Spyware Quake 2.0 ist nicht zu löschen!

#31 Anadolum

es ist nichts mehr zu erkennen vom Quake....(von hier aus)

1.
smitfraudfix -> poste beide Logs, das vom Normalmodus und vom abges. Modus
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
mache bitte einen Onlinescan mit Kaspersky (Fullscan) und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#32 Hallo,

habe mit Interesse die Diskussion gelesen, weil ich wohl das gleiche oder ähnliches Problem habe. Ich habe mir also den Spyware Doctor (Demo) runtergeladen, der 15 gefährliche Objekte gefunden hat. Um weiterzukommen muesste ich wohl eine Vollversion kaufen, trau ich mich aber gerade nicht (online Kreditkartennummer etc) eben wegen der Verseuchung. Kann mir einer einen Tipp geben? Vielen Dank... Ich poste mal das Spyware Doctor Protokoll. Gruss Harry

Spyware Doctor Aktivit䴳report
Erstellt am 17.04.2006 20:35:57 Spyware Doctor-Homepage PC Tools Homepage Technische Unterst?


Suchen (grunds䴺liche Information):

Suchergebnisse:
Suche starten: 17.04.2006 20:36:48
Suche anhalten: 17.04.2006 20:49:31
durchsuchte Objekte: 94114
gefundene Objekte: 15
gefunden und ignoriert: 0
verwendete Werkzeuge: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts Scanner, Browser Scanner, Browser Activity Scanner, Disk Scanner, ActiveX Scanner



Name der Infizierung Standort Risiko
Trojan.Popuper HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta Hoch
Trojan.Popuper HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta## Hoch
Trojan.Popuper HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{8d83b16e-0de1-452b-ac52-96ec0b34aa4b} Hoch
Trojan.Popuper HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{8d83b16e-0de1-452b-ac52-96ec0b34aa4b}## Hoch
Trojan.Popuper HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run##wininet.dll Hoch
PSGuard Desktop Hijacker C:\Dokumente und Einstellungen\All Users\Startmen?rity Troubleshooting.url Hoch
PSGuard Desktop Hijacker C:\Dokumente und Einstellungen\harry\Favoriten\Antivirus Test Online.url Hoch
Trojan.Popuper C:\WINDOWS\system32\mssearchnet.exe Hoch
Trojan.Popuper C:\WINDOWS\system32\ncompat.tlb Hoch
Trojan.StartPage.ADH C:\WINDOWS\system32\nvctrl.exe Hoch
PSGuard Desktop Hijacker C:\WINDOWS\system32\ot.ico Hoch
PSGuard Desktop Hijacker C:\WINDOWS\system32\ts.ico Hoch
SpywareQuake C:\System Volume Information\_restore{4B64289B-AE1C-4F0D-8475-89CFF46ACF05}\RP433\A0047877.exe Erh?/td>
SpywareQuake C:\System Volume Information\_restore{4B64289B-AE1C-4F0D-8475-89CFF46ACF05}\RP435\A0048422.exe Erh?/td>
Trojan.Gaslide.B C:\WINDOWS\$NtServicePackUninstall$\notepad.exe Hoch


Andere Abschnitte:








Copyright ? 2003 PC Tools Research Pty Ltd. Alle Rechte vorbehalten. Juristischer Hinweis



sigs



R?gig

#33 Hey habe das selbe problem Sabina bitte helf mir .. bin echt Laie und habe hier mal diese File da gepostet :

Verzeichnis von D:\WINDOWS\system32

17.04.2006 21:49 7.680 interf.tlb
17.04.2006 21:49 5.076 ncompat.tlb
17.04.2006 21:49 48.128 hp5349.tmp
17.04.2006 21:40 151.360 Status.MPF
17.04.2006 21:15 43.546 nvapps.xml
17.04.2006 21:15 48.128 hp58CE.tmp
17.04.2006 21:15 41.485 ld56CA.tmp
17.04.2006 21:14 384 DVCStateBkp-{00000001-00000000-0000000A-00001102-00000004-20021102}.dat
17.04.2006 21:14 384 DVCState-{00000001-00000000-0000000A-00001102-00000004-20021102}.dat
17.04.2006 21:14 32.088 BMXCtrlState-{00000001-00000000-0000000A-00001102-00000004-20021102}.rfx
17.04.2006 21:14 32.592 BMXStateBkp-{00000001-00000000-0000000A-00001102-00000004-20021102}.rfx
17.04.2006 21:14 1.080 settings.sfm
17.04.2006 21:14 32.088 BMXBkpCtrlState-{00000001-00000000-0000000A-00001102-00000004-20021102}.rfx
17.04.2006 21:14 32.592 BMXState-{00000001-00000000-0000000A-00001102-00000004-20021102}.rfx
17.04.2006 21:14 1.080 settingsbkup.sfm
17.04.2006 21:07 176.128 stickrep.dll
17.04.2006 21:07 4.286 ot.ico
17.04.2006 21:07 4.286 ts.ico
17.04.2006 21:07 17.092 nvctrl.exe
17.04.2006 21:07 10.040 mssearchnet.exe
17.04.2006 21:06 2 wnsapicc.exe
17.04.2006 21:06 156.160 oins.exe
17.04.2006 21:06 15.681 dfrgsrv.exe
17.04.2006 21:05 12.221 winrkq32.dll
08.04.2006 11:00 2.262 wpa.dbl
26.03.2006 21:03 219.248 FNTCACHE.DAT
04.02.2006 16:07 43.520 CmdLineExt03.dll
04.02.2006 11:30 8.464 sporder.dll
18.01.2006 13:05 57.344 avsda.dll



WAs mache ich nun ??

#34 Hallo, selbes Problem wie die anderen.
Habe bereits versucht die Symbole einfach zu löschen, bin leider zu spät auf dieses Forum gestoßen.
Habe auch schon einiges des hier beschribenen Dinge gemacht.
Allerdings bin ich es noch nicht ganz los.

Folgende Ergebnisse:
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\WINDOWS\system32

17.04.2006 23:35 5.032 ncompat.tlb
17.04.2006 23:30 7.680 interf.tlb
17.04.2006 23:30 24.188 FFASTLOG.TXT
17.04.2006 23:30 48.128 hp9FEA.tmp
17.04.2006 23:25 48.128 hpBF54.tmp
17.04.2006 23:20 48.128 hp89CC.tmp
17.04.2006 22:44 6.144 Thumbs.db
17.04.2006 12:25 17.092 nvctrl.exe
17.04.2006 12:25 10.040 mssearchnet.exe
15.04.2006 18:53 1.158 wpa.dbl
10.04.2006 10:19 5.618 jupdate-1.5.0_05-b05.log
06.04.2006 21:48 5.143.456 MRT.exe
30.03.2006 11:27 1.495.040 shdocvw.dll
30.03.2006 03:52 25.600 xpsp3res.dll
26.03.2006 10:58 384.930 perfh009.dat
26.03.2006 10:58 54.614 perfc009.dat
26.03.2006 10:58 65.866 perfc007.dat
26.03.2006 10:58 396.586 perfh007.dat
26.03.2006 10:58 911.074 PerfStringBackup.INI
23.03.2006 22:33 3.076.608 mshtml.dll
18.03.2006 13:07 616.448 urlmon.dll
17.03.2006 20:58 121.080 MSForms.TWD
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:47 8.495.616 shell32.dll
17.03.2006 03:05 28.672 verclsid.exe
04.03.2006 06:00 669.184 wininet.dll
04.03.2006 06:00 474.624 shlwapi.dll
04.03.2006 06:00 39.424 pngfilt.dll
04.03.2006 06:00 532.480 mstime.dll
04.03.2006 06:00 146.432 msrating.dll
04.03.2006 06:00 448.512 mshtmled.dll
04.03.2006 06:00 96.768 inseng.dll
04.03.2006 06:00 251.904 iepeers.dll
04.03.2006 06:00 205.312 dxtrans.dll
04.03.2006 06:00 1.056.256 danim.dll
04.03.2006 06:00 152.064 cdfview.dll
04.03.2006 06:00 55.808 extmgr.dll
04.03.2006 06:00 1.022.976 browseui.dll
29.01.2006 18:35 228.800 FNTCACHE.DAT
27.01.2006 18:32 6.184 mapisvc.inf
27.01.2006 18:32 69.632 system.mdw
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\DOKUME~1\Chris\LOKALE~1\Temp

17.04.2006 23:30 618 jusched.log
17.04.2006 23:28 16.384 ~DFE0C5.tmp
2 Datei(en) 17.002 Bytes
0 Verzeichnis(se), 63.944.437.760 Bytes frei
Verzeichnis von C:\WINDOWS

17.04.2006 23:30 0 0.log
17.04.2006 23:30 3.838 ModemLog_Agere Systems AC'97 Modem.txt
17.04.2006 23:30 1.367.471 WindowsUpdate.log
17.04.2006 23:30 2.048 bootstat.dat
17.04.2006 23:29 32.622 SchedLgU.Txt
17.04.2006 23:20 100.352 offitems.log
17.04.2006 22:29 202 NeroDigital.ini
17.04.2006 12:26 59.961 ntdtcsetup.log
17.04.2006 12:26 100.221 comsetup.log
17.04.2006 12:26 43.397 iis6.log
17.04.2006 12:26 1.374 imsins.log
17.04.2006 12:26 111.890 tsoc.log
17.04.2006 12:26 15.108 ocmsn.log
17.04.2006 12:26 21.011 KB908531.log
17.04.2006 12:26 13.799 msgsocm.log
17.04.2006 12:26 142.700 ocgen.log
17.04.2006 12:26 283.913 FaxSetup.log
17.04.2006 12:26 208.884 setupapi.log
17.04.2006 12:26 23.832 updspapi.log
17.04.2006 12:26 1.374 imsins.BAK
17.04.2006 12:26 16.499 KB911562.log
17.04.2006 12:25 32.822 KB912812.log
17.04.2006 12:25 12.478 KB911567.log
15.04.2006 19:13 837 win.ini
13.04.2006 13:44 3.051 tm.ini
13.04.2006 13:43 41 tdf.dii
12.04.2006 23:41 12.288 Thumbs.db
10.04.2006 11:11 43.664 wmsetup.log
31.03.2006 18:22 216 wiadebug.log
31.03.2006 18:16 50 wiaservc.log
23.03.2006 12:05 212.542 setupact.log
15.03.2006 15:56 6.144 ArtGalry.cag

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\

17.04.2006 23:39 0 sys.txt
17.04.2006 23:37 8.134 system.txt
17.04.2006 23:36 334 systemtemp.txt
17.04.2006 23:35 98.889 system32.txt
17.04.2006 23:30 502.845.440 hiberfil.sys
17.04.2006 23:30 754.974.720 pagefile.sys
04.04.2006 13:54 4.983 ffastun.ffa
04.04.2006 13:54 147.456 ffastun.ffo
04.04.2006 13:54 286.720 ffastun.ffl
04.04.2006 13:54 1.814.528 ffastun0.ffx
Helft mir!!!
Bitte
__________
Quelum obscurrum est...
Carpe Noctem

#35 Harry999

arbeite das ab (ohne Killbox..Punkt 4] ....die Tools und die reg-Datei entfernen die Malware.)
http://virus-protect.org/artikel/spyware/spywarequake.html

wenn alles fertig ist:

superantispyware -> poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#36 Chicco

hier ist neben dem Quake auch ein Purityscan auf dem Rechner.
ich brauche, bevor die Reinigung beginnt:

Hijackthis --
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#37 Frankmasta

arbeite das alles ab:
http://virus-protect.org/artikel/spyware/spywarequake.html

Punkt 4 (Killbox)

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\FFASTLOG.TXT
C:\WINDOWS\system32\hp9FEA.tmp
C:\WINDOWS\system32\hpBF54.tmp
C:\WINDOWS\system32\hp89CC.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe

dann berichte.
__________
MfG Sabina

rund um die PC-Sicherheit

#38 Sabina,
erstmal vielen Dank für Deine Hilfe. Ich habe die Punkte soweit möglich abgearbeitet:
Punkt 4: habe ich weggelassen (wie von Dir empfohlen)
Punkt 6: das Verzeichnis C:\!KillBox hab ich bei mir nicht gefunden.
Punkt 8: Spyware Quake hatte ich vorher schon deinstalliert (war jetzt jedenfalls nicht mehr zu finden)
Punkt 12: habe ich weggelassen, weil Kapersky und etrust nur mit IE laufen, ich aber schon seit langem keine lauffähige Version mehr besitze und auch nicht möchte (benutze Mozilla).

Der SUPERAntiSpyware hat anschliessend ein verdächtiges Element gefunden (Adware.Tracking Cookie) und in Quarantäne geschoben. Ich denke, das werde ich jetzt löschen. Bei einem weiteren scan hat er dann nichts mehr gefunden.
Sieht also alles ganz gut aus, was meinst Du? Kann ich noch was tun?
Jedenfalls nochmal ganz herzlichen Dank.

Gruss Harry

#39 Harry999

scanne noch mal mit diesem Spyware Doctor

Zitat

ignorieren...ist ein Bug...
Trojan.Gaslide.B C:\WINDOWS\$NtServicePackUninstall$\notepad.exe Hoch

dann deinstalliere Spyware Doctor
__________
MfG Sabina

rund um die PC-Sicherheit

#40 Spyware Doctor findet 3 Infizierungen (s.u.).
Du meinst, die dritte (Trojan.Gaslide.B) ist ein bug und das kann man ignorieren? Und die anderen?
Ich werde den Spyware Doctor dann also jetzt deinstallieren..

Gruss Harry


Suchergebnisse:
Suche starten: 18.04.2006 16:25:55
Suche anhalten: 18.04.2006 16:35:53
durchsuchte Objekte: 85313
gefundene Objekte: 3
gefunden und ignoriert: 0
verwendete Werkzeuge: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts Scanner, Browser Scanner, Browser Activity Scanner, Disk Scanner, ActiveX Scanner



Name der Infizierung Standort Risiko

Tracking Cookie(s) C:\Dokumente und Einstellungen\harry\Cookies\harry@dcsjwb9vb00000c932fd0rjc7_5p3t[1].txt Mittel

Tracking Cookie(s) C:\Dokumente und Einstellungen\harry\Cookies\harry@m.webtrends[1].txt Mittel

Trojan.Gaslide.B C:\WINDOWS\$NtServicePackUninstall$\notepad.exe Hoch

#41 Harry999

es ist alles sauber und das mit kostenlosen Tools ..und meiner kleinen Hilfestellung
Zumal der Spyware Doctor sowieso nur die Haelfte erkannt hat.....
__________
MfG Sabina

rund um die PC-Sicherheit

#42 Ganz große Leistung! In der Tat kann ich im Moment kein erratisches Verhalten mehr feststellen. Vielen Dank für Deine Hilfe, und das über die Feiertage!
Gruss Harry
PS: Bin dem PayPal link gefolgt - ich sage einfach Sabina und dann erreicht Dich das?? Ich bin ja gerade etwas verunsichert...

#43

Zitat

ich sage einfach Sabina und dann erreicht Dich das

ja, es erreicht mich automatisch (per mail abgespeichert, nikita...@ usw...die du auch sehen kannst)...und danke
__________
MfG Sabina

rund um die PC-Sicherheit

#44 Hallo und schönen Abend...
Wollt mal los werden:
@sabina
Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke Danke ...
Ich hätte wahrscheinlich irgendwann auf gegeben und professionelle (käuflich erwerbliche) Hilfe angenommen...
ZUm Glck konnte ich über google dieses Forum ausmachen...

Zum Thema:

Habe die Liste weitestgehend abgearbeitet ( soweit mir das möglich war).

Soweit ist alles weg, aber wenn ich den I Explorer öffne öffnet sich automatisch folgende Seite:
http://www.theguardservices.com/

Egal was ich mache!!!
Habe auch bereits die Favoriten gereinigt, aber egal wie oftz ich eine neue / andere Startseite eingebe, jedesmal das selbe!!!
Woran kann das liegen???

Gruß Frank
__________
Quelum obscurrum est...
Carpe Noctem

#45 Frankmasta

1.
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

2.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

3.
öffne smitRem --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt-> bitte hier kopieren

-------------------------------------------------------------------
4.
superantispyware -> schicke alles in Quarantaene -> poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html

...und wende auch CleanUp noch mal im abgesicherten modus an !
http://virus-protect.org/cleanup.html
__________
MfG Sabina

rund um die PC-Sicherheit