[silent-kid]

Ich hoffe ich bin nicht der hundertste, der das fragt. Wenn ja, bitte verweißt mich auf den entsprechenden Threat.

Ich hab mir Spywarequake2.1 eingefangen, konnte aber bisher nur Infos zur Entfernung von Spywarequake2.0 finden.
Funktioniert das bei dem genauso wie bei 2.0 oder ist das anders? Wie sollte das laufen?
Mir ist jetzt zu Clean-up geraten worden.

Was genau macht Spywarequake eigtl. genau außer nerven?

Danke
sk

[Graumagier]

silent-kid sagte:

Mir ist jetzt zu Clean-up geraten worden.

Sehr gut, idealerweise erledigt man das mit einer Neuinstallation des Betriebssystems.

silent-kid sagte:

Was genau macht Spywarequake eigtl. genau außer nerven?

Es zeigt auf, dass irgendwas mit deinem Sicherheitskonzept nicht stimmt.

[silent-kid]

Unglaubliche Hilfe! Danke!
Und was schlägst du vor? Heih? Woher krieg ich ne gute PC-absicherung? Sag mir bitte nicht, dass ich den Rechner vom Netz nehmen soll Witzbold!

[Graumagier]

Nun, die entsprechenden Sticky-Threads hier im Forum sollten eigentlichen die wichtigsten Grundlagen enthalten, die bei der Absicherung des Systems zu beachten sind.

[.nano]

Ganz ruhig, dir hat keiner was getan

Ich denke wenn du dir die Mühe machst und ein bisschen im WWW suchst und dich über das Thema PC(Windows)-Sicherheit informierst, wirst du wissen, wie du dein System abzusichern hast. Allein schon bei den Sicherheits-Forum-Stickys solltest du was finden...

Und der Beitrag von Graumagier war zwar trocken, aber imo richtig. Es wird gefragt was man machen soll. Aber keiner versucht mal selber zu schauen... Wozu habt ihr einen Kopf? Zum tragen eines Hutes? Also macht mal was selber und lasst euch nicht immer alles vorkauen.

$0.02, nano

[linksta]

was hast du bitte? genauere infos wären gut

[silent-kid]

@graumagier + @nano:
Was die PC-Sicherheit angeht war mein Satz rein sarkastisch gemeint. Wie ich meinen PC absichere und wo ich Infos dazu finde weiß ich.
Ich bin bloß gerade am Rechner neu aufsetzen und hab mir schon was gefangen... grrr


@linksta:
Ich kriege regelmäßig Popups, die mich auffordern irgendwas zu meiner Systemsicherheit zu kaufen bzw. mir versuchen zu sagen, dass mein Systtem unsicher ist bzw. infiltriert wurde. Danke, das hab ich auch festgestellt.

Außerdem blinkt unten rechts in der Taskleiste ein Fenster regelmäßig auf, das mir sagt, dass mein System infiltriert ist.

Was ich gemacht habe, und ja, das ist natürlich meine Schuld, ich habe einen Codec installiert, und der war offensichtlich nicht clean.

[schrämp]

hol dir www.ewido.com lass drüberlaufen und lasses ihn reparieren/löschen wenn er in der lage dazu ist

und warum wird er wohl leicht genervt wirken? wenn er nur derartige antworten bekommt die hier anscheinend mode zu sein scheint, wie letztens wo einer meinte in seinen temporary internetfiles ist irgendwas was sein virenscanner nicht mag und die leute erzählen ihm er soll neu installieren ...

[linksta]

jo
könntest du dir bite hijackthis runterladen?
http://www.wintotal....oad.php?id=3728

danach postest oder hängst du das log einfach hier an. dann könnte man vllt besser an dem problem arbieten. Also gleich neuinstallieren finde ich blöd. vllt könnte man ja das system auch ohne neuinstalliation wieder sauber machen ^^

[silent-kid]

Ich probier momentan mal:
http://blog.patrickkempf.de/archives/2006/...uake-entfernen/
Da werde ich auch auf Ewido verwiesen. Danke!
Mal schauen.

Noch eine Sache:
Ich weiß durchaus wie ich an Infos komme, aber ob die auch was taugen weiß ich nicht. Darum frage ich in einem Board, das mir bisher immer ziemlich zuverlässig geholfen hat nach. Ich mags allerdings net wirklich so angepflaumt zu werden.



HijackThis LOG:


Logfile of HijackThis v1.99.1
Scan saved at 22:45:58, on 17.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Sicherheit\Viren\AntiVir PersonalEdition Classic\sched.exe
D:\Sicherheit\Viren\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Sicherheit\Viren\AntiVir PersonalEdition Classic\avgnt.exe
D:\Medien\Filme\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Internet\Java\bin\jusched.exe
D:\Medien\Musik\ITunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Internet\Browser\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
D:\Sicherheit\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Adobe Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Internet\Java\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Viren\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] D:\Medien\Filme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Internet\Java\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Medien\Musik\ITunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Internet\Java\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Internet\Java\bin\ssv.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Viren\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Sicherheit\Viren\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[burning-joe]

Zitat (schrämp: 17.06.2006, 22:37)

und warum wird er wohl leicht genervt wirken? wenn er nur derartige antworten bekommt die hier anscheinend mode zu sein scheint, wie letztens wo einer meinte in seinen temporary internetfiles ist irgendwas was sein virenscanner nicht mag und die leute erzählen ihm er soll neu installieren ...

Das mit den temporären Datein versteh ich ja noch, aber wenn das Proggi schon mal definitiv läuft und sich auch schön bemerkbar macht sollte das ja schonmal ein eindeutiges Zeichen sein.

Natürlich kann mans vielleicht irgendwie löschen, sodass nichts mehr aufpoppt oder ähnliches, aber werkelt dann im Hintergrund vielleicht nicht doch noch was?

[silent-kid]

Ich bin mir auch bewußt, dass ich kein Computer***** bin. Oder warum meint ihr, dass ich mich noch nicht hier als Mod beworben habe?

[linksta]

ich hab mal gegoogelt und ich glaub hab ne lösugn gefunden

Zitat

Systemwiederherstellung abschalten !
Papierkorb leeren
Abgesicherter Modus:

HijackThis fixen:
O2 - BHO: Nothing - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - C:\WINDOWS\system32\hpXXXX.tmp
R3 - URLSearchHook: (no name) - _{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - (no file)

die x gehören zu einer sich immer unterschiedlichen gestaltenden Hexadezimalen Nummer...

Löschen:
Inhalt von c:/windows/temp und c:/windows/prefetch
c:/windows/system32/1024 den Ordner löschen
c:/windows/system32/atmclk.exe
c:/windows/system32/dcomcfg.exe
c:/windows/system32/regperf.exe
Und alle hpXXXX.tmp Dateien löschen

Regedit:
HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer
oder
HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run
oder
HKLM/Software/Microsoft/Windows/CurrentVersion/Run

Alle Keys mit den Werten
"dcomcfg.exe"
"atmclk.exe"
"regperf.exe"
"c:/windows/system32/regperf.exe"
"c:/windows/system32/atmclk.exe"
"c:/windows/system32/dcomcfg.exe"
löschen

Neustarten im normalen Modus und Systemwiederherstellung wieder aktivieren...

Danach nochmal mit Hijackthis scannen und auf hijackthis.de/de auswerten lassen
Sollte nochwas sein, einzelne Files auf http://www.virustota.../en/indexf.html scannen lassen

das ganze ist wohl zusammenhängend mit deiner spyware und ist wohl die "light version"

[silent-kid]

SmitFraudFix v2.61

Scan done at 22:53:35,57, 17.06.2006
Run from D:\Sicherheit\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\atmclk.exe FOUND !
C:\WINDOWS\system32\dcomcfg.exe FOUND !
C:\WINDOWS\system32\hp?.tmp FOUND !
C:\WINDOWS\system32\hp?.tmp FOUND !
C:\WINDOWS\system32\ld?.tmp FOUND !
C:\WINDOWS\system32\regperf.exe FOUND !
C:\WINDOWS\system32\simpole.tlb FOUND !
C:\WINDOWS\system32\stdole3.tlb FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\silent-avatar\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{ed39ecef-902e-4ed1-8434-71e8db89e5ca}"="decorin"

[HKEY_CLASSES_ROOT\CLSID\{ed39ecef-902e-4ed1-8434-71e8db89e5ca}\InProcServer32]
@="C:\WINDOWS\system32\oybgrql.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{ed39ecef-902e-4ed1-8434-71e8db89e5ca}\InProcServer32]
@="C:\WINDOWS\system32\oybgrql.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

[Graumagier]

schrämp sagte:

wenn er nur derartige antworten bekommt die hier anscheinend mode zu sein scheint, wie letztens wo einer meinte in seinen temporary internetfiles ist irgendwas was sein virenscanner nicht mag und die leute erzählen ihm er soll neu installieren ...

Tja, nur ist es diesmal ganz offensichtlich zu einer Kompromittierung gekommen, die Konsequenzen sollten bekannt sein.

linksta sagte:

ich hab mal gegoogelt und ich glaub hab ne lösugn gefunden

Ich auch, siehe erster Post...

@silent-kid: Komm' mal wieder runter, wenn du die hier vorhandenen Tipps ordentlich umgesetzt hättest hättest du jetzt keine Probleme.