SpywareQuake-_:- lässt sich nicht löschen!!

#0
11.04.2006, 20:43
...neu hier

Beiträge: 7
#1 Guten Tag,

Auf meinem pc hat sich das anscheinend als malware bekannte SpywareQuake installiert. Die software lässt sich deinstallieren, installiert sich aber wieder selbst trotz firewall..
Ich hab schon ad-aware 3 mal laufen lassen und das prog gelöscht, beim nächsten check ist jedoch immerwieder drauf..

Wie kann ich das programm effektiv löschen????


Zudem hat sich eine automatische Startseite eingerichtet, was wohl auch mit dem zusammenhängt. wie bekomm ich das weg?? (ist glaub ich ein bug den man mit highjackthis bekämpft oder so?)



Also HILFE danke!!
Seitenanfang Seitenende
11.04.2006, 21:57
Member

Beiträge: 96
#2 Hallo Lorenztt.

Fangen wir mal an....

1) HijackThis-Log:
Anleitung+Download : http://virus-protect.org/hjtkurz.html

2) DatfindBat (4 logs aber nur die letzten 3 Monate)
Anleitung+Download: http://virus-protect.org/datfindbat.html

Aber eigentlich dürfte http://virus-protect.org/artikel/spyware/spywarequake.html schon alles sagen ;)
__________
Mfg Aicalico
Dieser Beitrag wurde am 11.04.2006 um 22:01 Uhr von Aicalico editiert.
Seitenanfang Seitenende
12.04.2006, 00:35
...neu hier

Themenstarter

Beiträge: 7
#3 Logfile of HijackThis v1.99.1
Scan saved at 00:35:05, on 12.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe

C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\LORENZ~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Nothing - {7a932ed2-1737-4ab8-b84d-c71779958551} - C:\WINDOWS\system32\hp6C66.tmp
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgrWired] C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128324428156
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
Seitenanfang Seitenende
12.04.2006, 11:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Lorenztt
wenn du das hier ausfuehrst..suche ich die viren raus ;)

Zitat

2) DatfindBat (4 logs aber nur die letzten 3 Monate)
Anleitung+Download: http://virus-protect.org/datfindbat.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.04.2006, 12:26
...neu hier

Themenstarter

Beiträge: 7
#5 Datentr„ger in Laufwerk C: ist Sytem
Volumeseriennummer: 38EF-8802

Verzeichnis von C:\WINDOWS\system32

12.04.2006 12:23 5.032 ncompat.tlb
12.04.2006 12:21 41.103 vsconfig.xml
12.04.2006 12:21 7.168 interf.tlb
12.04.2006 12:21 43.520 hp7128.tmp
12.04.2006 12:21 44.557 ld6D60.tmp
11.04.2006 17:59 176.128 stickrep.dll
11.04.2006 17:59 17.556 nvctrl.exe
11.04.2006 17:59 4.286 ts.ico
11.04.2006 17:59 4.286 ot.ico
11.04.2006 17:59 10.196 mssearchnet.exe
11.04.2006 17:57 16.161 dfrgsrv.exe

10.04.2006 19:43 2.206 wpa.dbl
06.04.2006 21:48 5.143.456 MRT.exe
06.04.2006 02:48 248.696 FNTCACHE.DAT
04.04.2006 16:06 4.212 zllictbl.dat
04.04.2006 00:54 382.026 perfh009.dat
Seitenanfang Seitenende
12.04.2006, 14:21
Member

Beiträge: 96
#6

Zitat

2) DatfindBat (4 logs aber nur die letzten 3 Monate)
Anleitung+Download: http://virus-protect.org/datfindbat.html
Bitte Alle 4 Logs:

Es fehlen noch:

2.Log --> Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log --> Verzeichnis von C:\WINDOWS
4.Log--> Verzeichnis von C:\


Danach wird Sabina wieder alles hinbekommen ;)
__________
Mfg Aicalico
Seitenanfang Seitenende
12.04.2006, 14:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Lorenztt

die Daten reichen.... du kannst die Reinigung beginnen ;)

arbeite das ab:
http://virus-protect.org/artikel/spyware/spywarequake.html

Punkt 4 (Killbox)

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\vsconfig.xml
C:\DOKUME~1\LORENZ~1\LOKALE~1\Temp\SQLanguage.ini
C:\DOKUME~1\LORENZ~1\LOKALE~1\Temp\temp.frD633
C:\DOKUME~1\LORENZ~1\LOKALE~1\Temp\sa12.exe
C:\DOKUME~1\LORENZ~1\LOKALE~1\Temp\sa10.exe
C:\WINDOWS\IE4 Error Log.txt
C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\hp7128.tmp
C:\WINDOWS\system32\ld6D60.tmp
C:\WINDOWS\system32\stickrep.dll
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\dfrgsrv.exe

dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.04.2006, 14:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ich hab editiert...nun kannst du reinigen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.04.2006, 18:23
...neu hier

Themenstarter

Beiträge: 7
#9 ich bin nach punkt 4 (killbox) vorgegangen.

die permanente warnung virus alertist nun weg, aber ich kann meine startseite immernoch nicht ändern, wie stell ich das an? gruss
Seitenanfang Seitenende
12.04.2006, 18:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 du musst von punkt 1 bis.... 13 alles abarbeiten..... ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2006, 10:36
...neu hier

Themenstarter

Beiträge: 7
#11 ok, ich bin jetzt punkt für punkt durch.
der virus ist weg! danke!
aber ich hab jetzt ein weiteres problem: ich kann nicht mehr auf mein office (word, exel powerpoint,,) zugreifen. was ist passiert und was kann ich machen??
gruss
Seitenanfang Seitenende
13.04.2006, 13:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Lorenztt

von diesem Problem habe ich schon gehoert, wahrscheinlich hast du Cleanup nicht so wie angegeben eingestellt.
Du musst Office und Word und PowerPoint neu installieren. (ich hoffe, du hast die CDs)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2006, 13:10
...neu hier

Themenstarter

Beiträge: 7
#13 na klar :p

habe ich sonst noch was gelöscht was ich im moment nicht weiss?


sonst DANKE für die hilfe!!!!
Seitenanfang Seitenende
13.04.2006, 13:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 die Viren wahrscheinlich ;)
Berichte, ob nach der Neuinstallation von Office wieder alles rollert, wie es soll.
(und lade keinen suspekten Codecs !! , sonst bist du gleich wieder hier...)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »