SpywareQuake eingefangen

PicoBS · Jun 12, 2006

Moin Ihr Lieben,

ich habe mir vorhin einen codec für den VLC laden wollen und durfte hinterher feststellen, dass ich mir von der tollen Firma SpywareQuake was eingefangen habe. Im Startmenü wurden 2 Links zu den Internetseiten der Firma abgelegt, diese konnte ich löschen. Viel schlimmer ist aber das Symbol in der Taskleiste : es wechselt ständig zwischen dem MS - Help - Fragezeichen und einem "Verboten" - Zeichen ... und ab und zu geht dann noch ein dämliches PopUp auf (Your computer is infected, critical system error).

http://foto.arcor-online.net/palb/alben/60/775560/1280_3135663931383064.jpg

http://foto.arcor-online.net/palb/alben/60/775560/1280_3636313439363535.jpg

Der Autostart gibt nichts ungewöhnliches her, die laufenden Prozesse auch nicht, HiJack auch nicht.

Jetzt meine Farge : wer hatte das tolle Ding auch schonmal? Und vor allem : wie kriege ich es wieder weg?

Danke schonmal für Eure Antworten!

Nevok · Jun 13, 2006

Hallo PicoBS

Ich hatte SpywareQuake noch nicht auf'm Rechner, aber ich hab mich bei Google mal umgeschaut und bin auf folgende Links gestoßen:

http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-spywarequake.html

http://virus-protect.org/artikel/spyware/spywarequake.html

Gruß
Nevok

PicoBS · Jun 13, 2006

Moin Nevok,

vielen Dank für Deinen Tip - jetzt weiss ich wenigstens, was genau es ist. Problem ist aber : ich habe die eigentliche Software nicht auf dem PC, sondern nur dieses dämliche PopUp, wie es auf der Virus-Protect - Site zu sehen ist. HiJack schlägt nicht an :-(

Aber ich werde mal sehen, was ich noch von Symantec rumliegen habe, vielleicht hilft's ja wirklich ...

Nochmals Dank und bis dann

Jasager · Jun 13, 2006

Hallo,
poste mal einen Link zu deinem Hijackthis Log wie hier beschrieben.

Grüße Jasager

nemox · Jun 13, 2006

Tach,

Ich hab auch das gleiche Problem. Also falls es irgendwie noch n paar links gibt, wär es schön wenn man die noch erfahren könnte. Danke scho mal im vorraus.

Jasager · Jun 13, 2006

Hallo,
jetzt mal eine Liste von dem was ich brauche um euch zu helfen.

1.) Den Link zum HijackThis Log
2.) Folgendes Programm runterladen, wie im Unterpunkt "Suche" beschrieben laufen lassen und den Inhalt der Datei C:\rapport.txt posten.
3.) Löscht eure Temp Dateien mit Cleanup! und postet die vier Logfiles der Datfind.bat, aber nur die Dateien des letzten Monats abkopieren!

So, solange ihr diese drei Punkte nicht komplett abarbeitet werde ich euch nicht helfen.

Grüße Jasager

__LoeCkChEn__ · Jun 14, 2006

hab auch dieses problem...

1) http://www.hijackthis.de/logfiles/6baac68afadc6abbc78a54fdb64622b9.html

2) SmitFraudFix v2.60

Scan done at 14:13:45,00, Mi 14.06.2006
Run from C:\Dokumente und Einstellungen\Steffi\Desktop\Neuer Ordner (2)\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\asxbbx.dll FOUND !
C:\WINDOWS\system32\atmclk.exe FOUND !
C:\WINDOWS\system32\dcomcfg.exe FOUND !
C:\WINDOWS\system32\hp???.tmp FOUND !
C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\ot.ico FOUND !
C:\WINDOWS\system32\regperf.exe FOUND !
C:\WINDOWS\system32\simpole.tlb FOUND !
C:\WINDOWS\system32\stdole3.tlb FOUND !
C:\WINDOWS\system32\ts.ico FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Steffi\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Steffi\FAVORI~1

C:\DOKUME~1\Steffi\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\MalwareWipe\ FOUND !
C:\Programme\SpywareQuake.com\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{9ae613a2-a13b-4379-8d0e-86a1a78476ec}"="corindon"

[HKEY_CLASSES_ROOT\CLSID\{9ae613a2-a13b-4379-8d0e-86a1a78476ec}\InProcServer32]
@="C:\WINDOWS\system32\rmzdzx.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{9ae613a2-a13b-4379-8d0e-86a1a78476ec}\InProcServer32]
@="C:\WINDOWS\system32\rmzdzx.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

3) hab mir das runter geladen aba wenn ich das mach dann lösht der das nich sondern sagt immer nur irgendwie .. wenn das kein demo wäre dann würden xxx datein gelöscht werden...

Jasager · Jun 14, 2006

Hallo,
1.) Smitfraudfix wie im Unterpunkt Reinigung beschrieben laufen lassen, danach wieder den Inhalt der Datei C:\rapport.txt posten.

2.) Cleanup! weglassen und mit der Datfind.bat weitermachen, aber wie gesagt, nur die Dateien des letzten Monats!

Grüße Jasager

__LoeCkChEn__ · Jun 14, 2006

okay hier is die rapport datei

SmitFraudFix v2.60

Scan done at 19:00:14,76, Mi 14.06.2006
Run from C:\Dokumente und Einstellungen\Steffi\Desktop\Neuer Ordner (2)\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{9ae613a2-a13b-4379-8d0e-86a1a78476ec}"="corindon"

[HKEY_CLASSES_ROOT\CLSID\{9ae613a2-a13b-4379-8d0e-86a1a78476ec}\InProcServer32]
@="C:\WINDOWS\system32\rmzdzx.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{9ae613a2-a13b-4379-8d0e-86a1a78476ec}\InProcServer32]
@="C:\WINDOWS\system32\rmzdzx.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\asxbbx.dll Deleted
C:\WINDOWS\system32\atmclk.exe Deleted
C:\WINDOWS\system32\dcomcfg.exe Deleted
C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\regperf.exe Deleted
C:\WINDOWS\system32\simpole.tlb Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\Programme\MalwareWipe\ Deleted
C:\Programme\SpywareQuake.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\rmzdzx.dll -> Hoax.Win32.Renos.gen.b
C:\WINDOWS\system32\rmzdzx.dll -> Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

und bei deinem zweiten punkt weis ich nicht wo ich die datei datfind.bat finde..??

Log in or Sign up

SpywareQuake eingefangen

PicoBS Megabyte

Nevok Ganzes Gigabyte

PicoBS Megabyte

Jasager Viertel Gigabyte

nemox Byte

Jasager Viertel Gigabyte

LoeCkChEn Byte

Jasager Viertel Gigabyte

LoeCkChEn Byte

Share This Page

Log in or Sign up

SpywareQuake eingefangen

PicoBS Megabyte

Nevok Ganzes Gigabyte

PicoBS Megabyte

Jasager Viertel Gigabyte

nemox Byte

Jasager Viertel Gigabyte

__LoeCkChEn__ Byte

Jasager Viertel Gigabyte

__LoeCkChEn__ Byte

Share This Page

LoeCkChEn Byte

LoeCkChEn Byte