was ist spywarequake

Dieses Thema im Forum "Sicherheit" wurde erstellt von lufis, 26. März 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. lufis

    lufis ROM

    Registriert seit:
    3. Mai 2002
    Beiträge:
    7
    Hallo zusammen
    trotz McAffee und Norton AV hat das Programm
    "spywarequake" sich bei mir installiert und jetzt werde ich es nicht mehr los.
    Deinstallieren geht nicht mit Norton, da es irgendwie immer läuft, von Hand registry aufräumen gelingt auch nicht vollständig, da es sich selbt wieder installiert. Spybot bringt auch nichts und ad-aware SE auch nicht. Kann mir jemand schreibnen, wie man das Ding wieder los wird ?
    Kann mir wer helfen:bitte:
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    na toll, die Seuche geht weiter, Spy Quake ist die neueste Variantion der Smitfraudfamilie (Spyaxe, Spysheriff, Spyware Falcon usw.)
    Poste mal ein HijackThis Log wie hier beschrieben.
    Außerdem löschst du mal deine Temp Dateien mit Cleanup! und postest die vier Logfiles der Datfind.bat, aber nur die Dateien des letzten Monats abkopieren!


    Grüße Jasager
     
  3. lufis

    lufis ROM

    Registriert seit:
    3. Mai 2002
    Beiträge:
    7
    Hi, ich hoffe ich habe alles richtig gemacht

    http://www.hijackthis.de/logfiles/948b3c809ba38d44d1eaf66bbef1ddee.html

    atentr„ger in Laufwerk C: hat keine Bezeichnung.
    Datentr„gernummer: A420-F7FD

    Verzeichnis von C:\WINNT\system32

    27.03.2006 15:50 0 ncompat.tlb
    27.03.2006 14:25 16.384 Perflib_Perfdata_948.dat
    27.03.2006 14:22 31.757 ldB09D.tmp
    26.03.2006 12:25 16.384 Perflib_Perfdata_984.dat
    26.03.2006 12:23 16.384 Perflib_Perfdata_6d8.dat
    26.03.2006 09:59 16.384 Perflib_Perfdata_8ec.dat
    26.03.2006 01:49 0 Perflib_Perfdata_6f4.dat
    25.03.2006 21:29 16.384 Perflib_Perfdata_900.dat
    25.03.2006 21:27 6.656 interf.tlb
    25.03.2006 21:27 35.840 hp9314.tmp
    25.03.2006 21:13 17.376 nvctrl.exe
    25.03.2006 17:03 176.128 stickrep.dll
    25.03.2006 17:03 4.286 ot.ico
    25.03.2006 10:58 16.384 Perflib_Perfdata_6ec.dat
    24.03.2006 16:00 15.645 dfrgsrv.exe
    23.03.2006 07:46 16.384 Perflib_Perfdata_678.dat
    21.03.2006 16:09 16.384 Perflib_Perfdata_504.dat

    Datentr„ger in Laufwerk C: hat keine Bezeichnung.
    Datentr„gernummer: A420-F7FD

    Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

    27.03.2006 15:45 11.577 hijackthis.log
    27.03.2006 15:43 126.976 sa16.exe
    27.03.2006 15:33 0 017928
    27.03.2006 14:24 219 TWAIN.LOG
    27.03.2006 14:24 156 Twunk001.MTX
    27.03.2006 14:24 2 Twain001.Mtx
    27.03.2006 14:24 32.723 SQLanguage.ini
    27.03.2006 14:23 2.983.247 sa1.exe
    27.03.2006 14:19 1.765.376 sa4.exe
    27.03.2006 14:17 10.134 dat5.tmp
    27.03.2006 14:15 32.768 ~DFCB90.tmp
    26.03.2006 13:22 0 014841
    26.03.2006 12:25 0 Twunk002.MTX
    26.03.2006 11:44 2.983.247 sa6.exe
    23.03.2006 20:33 118 0CF6E057.TMP
    21.03.2006 22:14 122 8A56EAB7.TMP
    23.01.2006 15:36 429 datFind.bat

    Datentr„ger in Laufwerk C: hat keine Bezeichnung.
    Datentr„gernummer: A420-F7FD

    Verzeichnis von C:\WINNT

    27.03.2006 15:15 211 uno.ini
    27.03.2006 14:22 1.931.128 WindowsUpdate.log
    27.03.2006 14:19 32.368 SchedLgU.Txt
    26.03.2006 12:14 24.632 ntbtlog.txt
    26.03.2006 12:09 9.947 Sti_Trace.log
    26.03.2006 11:37 1.660 ModemLog_U.S. Robotics 56K Voice Win Int.txt
    24.03.2006 00:26 1.287.796 ShellIconCache
    21.03.2006 21:20 379 DINFO.INI
    17.03.2006 20:11 35 InfModM.ini
    14.03.2006 00:06 1.570 ModemLog_Nokia 6230i USB #3.txt
    09.03.2006 23:26 837 ODBC.INI
    09.03.2006 23:26 1.177 win.ini
    19.02.2006 13:33 2.079 discwriter.log
    19.02.2006 13:33 0 OrangeBurn.log
    17.02.2006 15:25 919 spupdsvc.log
    16.02.2006 19:11 3.932 KB911564.log
    16.02.2006 19:10 1.429 imsins.BAK

    Datentr„ger in Laufwerk C: hat keine Bezeichnung.
    Datentr„gernummer: A420-F7FD

    Verzeichnis von C:\

    27.03.2006 16:02 0 sys.txt
    27.03.2006 16:02 12.077 system.txt
    27.03.2006 16:01 1.116 systemtemp.txt
    27.03.2006 16:00 112.256 system32.txt
    27.03.2006 16:00 1.116 datfindc2.txt
    27.03.2006 15:55 12.077 datfindc3.txt
    27.03.2006 15:51 112.256 datfindc1.txt
    27.03.2006 15:49 710 datfind2.txt
    27.03.2006 14:21 536.272.896 hiberfil.sys
    27.03.2006 14:21 805.306.368 pagefile.sys
    09.09.2005 21:55 2.080 TDSLCheck.txt
    24.07.2005 19:47 174 TO_InstallLog.txt
    11.06.2005 20:30 251.610 Mathcad-Einfuehrung.pdf
    24.04.2005 20:41 10.665 devicetable.log
    26.10.2004 20:05 130 htsetup.err
    09.10.2004 21:42 712 active.cfg
    21.09.2004 19:34 402 cp t.ini
     
  4. kuhn73

    kuhn73 Megabyte

    Registriert seit:
    4. Juli 2003
    Beiträge:
    1.489
    Beachte mal bitte:
    Gruß, kuhn73
     
  5. lufis

    lufis ROM

    Registriert seit:
    3. Mai 2002
    Beiträge:
    7
    Hallo Kuhn73
    Entschuldigung, aber ich kenn mich in der Szene noch nicht so gut aus, für die Zukunft gelobe ich Besserung

    Gruß Lufis
     
  6. kuhn73

    kuhn73 Megabyte

    Registriert seit:
    4. Juli 2003
    Beiträge:
    1.489
    War ja nicht allzu böse gemeint, aber vielleicht schaffst du es ja, deine Hijackthis-Auswertung aus dem vorigen Posting nach Anleitung innerhalb der nächsten Viertelstunde noch in einen Link zu verpacken.

    Gruß, kuhn73
     
  7. lufis

    lufis ROM

    Registriert seit:
    3. Mai 2002
    Beiträge:
    7
  8. kuhn73

    kuhn73 Megabyte

    Registriert seit:
    4. Juli 2003
    Beiträge:
    1.489
    So, und jetzt sind andere gefragt. :)
    Sauber sieht das jedenfalls nicht aus...
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    @kuhn
    dein neuer avatar ist schick :D
    @lufis
    Besorge dir smitrem, entpacke es, gehe in den abgesicherten Modus (F8 beim booten), führe die runthis.bat aus und poste dann den Inhalt der Datei C:\smitfiles.txt

    Außerdem löschst du folgende Dateien mit killbox on reboot:

    C:\Windows\System32\stickrep.dll
    C:\Windows\System32\interf.tlb

    dann löschst du noch den Pfad C:\Programme\SpywareQuake (ev auch mit killbox mit deltree)

    Berichte wie es danach aussieht, gibt es noch Icons in der Taskleiste?
    Poste außerdem nochmal den link zu deinem neuen HijacjkThis Log und wieder die vier Logfiles der Datfind.bat.



    Grüße Jasager
     
  10. lufis

    lufis ROM

    Registriert seit:
    3. Mai 2002
    Beiträge:
    7
    Hallo Jasager
    habe alles soeben so gemacht wie du geschrieben hast und bis jetzt ist wieder Ruhe.
    In der Taskleiste meldet sich kein "VIRUS ALERT" mehr, und von Spywarequake ist bis jetzt nichts mehr zu sehen. Herzlichen Dank !!:danke: Und jetzt noch die Dateien
    smitRem © log file
    version 2.8
    by noahdfear
    Microsoft Windows 2000 [Version 5.00.2195]
    Running from
    D:\Downloads\Smitrem\smitRem
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Pre-run SharedTask Export
    (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
    Copyright(C) 2006 BleepingComputer.com
    Registry Pseudo-Format Mode (Not a valid reg file):
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
    "{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"="USB Ware"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\system32\browseui.dll"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\system32\browseui.dll"
    [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}\InProcServer32]
    @="C:\WINNT\system32\stickrep.dll"
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    checking for ShudderLTD key
    ShudderLTD key not present!
    checking for PSGuard.com key
    PSGuard.com key not present!
    checking for WinHound.com key
    WinHound.com key not present!
    spyaxe uninstaller NOT present
    Winhound uninstaller NOT present
    SpywareStrike uninstaller NOT present
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Existing Pre-run Files
    ~~~ Program Files ~~~
    ~~~ Shortcuts ~~~
    ~~~ Favorites ~~~
    ~~~ system32 folder ~~~
    1024 dir
    ld****.tmp
    ncompat.tlb
    nvctrl.exe
    hp***.tmp
    ~~~ Icons in System32 ~~~
    ot.ico
    ~~~ Windows directory ~~~
    ~~~ Drive root ~~~
    ~~~ Miscellaneous Files/folders ~~~
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
    Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
    Killing PID 336 'explorer.exe'
    Killing PID 336 'explorer.exe'
    Error 0x5 : Zugriff verweigert

    Starting registry repairs
    Registry repairs complete
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    SharedTask Export after registry fix
    (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
    Copyright(C) 2006 BleepingComputer.com
    Registry Pseudo-Format Mode (Not a valid reg file):
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
    "{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"="USB Ware"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\system32\browseui.dll"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\system32\browseui.dll"
    [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}\InProcServer32]
    @="C:\WINNT\system32\stickrep.dll"
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Deleting files
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Remaining Post-run Files
    ~~~ Program Files ~~~
    ~~~ Shortcuts ~~~
    ~~~ Favorites ~~~
    ~~~ system32 folder ~~~
    1024 dir
    ld****.tmp
    ncompat.tlb
    nvctrl.exe
    hp***.tmp
    ~~~ Icons in System32 ~~~
    ot.ico
    ~~~ Windows directory ~~~
    ~~~ Drive root ~~~
    ~~~ Miscellaneous Files/folders ~~~
    ~~~ Wininet.dll ~~~
    wininet.dll is missing!!

    Datentr„ger in Laufwerk C: hat keine Bezeichnung.
    Datentr„gernummer: A420-F7FD

    Verzeichnis von C:\WINNT\system32

    28.03.2006 19:46 16.384 Perflib_Perfdata_6fc.dat
    28.03.2006 19:03 4.940 ncompat.tlb
    28.03.2006 12:13 16.384 Perflib_Perfdata_6b0.dat
    28.03.2006 12:12 36.864 hpEED0.tmp
    28.03.2006 12:12 31.757 ldECE5.tmp
    28.03.2006 11:25 16.384 Perflib_Perfdata_80c.dat
    27.03.2006 20:44 16.384 Perflib_Perfdata_7c4.dat
    27.03.2006 16:19 17.560 nvctrl.exe
    27.03.2006 16:19 4.286 ot.ico
    27.03.2006 14:25 16.384 Perflib_Perfdata_948.dat
    26.03.2006 12:25 16.384 Perflib_Perfdata_984.dat
    26.03.2006 12:23 16.384 Perflib_Perfdata_6d8.dat
    26.03.2006 09:59 16.384 Perflib_Perfdata_8ec.dat
    26.03.2006 01:49 16.384 Perflib_Perfdata_6f4.dat

    Datentr„ger in Laufwerk C: hat keine Bezeichnung.
    Datentr„gernummer: A420-F7FD

    Verzeichnis von C:\WINNT\system32

    28.03.2006 19:46 16.384 Perflib_Perfdata_6fc.dat
    28.03.2006 19:03 4.940 ncompat.tlb
    28.03.2006 12:13 16.384 Perflib_Perfdata_6b0.dat
    28.03.2006 12:12 36.864 hpEED0.tmp
    28.03.2006 12:12 31.757 ldECE5.tmp
    28.03.2006 11:25 16.384 Perflib_Perfdata_80c.dat
    27.03.2006 20:44 16.384 Perflib_Perfdata_7c4.dat
    27.03.2006 16:19 17.560 nvctrl.exe
    27.03.2006 16:19 4.286 ot.ico
    27.03.2006 14:25 16.384 Perflib_Perfdata_948.dat
    26.03.2006 12:25 16.384 Perflib_Perfdata_984.dat
    26.03.2006 12:23 16.384 Perflib_Perfdata_6d8.dat
    26.03.2006 09:59 16.384 Perflib_Perfdata_8ec.dat
    26.03.2006 01:49 16.384 Perflib_Perfdata_6f4.dat

    Datentr„ger in Laufwerk C: hat keine Bezeichnung.
    Datentr„gernummer: A420-F7FD

    Verzeichnis von C:\WINNT

    28.03.2006 19:43 1.952.707 WindowsUpdate.log
    28.03.2006 19:18 49.684 ntbtlog.txt
    28.03.2006 19:06 32.564 SchedLgU.Txt
    28.03.2006 11:38 765 ModemLog_U.S. Robotics 56K Voice Win Int.txt
    27.03.2006 19:29 211 uno.ini
    27.03.2006 17:43 1.289 win.ini
    27.03.2006 17:26 379 DINFO.INI
    26.03.2006 12:09 9.947 Sti_Trace.log
    17.03.2006 20:11 35 InfModM.ini
    14.03.2006 00:06 1.570 ModemLog_Nokia 6230i USB #3.txt
    09.03.2006 23:26 837 ODBC.INI
    22.02.2006 08:34 478.720 WRUninstall.dll
    19.02.2006 13:33 2.079 discwriter.log
    19.02.2006 13:33 0 OrangeBurn.log
    17.02.2006 15:25 919 spupdsvc.log
    16.02.2006 19:11 3.932 KB911564.log
    16.02.2006 19:10 1.429 imsins.BAK

    28.03.2006 19:59 0 sys.txt
    28.03.2006 19:58 12.184 system.txt
    28.03.2006 19:58 512 systemtemp.txt
    28.03.2006 19:57 112.346 system32.txt
    28.03.2006 19:42 536.272.896 hiberfil.sys
    28.03.2006 19:42 805.306.368 pagefile.sys
    28.03.2006 19:18 3.697 smitfiles.txt
    27.03.2006 16:00 1.116 datfindc2.txt
    27.03.2006 15:55 12.077 datfindc3.txt
    27.03.2006 15:51 112.256 datfindc1.txt
    27.03.2006 15:49 710 datfind2.txt
    09.09.2005 21:55 2.080 TDSLCheck.txt
    24.07.2005 19:47 174 TO_InstallLog.txt
    11.06.2005 20:30 251.610 Mathcad-Einfuehrung.pdf
    24.04.2005 20:41 10.665 devicetable.log
    26.10.2004 20:05 130 htsetup.err
    09.10.2004 21:42 712 active.cfg

    Der Rest folgt in Kürze.
     
  11. lufis

    lufis ROM

    Registriert seit:
    3. Mai 2002
    Beiträge:
    7
  12. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hast du smitrem im abgesicherten Modus durchgeführt?
    Falls nicht mache dies.
    Falls ja lösche folgende Dateien mit Killbox on reboot:
    C:\WINNT\system32\ncompat.tlb
    C:\WINNT\system32\hpEED0.tmp
    C:\WINNT\system32\ldECE5.tmp
    C:\WINNT\system32\nvctrl.exe
    C:\WINNT\system32\ot.ico
    C:\WINNT\system32\1024 (Ordner mit deltree!)


    Grüße Jasager
     
  13. lufis

    lufis ROM

    Registriert seit:
    3. Mai 2002
    Beiträge:
    7
    Hallo
    den Folder "1024" habe ich zwar löschen können, jedoch jede Datei von Hand, nicht mit Deltree,
    wurde bei mir bei KILLBOX nicht angezeigt.
    In der System32 taucht der "1024" jetzt nicht mehr auf. Ich hoffe, dass er damit spurlos verschwunden ist, oder ?

    Gruß Lufis
     
  14. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    normalerweise sollte es das jetzt gewesen sein, da die Malwarte aber erst wenige Tage alt ist gibt es noch nicht sehr viel Erfahrungswerte. Mach mal noch zur Kontrolle einen Onlinescan bei Panda und berichte falls noch etwas gefunden wird.
    Ich weiß jetzt nicht 100%ig durch was du dir den Trojaner gefangen hast (Videocodec oder Crack), auf jeden Fall solltest du niemals Dateien aus unseriösen Quellen auf deinem Computer ausführen.
    Weitere Lektüre wie du dich zukünftig schützen kannst.


    Grüße Jasager
     
  15. El Loco

    El Loco ROM

    Registriert seit:
    29. März 2006
    Beiträge:
    1
    Moin… mit Respekt am alle die sich damit Beschäftigen, ich habe gestern das Problem Gelöst ..
    und zwar mit Systemwiederherstellung… :cool:

    und Quake ist nicht mehr da, alles läuft Prima, kein einsiege Eintrag in Windows32

    Mit freundlichen Grüßen und Muchas Gracias an alle.
     
  16. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Systemwiederherstellung ist dafür eigentlich nicht geeignet weil doch so manches übrig bleiben kann. Da ist die manuelle Entfernung doch ein wenig gründlicher, aber wenn bei dir alle Dateien entfernt wurden ist es so auch in Ordnung.


    Grüße Jasager
     
  17. Mopao

    Mopao Byte

    Registriert seit:
    30. Dezember 2004
    Beiträge:
    14
    @lufis

    Mache zuerest,was Jasager geschrieben hat Panda Scan

    Auußerdem diese Datei C:\WINNT\system32\wininet.dll hier überprüfen & Ergebnis posten
    http://virusscan.jotti.org/de

    Auch neuer HijackThis log posten

    Gruss
    Mopao
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen