Spyware Quake kommt immer wider..

#1 Hi Sabina, Hi Community,

nachdem ich ja dank Sabina Spyware Falcon losgeworden bin hat sich nun Spyware Quake breitgemacht. Hoffe Sabina kann mir wieder behilflich sein wie schon einst ^^ Achja, ich muss mal Grundlegend Fragen wo man sich das einfängt, weil dementsprechend kann ich mein Vater instruieren, was er beim Surfen im Web vermeiden sollte, und welche Sicherheitsmaßnahmen am PC kann man noch treffen ausser Spybot, Kaspersky usw. am laufen zu haben? Weil mittlerweile sitz ich ja ja alle 2 Wochen hier und hab ein neues Problem ^^

Hier meine Logs nach CleanUp! :

Datfind:

Datentr„ger in Laufwerk C: ist Windowsinstallation
Volumeseriennummer: 6051-3443

Verzeichnis von C:\WINDOWS\system32

30.03.2006 09:00 43.459 nvapps.xml
30.03.2006 07:48 36.864 hp6513.tmp
30.03.2006 07:48 29.709 ld6292.tmp
29.03.2006 22:03 4.286 ot.ico
29.03.2006 21:36 176.128 stickrep.dll
26.03.2006 14:05 412.872 perfh009.dat
26.03.2006 14:05 67.086 perfc009.dat
26.03.2006 14:05 429.632 perfh007.dat
26.03.2006 14:05 80.638 perfc007.dat
26.03.2006 14:05 3.596 PerfStringBackup.TMP
26.03.2006 14:04 13.646 wpa.dbl
26.03.2006 12:38 1.002.612 PerfStringBackup.INI
25.03.2006 13:39 16.832 amcompat.tlb
25.03.2006 13:39 23.392 nscompat.tlb
25.03.2006 13:39 2.272 w95inf16.dll
25.03.2006 13:39 4.608 w95inf32.dll
10.03.2006 02:10 4.799.320 MRT.exe
08.03.2006 16:46 198.552 FNTCACHE.DAT
08.03.2006 10:17 588 settingsbkup.sfm
08.03.2006 10:17 588 settings.sfm
14.02.2006 10:20 550.120 LegitCheckControl.dll
08.02.2006 02:45 18.944 xpsp3res.dll
04.02.2006 20:36 108.754 kspydoc.log
01.02.2006 04:50 3.033.088 mshtml.dll
28.01.2006 21:48 698.190 Cats Play.scr


Datentr„ger in Laufwerk C: ist Windowsinstallation
Volumeseriennummer: 6051-3443

Verzeichnis von C:\WINDOWS

30.03.2006 08:52 0 0.log
30.03.2006 08:52 159 wiadebug.log
30.03.2006 08:52 1.997.989 WindowsUpdate.log
30.03.2006 08:52 50 wiaservc.log
30.03.2006 08:52 2.048 bootstat.dat
30.03.2006 08:51 32.548 SchedLgU.Txt
29.03.2006 08:23 163 bildsh32.ini
27.03.2006 16:12 1.072.197.632 MEMORY.DMP
25.03.2006 13:39 85.715 wmsetup.log
20.03.2006 21:09 59 popcinfo.dat
19.03.2006 23:00 832 WISO.INI
19.03.2006 22:08 3.266 tm.ini
15.03.2006 18:54 743.007 setupapi.log
11.03.2006 17:31 0 SwSys1.bmp
11.03.2006 17:31 0 SwSys2.bmp
11.03.2006 15:24 266.054 setupact.log
09.03.2006 08:46 462.252 ntbtlog.txt
08.03.2006 16:08 261 BUHL.INI
08.03.2006 15:01 458 wmsetup10.log
05.03.2006 20:39 118 tdf.dii
05.03.2006 18:26 1.830 spupdsvc.log
05.03.2006 18:21 1.355 imsins.log
05.03.2006 18:21 120.464 ntdtcsetup.log


Datentr„ger in Laufwerk C: ist Windowsinstallation
Volumeseriennummer: 6051-3443

Verzeichnis von C:\

30.03.2006 09:25 0 sys.txt
30.03.2006 09:25 9.479 system.txt
30.03.2006 09:25 140 systemtemp.txt
30.03.2006 09:24 102.500 system32.txt
30.03.2006 08:52 1.610.612.736 pagefile.sys
05.03.2006 18:33 524.288 ORIGINAL_09-23-2005.BIN
05.03.2006 18:33 524.288 9HEI5C29.BIN
05.03.2006 18:33 272 9HEI5C29.TXT
23.01.2006 16:36 429 datFind.bat

HiJack This:

Logfile of HijackThis v1.99.1
Scan saved at 09:26:23, on 30.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\Programme\Winamp\Winampa.exe
D:\eBayTBDaemon.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
F:\HL²\Steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Security\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [DXDllRegExe] C:\WINDOWS\system32\dxdllreg.exe
O4 - HKLM\..\Run: [HPpromo psc 1300 series] "C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe" /N "psc 1300 series" -r
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [eBayToolbar] D:\eBayTBDaemon.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &eBay Search - res://D:\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MSOFFI~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {09954582-CAC3-4E05-A09C-4955BBD3187F} (Privat-X Client) - http://www.px24.com/ax/px_client_en.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129014461046
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137986942828
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15021/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F234ED16-A3E6-4377-B9EA-11D580042B54}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

#2 Ghrom

arbeite bitte alle Punkte ab
http://virus-protect.org/artikel/spyware/spywarequake.html
berichte

diese Malware kommt auf den PC, denke ich, wenn man bestimmte Codecs laedt.
Also vorsichtig sein, wenn man ein Video ansehen will und man vorher einen Codec laden soll,,,,,,,,,,,,,,,,,,,
__________
MfG Sabina

rund um die PC-Sicherheit

#3 ich weiß net was passiert is, hab irgendwie iworm_attck_v122.02a drauf, kp, is spyware, warhscheinlich von der seiter hxxp://www.sysprotectionpage.com, die wird da als nicht änderbare startseite gesetzt un mir als mittel dagegen empfohlen

#4 Nick Hissen

das ist die neue Abzocke im Net...du darfst nichts laden !!!!
deshalb:
arbeite das ab und poste alle logs.
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#5 allllsoooo .. hatte mir auch das ding eingefangen .... hab hier viel gelesen was mich aber wirklich nicht viel weiterbrachte als laie .. dieses quaketeil fand bei mir weder antivir noch adware . auch manuelle suchen welche exen in dem zeitraum erstellt wurden waren nicht ganz so dolle ... uber die dlls fand ich dann heraus das die teile kaskadieren . abhilfe bei mir schafften die kostenlosen version von clean up, die zeigten mir erst mal die ganzen temp datein; BAK usw. und die pfade. manuelles löschen war dann kein problem. index.dat suite gab dem müll dann den rest. beim neustart dann zu yahoo und den antispy von yahoo gestartet ..... UND DIESER FAND ALS EINZIGER DEN TROJANER VON QUAKE ::: fazit ... der rechner läuft wieder und is sauber. und bis sich nen spezialist den rechner ansieht wieder voll gebrauchsfähig . die nummer hat mir gelernt das es schon krass ist was fremde leute mit meinem eigentum anstellen dürfen und ungestraft davonkommen. 8 stunden recherche . 2 stunden säubern . das mal auf die ganzen rechner hochgerechnet ... ein milliardenschaden ... und das nur um spyware zu verkaufen. das is höchst kriminell ... hoffe das ich damit jemanden helfen konnte ... danke für die vielen tipps hier auf dem board...

#6 die anleitung is sehr goil. hab zwar nochnie so in meinem pc "rumgewühlt" oder wühlen lassen (jedenfalls nicht bewusst ^^) aber ich habs trotzdem hinbekomm und konnte den dreck entfernen. DANKE für den guide