# Was ist denn das? "WinFixer" - Popup



## Tonguru (10 Februar 2006)

Suchte gerade nach einer Preisliste, klickte auf ein Gästebuch und bekam einen Schreck - habe seit langem kein Popup mehr serviert bekommen, das mir etwas aufdrängen möchte (s. Screenshot 1).
Popup trotz Firefox mit aktiviertem Blocker!

Schließen war nicht möglich, beim Versuch öffnete sich auf meinem 2. Monitor (!) mein Firefox-Browser erneut und mein System wurde angeblich gescannt (Screenshot 2):

http:/ /www.winfixer.com/download/2006/index.php?aid=arb_de__ed2&lid=in&ex=1&p=&ax=1

Auch hier war ein Schließen nicht möglich.
Es folgten noch 2 weitere Popups, welche mir in englischer Sprache die Notwendigkeit, die offerierte Software zu akzeptieren, ein-/auf-dringlich suggerierten, bevor ich den Browser endlich beenden konnte.

Das sieht mir nach nix Gutem aus und erinnert mich irgendwie sehr an die ersten Dialer...


Gruß,
Tonguru


----------



## christian in wien (10 Februar 2006)

hatte ich auch gerade ...

hab den computer nach spyware überprüft mit Spybot und mit dem spyware scanner von meiner firewall, konnte aber nichts finden ausser 3 verfolgender cookies von "winfixer".

verwende auch firefox, version 1.5.0.1, spybot mit den regeln von heute (10.02.2006) und die outpost firewall version 3.5.


----------



## Tonguru (10 Februar 2006)

Hallo Christian, 

habe gerade mal etwas gegoogelt - wir sind nicht alleine, das scheint schon eine Epidemie zu sein:

http://www.wintotal-forum.de/index.php/topic,100715.0.html

http://www.pcwelt.de/forum/showthread.php?t=191497

http://www.pcfreunde.de/forum/thema-807-1/winfixer-plage.html

Wundert mich allerdings, daß ich hier im Forum noch nichts darüber finden konnte


----------



## Devilfrank (11 Februar 2006)

It´s nasty und geistert seit November/ Dezember durchs Netz.
http://securityresponse.symantec.com/avcenter/venc/data/winfixer.html


----------



## Aka-Aka (11 Februar 2006)

s.a. hier.
In der Szene gibt's das schon länger "payperdownload". Da gibt es ja jede menge dieser seltsamen Programme...


> WinFixer sponsors an affiliate program via www.softwarepr****.com. Webmasters participating in the program are paid according to the sales generated from installation.



Auch diese Firma ist in der Ukraine registriert, ihre Stats laufen aber über Uruguay, was nicht ganz unbedeutsam ist, was ich aber hier nicht weiter ausführen möchte :stumm:
Die Adresse in Uruguay ist ja ohnehin ähnlich nichtssagender Quatsch wie die in Kiev...
s.a.
http://www.wintotal-forum.de/index.php/topic,100715.0.html
(wurde das schon verlinkt?)


----------



## advisor (11 Februar 2006)

Hier gibt es eine aktuelle Liste bösartiger Anti-Spyware Tools:
http://www.2-spyware.com/corrupt-anti-spyware
http://www.spywarewarrior.com/rogue_anti-spyware.htm

http://research.sunbelt-software.co...name=misc.winsoftware.winfixer&threatid=40196


----------



## Captain Picard (11 Februar 2006)

Ein "beliebtes" Einfallstor  ist der  bei vielen Usern noch immer nicht gepatchte WMF  Exploit 

http://www.heise.de/security/news/meldung/67833

User mit IE werden sofort eingemüllt, User mit FF mit  Bestätigung der Nachfrage, womit das Bild geöffnet werden soll

cp


----------



## christian in wien (11 Februar 2006)

sodala,

also, hab jetzt mit zwei virenprogrammen scans durchgeführt (antivir und norten), hab die in den quellen angegebenen registry-einträge gesucht, die programmeinträge gesucht, usw ...

ich finde nichts, weder hat ein virenscanner etwas bemerkt, noch konnte spybot oder das spyware-programm der firewall etwas finden. selbst die suche von hand nach den registryeinträgen und den programmeinträgen hat nichts gebracht, es ist anscheinend nichts da. das fenster ist auch nicht wieder aufgetaucht bis jetzt, momentan weiß ich nicht weiter. einzig im firefox waren wieder 5 cookies von winfix.

windows ist auch auf automatisches update gestellt, das antivirprogramm aktualisiert sich einmal am tag, die firewall auch, ich weiß das ist kein vollständiger schutz (in den letzten 7 jahren hatte ich 5 viren, davon war allerdings ich selber an 3 schuld   ), irgendwie muß diesmal wieder was reingerutscht sein was ich noch nicht finde. ich werds weiter beobachten und bei gelegenheit berichten.


----------



## Devilfrank (11 Februar 2006)

Welcher Norton?
Der Spywareschutz ist erst ab 2005 integriert.

Die Entwicklung auch dieser Mistdinger bleibt ja nicht stehen.
Wenn Du des Englischen mächtig bist, gehts hier weiter:
http://www.dslreports.com/faq/13619


----------



## christian in wien (11 Februar 2006)

die neueste version von norten 2006, mit aktueller signatur, aber die 15 tägige testversion.

als spywareschutz verwende ich spybot, outpost firewall und als virenscanner normalerweise antivir.

danke für den link    und für die hilfe  


hab die prozedur die der link oben empfiehlt mal gemacht, ergebniss ist das das programm sagt es gäbe keine infektion.

mal sehen ob sich nochmal was tut

edit:

hab zwei weitere tools getestet, keins kann eine infektion erkennen.

ich denke das fenster wurde irgendwie eingeschleust, aber es konnte sich nichts auf dem computer festsetzen, vielleicht hab ich glück gehabt.


----------



## christian in wien (18 Februar 2006)

so, jetzt ist eine woche rum, es ist nichts mehr aufgetaucht, in der registry kann ich nichts finden, kein antivirenprogramm findet was usw ...


woher es kam, keine ahnung, es muß ein einzelnes popup gewesen sein, wie es durchkam, keine ahnung, aber anscheinend ist der rechner sauber ....

danke an alle für die hilfe un die guten links


----------

