbes Produkt: Antivirus 2008 bzw. Antivirus 2008 Pro, Antivirus2009, WinAntivirusPro, WinAntiVirus 2004, WinAntiVirus 2005 Pro Trial, Windows Antivirus 2008, XP Antivirus (XPAntivirus2008), AntivirusPCSuite, AntiVirus XP 2008 (AntivirusXP2008), SystemAntivirus2008 (System Antivirus 2008), VistaAntivirus2008 (Vista Antivirus 2008), Antivir64 (Antivir 64), Power Antivirus 2009 (Power-Antivirus-2009, PowerAntivirus), SichererSchutz, AntiSpionage Pro, VirusSchlacht, PCSecureSystem, AntieSpiaDorado, AntivirusMagique, AVSystemCare, WinSpyControl, VirusGarde, ProtectionAssuree, TrustedAntivirus (TrustedProtection), AdwareDelete, AntiVirus Gold (AntivirusGold), AntivirusGolden, SpywareStrike, SpyKillerPro, TotalSecure (Total Secure), PC Drive Tool, PCPrivacyTool, etc.
Empfohlene AntiViren-Software, die ähnlich im Namen klingen und leicht verwechseln werden können:
CA eTrust Antivirus (PestPatrol),
AntiVirenKit (AVK), H+BEDV
AntiVir (Avira),
McAfee Antivirus (
VORSICHT: Mcaffe Antivirus),
eScan AntiVirus (MicroWorld Free AntiVirus),
Etrust Antivirus,
Anti-Spyware (F-Secure Internet Security, UPC SmartGuard, F-Secure Anti-Spyware), Trend Micro PC-Cillin
Antivirus,
PC Tools AntiVirus.
Den Schädling fängt man sich nur bei aktiviertem JavaScript (Internetoptionen/Sicherheit/Active Scripting) ein.
Der Thread dient als eine Zusammenstellung möglicher Lösungswege.
Es werden hier auch Registry-Tipps gegeben - wer sich nicht in der Registry auskennt oder gar nicht weiß, was die Registry ist, sollte zuerst den Artikel
Registry Guide lesen. Über Start - Ausführen - regedit (bzw. regedt32, je nach BS-Version) wird der Registryeditor (Registry) gestartet.
WinFixer setzt sich aus mehreren Adware-Anwendungen zusammen. Die bekanntesten sind:
SurfAccuracyLook2MeVirtumonde (Vundo)
Die Anwendung nennt sich WinFixer, Win Fixer, WinFixer 2004, WinFixer 2005, WinFixer 2006, WinFix, WinAntiVirus, WinAntiVirus 2005 Pro Trial. Die Hersteller sind winantispyware.com, winsoftware.com, softwareprofit.com, winantivirus.com, de.winfixer.com.
WinFixer legt einen Ordner
WinSoft oder
WinAntiVirus unter »C:\Programme\Gemeinsame Dateien« ab. Unter »C:\Programme« findet man den Ordner
WinFixer 200x oder
WinAntiVirus 200x Pro Trial. Folgende Dateien beinhalten diese Ordner:
AVSvc.exe
AVSchSvc.exe
AVTray.exe
CrXML.dll
cs_srv.exe
mailscan.dll
pcheck.dll
pgeng.exe
Quar.exe
updater.exe
uwfx5.exe
VapFM.exe
wff.exe
wfxscanr.exe
wfx5.exe
WFX5EXC.exe
WinAV.exe
winfixer2005setup.exe
WinFixer2005ScannerSetup.exe
winpgi.dllIm Ordner »C:\Windows\
Downloaded Program Files« oder »C:\Windows\Downloaded Program Files\
CONFLICT.[Zahl]\« und »C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temporary Internet Files\
Content.IE5\********« (* = Zahlen- und Buchstabenkombination) legt WinFixer folgende bekannte EXE-Dateien ab:
upd209.exe
upd209[1].exe
UWFX5UNetInstaller.exe
UWFX5LP_0001_0614NetInstaller.exe
UWFX5LP_0001_0715NetInstaller.exe
UWFX5LP_0001_0802NetInstaller.exe
UWFX5U_0001_N56M1711NetInstaller.exe
UWFX5U_0001_LPNetInstaller.exe
UWFX5_0001_ni53TestNetInstaller.exe
UWFX5_0001_n56m0311NetInstaller.exe
WAS5Scan.exe
WAS5Scan[1].exe
WAS5Scan.cab
WAS5Scan[1].cab
WinFixer2005ScannerInstallDE.exe
WinFixer2005ScannerInstallDE[1].exe
WinFixer2005ScannerInstall.cab(Zahlen können abweichen)
Im Ordner C:\Windows\
Prefetch kann sich WinFixer auch verstecken, Beispiel
WFF.EXE-1D35F413.pf (Zahlenkombination kann abweichen).
Auch werden einige (leider zu viele) Exe- und DLL-Dateien im Verzeichnis »C:\Windows\
system32« (<--
sbas.dll,) und »C:\Windows\system32\
drivers« (<--
df_kmd.sys,
wff.sys) abgelegt.
So weit wie möglich Exe-, DLL-Dateien und Ordner im
abgesicherten Modus [F8] löschen. Im Windows-Explorer - Ordneroptionen - Ansicht - "Versteckte Dateien und Ordner" -
Alle Dateien und Ordner anzeigen aktivieren sowie "
Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Das Tool
HijackThis listet Einträge auf, wo sich WinFixer verstecken könnte und zeigt auch die Einträge im system32-Verzeichnis an.
Im "Systemstart" (Autostart) unter Start - Ausführen -
msconfig die Einträge kontrollieren - unter "Befehl" sieht man die exe-Dateien zum jeweiligen Programm.
Können gewisse Einträge nicht zugeordnet werden, hilft ein Blick in die
Spyware-Liste auf WinTotal.
Auch in dem Ordner C:\Dokumente und Einstellungen\USERNAME\Startmenü\Programme\
Autostart kann sich VirtuMonde bzw. WinFixer verstecken.
Die Deaktivierung der
Systemwiederherstellung (BS-abhängig) nicht vergessen.
Temporary Internet Files, Cookies, Verlauf und Papierkorb für
ALLE Benutzer löschen.
Pfade:
C:\Dokumente und Einstellungen\[Username]\Lokale Einstellungen\Temporary Internet Files
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files
C:\Dokumente und Einstellungen\[Username]\Lokale Einstellungen\Temp\
C:\TEMP
C:\WINDOWS\Temp
C:\Dokumente und Einstellungen\[Username]\Cookies
C:\Dokumente und Einstellungen\[Username]\Lokale Einstellungen\Verlauf
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf
Am besten im abgesicherten Modus löschen oder ein Tool dafür nehmen. Freeware-Tools gibt es auf Wintotal, zum Beispiel
CleanCache oder
CCleaner.
In der »Systemsteuerung - Software« Einträge wie zum Beispiel »SurfAccuracy« deinstallieren.
Look2Me Remover Tool downloaden und ausführen.
Für VirtuMonde:
Adware.VirtuMonde Removal Tool oder/und
Trojan.Vundo Removal Tool.
Datenträgerbereinigung (Programme - Zubehör - Systemprogramme) ausführen.
In der Registry folgende Unterschlüssel kontrollieren:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
sowie unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
Run
RunOnce
RunServices
RunServicesOnceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell REG_SZ =
Explorer.exemehr sollte da nicht stehen
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit REG_SZ =
C:\WINDOWS\system32\userinit.exe,Auch hier sollte hinter dem Komma von "userinit.exe" nichts Weiteres stehen. Stehen hier weitere Einträge nach dem Komma, können diese Einträge mit einem Doppelklick auf "Userinit" gelöscht werden, so dass nur "userinit.exe" mit dem Komma noch da steht.
So sollte es aussehen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notifyalle Unterschlüssel von "Notify" kontrollieren. Unter "Wert" stehen DLLs mit und ohne Pfadangabe unter
DLLName. Hier kann durch Google oder mit Hilfe der Spyware-Liste ausfindig gemacht werden, zu welchen Programm die DLLs gehören.
Beispiel: Der Unterordner
jkhgh beinhaltet die
jkhgh.dll im Verzeichnis C:\Windows\system32. In diesem Fall gehört die DLL zur Adware Vundo und der Unterschlüssel "jkhgh" kann mit Rechtsklick gelöscht werden.
HKEY_LOCAL_MACHINE\Software\
WinSoftwareHKEY_CURRENT_USER\Software\
WinSoftwareDen Unterschlüssel "WinSoftware" mit Rechtsklick löschen.
HKEY_LOCAL_MACHINE\Software\
SAccDen Unterschlüssel "SAcc" löschen, es können auch mehrere Unterschlüssel vorhanden sein - wie
SAcc accid oder
SAcc Version.
HKEY_Current_USER\Software\Microsoft\Internet Explorer\main\
hpded oder
spdedFalls vorhanden "hpded" und/oder "spded" löschen.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\
LEGACY_WFFDen Unterschlüssel "LEGACY_WFF" löschen.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\
LEGACY_DF_KMDDen Unterschlüssel "LEGACY_DF_KMD" löschen.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
wffDen Unterschlüssel "wff" löschen.
Auch
ControlSet001,
ControlSet002 und
ControlSet003 (soweit vorhanden) statt "CurrentControlSet" kontrollieren.
Weitere Hilfestellung zum Thema WinFixer:
http://virus-protect.org/artikel/spyware/winfix.htmlIn einigen Fällen half
Microsoft Antispyware bzw.
Windows® Defender für Betriebssysteme ab Windows 2000 unter Internet-Explorer 6.0
Anmerkungen bzw. andere Lösungsmöglichkeiten bitte per Mail oder KN an mich, ggf. werden sie hier mit aufgenommen. Danke!
Viel Erfolg
pan_fee
