SpywareQuake remove

#1

Zitat

CThomas

Habe seit einigen tagen den lästigen Virus, und bekomme ihn mit keinem progrmm weg. In diesem Forum konnte ich nützliches erfahren und habe bereits CLEAN UP und HYJACK THIS durchgeführt.

Wäre sehr dankbar, wenn du dir das mal anschauen könntest und mir zu weiteren schritten empfehlen könntest.


Logfile of HijackThis v1.99.1
Scan saved at 18:17:24, on 20.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atmclk.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Thomas\Desktop\HijackThis.exe

O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\System32\hp7DDE.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHUPD05] D:\WinXP\Programme\HPPrinter\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



Verzeichnis von C:\WINDOWS\system32

20.05.2006 18:32 5.036 stdole3.tlb
20.05.2006 17:35 24.077 ld4A1F.tmp
20.05.2006 16:16 0 ansi.cfg
20.05.2006 15:37 9.728 simpole.tlb
20.05.2006 15:37 73.728 hp7DDE.tmp
20.05.2006 15:37 109.056 dcomcfg.exe
20.05.2006 10:25 176.128 oqipt.dll
20.05.2006 10:25 9.952 atmclk.exe
20.05.2006 10:25 4.286 ot.ico
20.05.2006 10:23 2.206 wpa.dbl
08.05.2006 17:30 25.065 wmpscheme.xml
08.05.2006 17:28 16.832 amcompat.tlb
08.05.2006 17:28 23.392 nscompat.tlb
07.05.2006 18:49 0 asfiles.txt
07.05.2006 18:45 2.550 Uninstall.ico
07.05.2006 18:45 1.406 Help.ico
07.05.2006 09:11 176.128 autodisc32.dll
07.05.2006 09:09 31.757 regperf.exe
06.05.2006 09:30 311.938 perfh009.dat
06.05.2006 09:30 40.326 perfc009.dat
06.05.2006 09:30 317.168 perfh007.dat
06.05.2006 09:30 48.552 perfc007.dat
06.05.2006 09:30 723.744 PerfStringBackup.INI
10.04.2006 07:40 778.240 divx_xx07.dll
10.04.2006 07:40 778.240 divx_xx0c.dll
10.04.2006 07:40 761.856 divx_xx11.dll
10.04.2006 07:40 619.668 DivX.dll
09.04.2006 23:59 700.416 divxdec.ax
08.04.2006 05:21 118.784 DivXCodecUpdateChecker.exe
08.04.2006 03:13 53.248 dpuGUI10.dll
08.04.2006 03:13 593.920 dpuGUI11.dll
08.04.2006 03:13 90.112 dpl100.dll
08.04.2006 03:13 200.704 dtu100.dll
08.04.2006 03:13 344.064 dpus11.dll
08.04.2006 03:13 57.344 dpv11.dll
08.04.2006 03:13 294.912 dpu11.dll
08.04.2006 03:13 294.912 dpu10.dll
06.04.2006 20:15 421.888 pxdrv.dll
06.04.2006 20:15 108.544 pxcpyi64.exe
06.04.2006 20:15 109.568 pxinsi64.exe
06.04.2006 20:15 172.032 pxmas.dll
06.04.2006 20:15 372.736 px.dll
06.04.2006 20:15 56.832 pxcpya64.exe
06.04.2006 20:15 56.320 pxinsa64.exe
06.04.2006 20:15 61.440 pxhpinst.exe
06.04.2006 20:15 339.968 pxwave.dll
06.04.2006 20:15 28.672 vxblock.dll
06.04.2006 20:11 1.044.480 libdivx.dll
06.04.2006 20:11 200.704 ssldivx.dll
06.04.2006 20:11 3.596.288 qt-dx331.dll
06.04.2006 20:10 4.276 divxsm.tlb
06.04.2006 20:10 536.576 DivXsm.exe
06.04.2006 20:10 15.331 dsm_de.qm
06.04.2006 20:10 10.716 dsm_ja.qm
06.04.2006 20:10 352.401 DivXMedia.ax
06.04.2006 20:10 15.172 dsm_fr.qm
06.04.2006 15:46 110.192 FNTCACHE.DAT
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
21.03.2006 21:13 12.288 DivXWMPExtType.dll
21.03.2006 21:11 8.523 dpude.qm
21.03.2006 21:11 3.136 dtu_de.qm



Verzeichnis von C:\DOKUME~1\Thomas\LOKALE~1\Temp

20.05.2006 18:03 3.691 hph2
1 Datei(en) 3.691 Bytes
0 Verzeichnis(se), 1.235.935.232 Bytes frei


Verzeichnis von C:\WINDOWS

20.05.2006 17:34 0 0.log
20.05.2006 17:34 2.048 bootstat.dat
20.05.2006 17:33 32.660 SchedLgU.Txt
10.05.2006 22:22 50 wiaservc.log
10.05.2006 22:22 216 wiadebug.log
09.05.2006 15:19 87.128 setupapi.log
08.05.2006 17:28 62.761 wmsetup.log
07.05.2006 18:48 546 win.ini
07.05.2006 18:32 474.222 ntbtlog.txt
07.05.2006 12:29 178.451 setupact.log
18.04.2006 01:21 0 iPool.INI
08.04.2006 17:04 0 setuperr.log
01.04.2006 19:00 2.894 Windows Update.log
02.02.2006 18:53 343 ECMS.INI
23.12.2005 04:53 34 hpfsched.ini



Verzeichnis von C:\

20.05.2006 18:35 0 sys.txt
20.05.2006 18:35 3.876 system.txt
20.05.2006 18:34 286 systemtemp.txt
20.05.2006 18:33 96.896 system32.txt
20.05.2006 17:34 266.391.552 hiberfil.sys
20.05.2006 17:34 402.653.184 pagefile.sys
18.09.2005 14:54 0 hpcmerr.log
11.07.2005 20:01 0 AUTOEXEC.BAT
11.07.2005 20:01 0 IO.SYS
11.07.2005 20:01 0 MSDOS.SYS
11.07.2005 20:01 0 CONFIG.SYS
11.07.2005 19:40 194 boot.ini

__________
MfG Sabina

rund um die PC-Sicherheit

#2 CThomas

es gibt eine neue dll, deshalb poste bitte das log vom silentrunner
http://virus-protect.org/silentrunner.html

------------------------------------------------------------------------

Laden und alles auf dem Desktop entpacken:

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg -> reg-Datei doppeltklicken und der Registry beifuegen
---------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ...

C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\ansi.cfg
C:\DOKUME~1\Thomas\LOKALE~1\Temp\hph2
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\oqipt.dll
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\asfiles.txt
C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\autodisc32.dll
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\System32\vbsys2.dll

PC neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\System32\hp7DDE.tmp
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm

**
Datenträgerbereinigung: und Löschen der Temporary-Dateien
Start - Ausführen - cleanmgr (reinschreiben)
Klick: Temporäre Internet Files/Temporäre Internet Dateien -> o.k.
Klick: Temporäre Dateien -> o.k

**
öffne smitRem --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

boote wieder in den Normalmodus

**
deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

**
scanne mit superantispyware (free)
http://virus-protect.org/artikel/tools/superantispyware.html

berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#3

Zitat

Bedanke mich vorerst für die rasche antwort, wirklich sehr nett, habe den SILENTRUNNER ausgeführt und schicke nun den inhalt. hoffe das dies nun aufschlussreicher ist

"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"wininet.dll" = "regperf.exe" [null data]
"kernel32.dll" = "C:\WINDOWS\System32\atmclk.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe" ["HP"]
"HPHUPD05" = "D:\WinXP\Programme\HPPrinter\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" ["Hewlett-Packard"]
"HP Component Manager" = ""C:\Programme\HP\hpcoretech\hpcmpmgr.exe"" ["Hewlett-Packard Company"]
"HPHmon05" = "C:\WINDOWS\System32\hphmon05.exe" ["Hewlett-Packard"]
"Resume copy" = "copyfstq.exe /startup" [null data]
"HPHmon03" = "C:\WINDOWS\System32\hphmon03.exe" ["Hewlett-Packard"]
"WMC_AutoUpdate" = (empty string)

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]
{6BF52A52-394A-11d3-B153-00C04F79FAA6}\(Default) = "Microsoft Windows Media Player"
\StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{f79fd28e-36ee-4989-aa61-9dd8e30a82fa}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Nothing"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hp7DDE.tmp" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

Zitat

Vielen vielen dank für die großartige unterstützung, nach einiger arbeit es mir war nun möglich das nervige ding wegzubekommen. Kanns eigentlich noch gar nicht so richtig glauben nach all den vielen versuchen. (KILLBOX war der bringer)
Eine frage noch, kann ich mich in zukunft irgendwie im vorab vor solchen spyware programmen schützen, und was wäre da so ein räferenzprogramm.

__________
MfG Sabina

rund um die PC-Sicherheit

#4 CThomas

erst einmal finde ich nicht in Ordnung, dass du alles ueber PM machst ...und ich die Arbeit habe, also Thread fuer dich erstellen, alles umkopieren usw...

**
Killbox...schoen und gut, aber smitrem muss auch angewendet werden...
**
vor der Spyware kannst du dich (teilweise) schuetzen, indem du keine suspekten Codecs laedst.
und in Zukunft mit dem Firefox anstelle des IE surfst.
http://virus-protect.org/firefox.html
__________
MfG Sabina

rund um die PC-Sicherheit