ein paar fragen zu spyquake und registry

#1 hallo,

ein paar fragen zum entfernen von spyquake2.com2.3. (habe win2000)
(die mir wichtigen fragen habe ich mal blau gemacht.)

ich habe mir hier schon einige threads durchgelesen (ua natürlich auch den http://virus-protect.org/artikel/spyware/spywarequake.html)

bis jetzt habe ich gemacht :
mit antivir alles durchsucht, gefundenes in quarantäne.
in systemeinstellungen/software das spyquake-programm deinstalliert – angeblich erfolgreich.
cleanup lt beschreibung aus dem thread http://virus-protect.org/artikel/spyware/spywarequake.html, allerdings habe ich komischerweise nicht die möglichkeit einen haken bei prefetch files zu machen, das kästchen bleibt grau.
dann adaware.
(msconfig – um häkchen beim autostart zu machen und dort evtl eine spyquake-datei zu deaktivieren – mir erst wieder auf win2000 holen muß bzw. noch danach suche)

nun bin ich in die registry gelandet und habe dort nach einträgen von spyquake gesucht.
einen schlüssel mit wert habe ich unter dem verzeichnis microsoft/software gelöscht - hätte es erst abschreiben sollen und vllt vorher fragen *zerknirscht guck

nun habe ich noch folgende einträge, von denen ich gerne wissen würde, ob man den schlüssel oder wert einfach löschen bzw ändern kann :

hkey_classes_root/{5e05ea9f-1ea7-4d0b-etc}/1.0/0/win32 :
name : (standard), typ : reg_sz, wert : c:\programme\spyquake2.com\spy-quake2.exe

hkey_classes_root/type lib/{5e05ea9f-1ea7-4d0b-etc}/1.0/helpdir :
name : (standard), typ : reg_sz, wert : c:\programme\spyquake2.com\

hkey_local_machine/software/classes/type lib/{5e05ea9f-1ea7-4d0b-etc}/1.0/0/win32 :
name : (standard), typ : reg_sz, wert : c:\programme\spyquake2.com\spy-quake2.exe

hkey_local_machine/software/classes/type lib/{5e05ea9f-1ea7-4d0b-etc}/1.0/helpdir :
name : (standard), typ : reg_sz, wert : c:\programme\spyquake2.com\

hkey_local_machine/software/classes/logitech/mouseware/current version/gaming compatibility :
name : quake 3, typ : reg_sz, wert : quake3.exe
(keine ahnung, ob das zu spyquake gehört, hatte nur nach "quake" gesucht)

hkey_local_machine/software/classes/microsoft/windows nt/current version/ comatibility :
name : quake, typ : reg_sz, wert : 0x80
(ebenfalls : keine ahnung, ob das zu spyquake gehört, hatte nur nach "quake" gesucht)

hkey_users/s-1-5-21-107etc/software/microsoft/windows/current version/explorer/menu ordner/start menu/programs/spy quake2.com
(ist das für das start-popup im ie verantwortlich ?)

per google fand ich dies hier, da ich mich fragte, ob ich den ganzen type lib eintrag {5e05ea9f-1ea7-4d0b-etc} mit den ordnern löschen könnte :

Zitat

Der letzte Abschnitt von HKEY_CLASSES_ROOT ist der Interface-Abschnitt. In diesem Abschnitt wird jeder Eintrag mit einem TypeLib-Eintrag mit den Einträgen in HKEY_CLASSES_ROOT\TypeLib verglichen. Wird keine Übereinstimmung gefunden, wird der Eintrag hier aufgelistet. Dieser Eintrag hat den geringsten Informationsgehalt für die Entscheidung, welche Registrierungseinträge zu löschen sind. Die einzigen verfügbaren Informationen sind die TypeLib- und Interface-GUIDs. Da dieser Abschnitt jedoch weitgehend vom TypeLib-Abschnitt abhängig ist, sollten diese Einträge bedenkenlos gelöscht werden können, sofern zunächst die TypeLib-Probleme behoben wurden.

demnach nehme ich an, type lib einträge kann man löschen, wenn man das programm deinstalliert hat ?

und die frage, ob mein optimismus zu recht besteht, daß nach löschung/änderung dieser registry-einträge, spyquake weg ist ?
oder muß ich tatsächlich noch alles weitere aus dem thread http://virus-protect.org/artikel/spyware/spywarequake.html durchgehen (zb mit vundo, aber in anderen threads auch noch von vielen anderen scan- und fix-progs etwas gelesen habe) ?

vielen dank für die mühe und viele grüße, skys

#2 arbeite erst mal mit smitfraud.fix und lasse auch die registry mitreinigen
http://virus-protect.org/artikel/tools/smitfrautfix.html

dann poste die 4 logs, ich sehe nach, was noch drauf ist:

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 ok, also :

smitfraud mit dem profil dessen, der sich alles eingefangen hat :

SmitFraudFix v2.74

Scan done at 20:40:22,58, Do 20.07.2006
Run from H:\H_programme\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32

C:\WINNT\system32\issearch.exe FOUND !
C:\WINNT\system32\ixt?.dll FOUND !
C:\WINNT\system32\ixt??.dll FOUND !
C:\WINNT\system32\ot.ico FOUND !
C:\WINNT\system32\ts.ico FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\hrm\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\hrm\FAVORI~1

C:\DOKUME~1\hrm\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End



smitfraud mit einem anderen (admin-)profil :

SmitFraudFix v2.74

Scan done at 20:54:02,10, Do 20.07.2006
Run from H:\H_programme\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINNT\system32\issearch.exe Deleted
C:\WINNT\system32\ixt?.dll Deleted
C:\WINNT\system32\ot.ico Deleted
C:\WINNT\system32\ts.ico Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End


spielt es bei smitfraud eine rolle, ob auf h oder c ist ? *mir gerade einfällt*


datfind - sys :

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\

20.07.2006 21:15 0 sys.txt
20.07.2006 21:15 4.753 datfindsystem.txt
20.07.2006 21:14 137 datfindsystemtemp.txt
20.07.2006 21:13 137 systemtemp.txt
20.07.2006 21:13 4.753 system.txt
20.07.2006 21:13 441 datfindsystem32.txt
20.07.2006 21:12 81.864 system32.txt
20.07.2006 20:57 201.326.592 PAGEFILE.SYS
20.07.2006 20:54 1.011 rapport.txt
23.07.2005 07:22 104.990 wtge61ge.HST

19 Datei(en) 202.089.866 Bytes
0 Verzeichnis(se), 3.991.654.400 Bytes frei


datfind - system :

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\WINNT

20.07.2006 20:53 14.654 ntbtlog.txt
20.07.2006 20:48 32.634 SchedLgU.Txt
20.07.2006 20:48 554.841 WindowsUpdate.log
18.07.2006 23:58 62 wininit.ini
15.07.2006 13:50 7.883 hrm8.xlb
01.06.2006 04:19 207.434 setupapi.log
25.04.2006 18:28 348 DINFO.INI

87 Datei(en) 4.424.681 Bytes
0 Verzeichnis(se), 3.991.543.808 Bytes frei


datfind - system32 :

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\WINNT\system32

05.07.2006 21:55 57.384 avsda.dll
30.04.2006 02:36 3.233 FFASTLOG.TXT
30.03.2006 02:07 88.704 FNTCACHE.DAT
10.11.2005 09:34 100.352 dfrg.msc

1581 Datei(en) 211.561.977 Bytes
0 Verzeichnis(se), 3.991.629.824 Bytes frei


datfind - systemtemp :

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\DOKUME~1\hrmad\LOKALE~1\Temp


und weil es oft noch gefragt ist, ein hijackthis-log :

Logfile of HijackThis v1.98.2
Scan saved at 21:31:07, on 20.07.2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
D:\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
D:\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\Explorer.EXE
D:\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\internat.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
H:\H_programme\firebird\MozillaFirebird.exe
H:\H_programme\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DInfoSetup] d:\D-Info2000\SDinfo.exe /INIKEY
O4 - HKLM\..\Run: [WheelMouse] C:\psn\wh_exec.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1124.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8ACA03BF-6E00-4623-AC5E-82D0AA8A09C2}: NameServer = 194....,192.168.1.1

hm... - keine ahnung ob für spyquake-lösung interessant, ich weiß, daß evtl noch trojaner drauf sind/waren, um die ich mich später kümmern wollte :

- TR/FakeAlert.CO.1
auf C:\WINNT\system32\components\flx5.dll

- signatur von SPR/Hoax.Renos.DW.2-Programmes
auf C:\WINNT\system32\yephk.dll

- TR/Agent.TC.1
auf C:\WINNT\system32\isnotify.exe

- TR/Dldr.Zlob.YT
auf C:\WINNT\system32\ishost.exe

- TR/Drop.Zlob.VY.11
auf C:\WINNT\system32\ishost.exe

- SPR/Fake.Spyware Qua
auf C:\Pogramme\Spyquake2.com\Spy-Quake2.exe

- enthält signatur des java-virus Java/Black-Box.AA.1
auf C:\Doku und Einstellungen\hrm\Lokale Einst\Temp Inet Files\Content.IE5\ENCZSR85\count[1].jar

*seufz + wenn der pc wieder sauber ist, die benutzerrechte noch mehr einsschränke grml


danke + viele grüße, skys

#4 skys

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINNT\system32\components" >>files.txt
dir "C:\WINNT\Downloaded Program Files" >>files.txt
dir "C:\Programme\Safety Bar" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#5 der text im admin profil :

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\WINNT\system32\components

15.07.2006 19:26 <DIR> .
15.07.2006 19:26 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 3.990.433.792 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\WINNT\Downloaded Program Files

22.04.2005 17:57 <DIR> .
22.04.2005 17:57 <DIR> ..
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
30.06.2003 22:41 1.689 WMV9VCM.inf
02.03.2001 13:43 2.132 wmv8ax.inf
01.05.2000 19:06 1.988 wmvax.inf
27.08.2005 13:30 5.065 swflash.inf
09.02.2005 16:54 1.271 erma.inf
18.07.2005 17:08 315.392 mail_upload.ocx
18.07.2005 17:36 863 mail_upload.inf
9 Datei(en) 330.259 Bytes
2 Verzeichnis(se), 3.990.433.792 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\Programme\Safety Bar

15.07.2006 19:26 <DIR> .
15.07.2006 19:26 <DIR> ..
15.07.2006 19:26 24.064 Safety Bar.dll
15.07.2006 19:26 312 Uninstall.bat
2 Datei(en) 24.376 Bytes
2 Verzeichnis(se), 3.990.433.792 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\Programme

22.04.2005 17:44 <DIR> .
22.04.2005 17:44 <DIR> ..
22.04.2005 17:44 <DIR> Gemeinsame Dateien
22.04.2005 17:55 <DIR> Windows NT
22.04.2005 17:55 <DIR> Zubeh”r
22.04.2005 17:55 <DIR> Windows Media Player
22.04.2005 17:56 <DIR> Internet Explorer
22.04.2005 17:56 <DIR> Outlook Express
22.04.2005 17:56 <DIR> NetMeeting
22.04.2005 17:59 <DIR> microsoft frontpage
05.08.2005 19:09 <DIR> EPSON
23.08.2005 05:22 <DIR> Logitech
10.12.2005 12:51 <DIR> Yahoo!
30.04.2006 02:24 <DIR> AntiVir PersonalEdition Classic
15.07.2006 19:26 <DIR> Safety Bar
0 Datei(en) 0 Bytes
15 Verzeichnis(se), 3.990.433.792 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\Programme\Gemeinsame Dateien

#6 und noch der text im profil des grml-users :

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\WINNT\system32\components

15.07.2006 19:26 <DIR> .
15.07.2006 19:26 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 3.990.433.792 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\WINNT\Downloaded Program Files

22.04.2005 17:57 <DIR> .
22.04.2005 17:57 <DIR> ..
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
30.06.2003 22:41 1.689 WMV9VCM.inf
02.03.2001 13:43 2.132 wmv8ax.inf
01.05.2000 19:06 1.988 wmvax.inf
27.08.2005 13:30 5.065 swflash.inf
09.02.2005 16:54 1.271 erma.inf
18.07.2005 17:08 315.392 mail_upload.ocx
18.07.2005 17:36 863 mail_upload.inf
9 Datei(en) 330.259 Bytes
2 Verzeichnis(se), 3.990.433.792 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\Programme\Safety Bar

15.07.2006 19:26 <DIR> .
15.07.2006 19:26 <DIR> ..
15.07.2006 19:26 24.064 Safety Bar.dll
15.07.2006 19:26 312 Uninstall.bat
2 Datei(en) 24.376 Bytes
2 Verzeichnis(se), 3.990.433.792 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\Programme

22.04.2005 17:44 <DIR> .
22.04.2005 17:44 <DIR> ..
22.04.2005 17:44 <DIR> Gemeinsame Dateien
22.04.2005 17:55 <DIR> Windows NT
22.04.2005 17:55 <DIR> Zubeh”r
22.04.2005 17:55 <DIR> Windows Media Player
22.04.2005 17:56 <DIR> Internet Explorer
22.04.2005 17:56 <DIR> Outlook Express
22.04.2005 17:56 <DIR> NetMeeting
22.04.2005 17:59 <DIR> microsoft frontpage
05.08.2005 19:09 <DIR> EPSON
23.08.2005 05:22 <DIR> Logitech
10.12.2005 12:51 <DIR> Yahoo!
30.04.2006 02:24 <DIR> AntiVir PersonalEdition Classic
15.07.2006 19:26 <DIR> Safety Bar
0 Datei(en) 0 Bytes
15 Verzeichnis(se), 3.990.433.792 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\Programme\Gemeinsame Dateien

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\WINNT\system32\components

15.07.2006 19:26 <DIR> .
15.07.2006 19:26 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 3.989.786.624 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\WINNT\Downloaded Program Files

22.04.2005 17:57 <DIR> .
22.04.2005 17:57 <DIR> ..
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
30.06.2003 22:41 1.689 WMV9VCM.inf
02.03.2001 13:43 2.132 wmv8ax.inf
01.05.2000 19:06 1.988 wmvax.inf
27.08.2005 13:30 5.065 swflash.inf
09.02.2005 16:54 1.271 erma.inf
18.07.2005 17:08 315.392 mail_upload.ocx
18.07.2005 17:36 863 mail_upload.inf
9 Datei(en) 330.259 Bytes
2 Verzeichnis(se), 3.989.786.624 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\Programme\Safety Bar

15.07.2006 19:26 <DIR> .
15.07.2006 19:26 <DIR> ..
15.07.2006 19:26 24.064 Safety Bar.dll
15.07.2006 19:26 312 Uninstall.bat
2 Datei(en) 24.376 Bytes
2 Verzeichnis(se), 3.989.655.552 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\Programme

22.04.2005 17:44 <DIR> .
22.04.2005 17:44 <DIR> ..
22.04.2005 17:44 <DIR> Gemeinsame Dateien
22.04.2005 17:55 <DIR> Windows NT
22.04.2005 17:55 <DIR> Zubeh”r
22.04.2005 17:55 <DIR> Windows Media Player
22.04.2005 17:56 <DIR> Internet Explorer
22.04.2005 17:56 <DIR> Outlook Express
22.04.2005 17:56 <DIR> NetMeeting
22.04.2005 17:59 <DIR> microsoft frontpage
05.08.2005 19:09 <DIR> EPSON
23.08.2005 05:22 <DIR> Logitech
10.12.2005 12:51 <DIR> Yahoo!
30.04.2006 02:24 <DIR> AntiVir PersonalEdition Classic
15.07.2006 19:26 <DIR> Safety Bar
0 Datei(en) 0 Bytes
15 Verzeichnis(se), 3.989.782.528 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 3C62-18F6

Verzeichnis von C:\Programme\Gemeinsame Dateien

welches profil ist relevant für dich ?
nur das des users, da der sich den mist geholt hat ?

viele grüße, skys

#7 1.
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Safety Bar

Files to delete:

C:\Programme\Safety Bar\Safety Bar.dll
C:\Programme\Safety Bar\Uninstall.bat

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
poste das log vom avenfer, was erscheint

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll

PC neustarten

4.
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

5.
loesche:

C:\WINNT\system32\components
C:\Programme\Safety Bar
__________
MfG Sabina

rund um die PC-Sicherheit

#8 sabina, ist es relevant, unter welchem profil ich das mache, ob vom adminprofil oder dem des users (hauptbenutzer) ?

#9 ist egal, wo du das machst, aber mache refresh mit der seite, ich habe noch was veraendert
__________
MfG Sabina

rund um die PC-Sicherheit

#10 hm, hatte refreshed, aber meldung bekam nach der grünen ampel :

fenster : Fatal error : could not create new script file
fenster : could not log error --- aborting now

EDIT :
Error code: 1421

die anderen punkte trotzdem schon machen hat dann keinen sinn, oder doch ?
bzw, der text von dir für den avenger, um die dateien und in der reg zu löschen, auch von hand zu machen wäre - durch die pfadangabe ja recht sicher wäre, oder nicht ?

#11 wenn der avenger nicht funktioniert...loesche manuell aus der registry ,PC neustarten und C:\Programme\Safety Bar desinstallieren...loeschen
und alles andere abarbeiten
__________
MfG Sabina

rund um die PC-Sicherheit

#12 hi sabina,

war mir nicht sicher, ob avenger im hintergrund noch mehr macht, daher fragte.

habe nun alles manuall gemacht und abgearbeitet. ie mit startseite funktioniert auch wieder (wohl das sichtbarste an allem).

ich habe nun im startmenü noch 2 einträge stehen, von denen ich nicht weiß, ob sie zu dieser komischen safety dingens gehören :
Online Security Guide - link unter eigenschaft : http://securitysafeguard.com
Security Troubleshooting - link unter eigenschaft : http://thesecuritytest.com

(außerdem auf C ein ordner found.000 mit vielen dateien vom typ 'Recovered File Fragments' sind - am liebsten auch gleich löschen würde, sagt mir nix.)

ist damit spyquake fertig ? betraf jetzt doch nur die safety bar oder ist das identisch ?
was ist mit den spyquake-einträgen in der registry ?

vielen dank schon mal und einen schönen (kühleren) tag morgen, skys


ps: ich habe gesehen du hast etwas mit paypal.
bin da etwas (evtl zu) mißtrauisch, auch wenn es angeblich recht sicher sein soll - stehen von dir woanders vielleicht auch normale blz, etc-infos ?

#13 smitfraud.fix muesste das eigentlich loeschen.................

mache folgendes:

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

poste den scanreport

-------------
die reg-Eintraege von spywarequake loeschen smitfraud.fix und smitrem.

gesammelte "Werke"
http://virus-protect.org/artikel/spyware/spywarequake.html

-
__________
MfG Sabina

rund um die PC-Sicherheit

#14 hallo,

hm, irgendwie evtl etwas schief lief :
bevor das prog startete, kamen die infos, wenn es einen uninstaller zu winhound, alfacleaner, spwarequake, trustcleaner gäbe, würde es deinstalliert werden. ok
beim trust cleaner hieß es system kann pfad nicht finden.
und beim spyheal stand : spyheal may open... just close it - wobei ich allerdings da nichts machen konnte, da keine ahnung, ob das prog habe bzw wie schließen.
dann kamen noch die meldungen : smitfrau.reg und smitfra.reg kann nicht importiert werden, fehler beim zugriff auf registry. (evtl daran lag, daß nicht im admin-profil drin war - ergo nochmal wiederholen sollte ?)

danach sah ich, daß alles gescannt wurde, aber dann war alles weg, gab nix zum kopieren oder text im editor.

und danach bot es mir an disk cleanup zu machen, was 3 stdn dauern könnte *ahnte, daß das nicht sollte, aber keine andere option sah*
ließ also bereinigen... (dauerte nicht mal eine minute)

registry nochmal anch einträgen absuchte, je nach benutzerprofil unterschiede gab :

admin-profil :
1) hkey_classes_root\applications\spy-quake2.exe
wert nicht gesetzt

2) hkey_local_machine\software\classes\applications\spy-quake2.exe
wert nicht gesetzt


user-profil :
1) hkey_classes_root\applications\spy-quake2.exe

2) hkey_current_user\software\microsoft\windows\current version\explorer\menu order\start menu\programs\spyquake2.com

3) hkey_local_machine\software\classes\applications\spy-quake2.exe

4) hkey_users\s-1-5-2-1-1078081533-...\software\microsoft\windows\current version\explorer\menu order\start menu\programs\spyquake2.com

meist nur mit standard und nicht gesetztem wert, manchmal auch noch einem 2.eintrag auf der rechten seite (zb namens order)


daher frage :
kann ich all diese einträge bzw spyquake-ordner von hand (in beiden profilen) löschen ?
verschwinden danach zb auch die beiden einträge im startmenü ?
bringt dir ein hijackthis etwas ?
als wie sauber kann ich den pc betrachten ?
ich hatte ja noch ein paar trojaner in quarantäne geschoben, wurden die bei den tools miteentfernt oder ist es besser, ich kümmere mich um die nochmals extra ?

und was genau bedeutet "enthält signatur des java-virus" - liegt dann eine infektion mit dem virus vor oder nicht ?

viele grüße + eiswürfel durch die gegend werfe, skys


(grmpf, dann muß ich mich mal bei paypal einlesen *mir arg unwohl ist bei solchen sachen, aber ich guck mal...)

#15 Tip 1 :
wenn du bei der Anwendung von smitfraud.fix auch laut Anweisungen die registry mitreinigen laesst (im abgesicherten Modus....), musst du nicht in die Registry und alles von spyquake2.com per Hand loeschen.....

Tip 2 :
wende auch roguescanfix.exe an (siehe meine Seite, Punkt 5) ..falls du es nicht schon angewendet hast.
http://virus-protect.org/artikel/spyware/spywarequake.html

diese meldungen gehoeren zum Programm...sind also normal

Zitat

bevor das prog startete, kamen die infos, wenn es einen uninstaller zu winhound, alfacleaner, spwarequake, trustcleaner gäbe, würde es deinstalliert werden. ok
beim trust cleaner hieß es system kann pfad nicht finden.
und beim spyheal stand : spyheal may open... just close it - wobei ich allerdings da nichts machen konnte, da keine ahnung, ob das prog habe bzw wie schließen.

Tip 3:
Mache einen Onlinescan mit ewido und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit