Forum
Tipps
News
Menu-Icon

Spyware/Virus

Hallo Leute!

Irgendwie hat sich bei mir ein Programm installiert welches nun bei jedem Start von Windows meinen System32 Ordner aufruft. Gleichzeitig erscheint ein Popup Fenster über der Uhr in der Taskleiste wo drin steht das mein PC infiziert ist. Es handelt sich allerdings hierbei um einen Werbebanner denn wenn man drauf drückt gelangt man zur Seite: www.spywarequake.com

Habe jetzt schon alles versucht. Diverse Virenscanner, Spybots, adaware,...etc haben nichts ausrichten können. Habe die registry auch schon nach spywarequake durchsucht und ein paar schlüssel gelöscht aber das ändert auch nichts daran das jedesmal dieses sch... popup fenster kommt und der system32 Ordner beim Start angezeigt wird.

Hat vllt jemand eine Idee woran das liegen kann oder wie ich an die datei ran komme die das verschuldet?

Hier mal ein Bild von dem Popup Fenster. Vllt kennt das ja jemand.


Bild



Antworten zu Spyware/Virus:

Hallo,
versuche es erst mal mit dem folgenden Vorschlag zur Lösung des Problems.

Lösche bitte deinen Browser Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
setze bei den Einstellungen unter dem Reiter von Windows und Anwendungen alle möglichen Häckchen und führe CCleaner aus.

Benütze das Removaltool gegen Smitfraud und Co., in englischer Sprache.
Eine kurze Anleitung in Deutsch ist auf der Homepage vorhanden und sollte unbedingt genau befolgt werden.
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php
Das Tool sollte auch in deinen Fall das Problem mit “SpywareQuake“ lösen.


Weiter lade dir die kostenlose Software von Ewido herunter.
ewido anti-malware, ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen !
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Zur Kontrolle sollte noch eine Überprüfung mit den beiden kostenlosen Online-Scanner vorgenommen werden.
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#

Bei Rückfragen bitte immer die Scan-Protokolle hier posten.

Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hi,

Dieses spezielle Tool solltest du mal drüberlaufen lassen.
Generic Smitfraud Remover. http://www.chip.de/downloads/c1_downloads_18169812.html
Hier eine Anleitung. http://www.hijackthis-forum.de/showpost.php?p=52874&postcount=10

Hi Leutz!

Danke für eure hilfreichen Tips!! Hab das Programm endlich weg bekommen. Hier noch meine Log von HijackThis:

 http://home.arcor.de/j-beilmann/hijackthis.log

Saskin,
fixe aus dem Logfile of HijackThis die folgende Einträge, da es sich um Malware handelt:

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Programme\DAP\DAPBHO.DLL

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\qomklif.dll

O20 - Winlogon Notify: qomklif - C:\WINDOWS\SYSTEM32\qomklif.dll

O20 - Winlogon Notify: windgj32 - windgj32.dll (file missing)
Anmerkung: Ist nur noch ein harmloser Rest von Malware


Zur Kontrolle sollte unbedingt noch eine Überprüfung mit dem kostenlosen Online-Scanner von Panda vorgenommen werden.
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)
 
Wird dabei Malware gefunden, dann poste das Scan-Protokoll hier.
 
Übrigens, zwei aktive Virenscanner auf dem PC ist keine gute Idee, denn es können erhebliche Störungen beim Betrieb auftreten!
Entscheide dich für einen und deinstalliere AVG oder AntiVir.

Hi!

Habe nicht alle Dateien mit Hijack This löschen können. Hier nochmal ein neuer Log: 

http://home.arcor.de/j-beilmann/hijackthis.log

Mit der Pandaware habe ich ebenfalls noch ein paar wenige Cookies gefunden. Das potenzielle Hackertool ist das Gamer IRC. Wird denke ich mal nur als dieses ekannt oder soll ich den IRC Client wechseln?

Hier die Log von Panda:

 http://home.arcor.de/j-beilmann/activescan.txt


Vielen Dank für Deine Unterstützung gegen das Böse :)

Hi,
lade dir bitte mal die Freeware Unlooker herunter
 http://ccollomb.free.fr/unlocker/index.htm#download
(nur für Windows 2000 und XP)
und lösche die folgende Datei damit im abgesicherten Modus.

C:\WINDOWS\system32\qomklif.dll

Starte den neu im abgesicherten Modus fixe nun die Einträge aus dem HijackThis Log

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\qomklif.dll

O20 - Winlogon Notify: qomklif - C:\WINDOWS\SYSTEM32\qomklif.dll

Teste die Datei
“C:\Dokumente und Einstellungen\Saskin\Eigene Dateien\Eigene Downloads\Freigaben\girc432.exe“
einfach damit, dann weist du Bescheid.
http://www.virustotal.com/flash/index_en.html
oder
http://virusscan.jotti.org/de/

Wird dabei außer von Panda Malware gefunden, dann lösche die Datei!

Warum hast du jetzt AVG und AntiVir deinstalliert?
Ohne einen Hintergrundscanner ist dein System nicht ausreichend vor Malware geschützt!

Hallo!

Also habe das mal mit dem Unlocker versucht aber mein PC stürzt jedesmal ab und Bootet neu wenn ich die Datei (C:\WINDOWS\system32\qomklif.dll) freigeben will. Das lässt der nicht mit sich machen.

Warum soll ich denn jetzt wieder Antivir Installieren? Habe doch Bitdefender drauf? Dann hätte ich ja wieder zwei Scanner am laufen.

Sorry mit AVK bzw. AntiVir Hinweis,
habe es mit einen anderen Beitrag verwechselt.

Zweiter Tipp:
Verwende das Programm Killbox um die folgende Datei zu löschen:
Download = http://www.bleepingcomputer.com/files/killbox.php

C:\WINDOWS\system32\qomklif.dll

Eine Anleitung zur Killbox ist unter diesem Link zu finden
http://virus-protect.org/killbox.html

Starte den neu im abgesicherten Modus fixe nun die Einträge aus dem HijackThis Log

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\qomklif.dll

O20 - Winlogon Notify: qomklif - C:\WINDOWS\SYSTEM32\qomklif.dll

Wenn ich Killbox benutze um die Datei zu löschen kommt nach ablauf der 10 sekunden beim ausführen des rebooten unter Killbox eine Fehlermeldung:

"PendingFileRenameOperations Registry Data has been Removed by External Process"

Danach bootet er nicht neu. Wenn ich dann manuell neu boote, hat er die Datei zwar im Ordner c:\!Killbox, aber er hat sie nur kopiert. Sie besteht weiterhin im System32 Ordner.

Wenn ich die Datei mit Standard File Kill versuche zu löschen kommt die Fehlermeldung:

"This File could not be deleted"

Ebenso im abgesicherten Modus.

Hast Du vllt noch ein alternatives Programm um die Datei aus dem System aus zu hebeln?

Thx

Saskin

Hi,
teste mal die “schlaue“ Datei
 
C:\WINDOWS\system32\qomklif.dll

mit den beiden Online Dateien Scanner
http://www.virustotal.com/flash/index_en.html
und
http://virusscan.jotti.org/de/
damit wir wissen mit wenn wir es zu tun haben.
Poste die Logs wieder hier.

Hier die beiden Reports von den Browser Scannern.

Virustotal:
 http://home.arcor.de/j-beilmann/screen1.jpg



Virusscan.jotti:

 http://home.arcor.de/j-beilmann/screen2.jpg

Hallo Saskin,
setzt doch bitte mal dieses Removaltool gegen die Adware Virtumonde ein:
http://securityresponse.symantec.com/avcenter/venc/data/trojan.vundo.removal.tool.html

oder

http://www.atribune.org/ccount/click.php?id=4

Folge den Anweisungen und erstelle ein neues erstelle ein neues HijackThis Logfile.
Wenn jetzt bei den besagten Einträgen "file missing" steht, können die Einträge mit HijackThis gefixt werden und das Problem ist behoben.

Scanne aber im Anschluss noch mal den ganzen PC mit der kostenlose Software von Ewido.
ewido anti-malware, ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen !
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Hi wieder!

Das Programm Vundo hat leider nichts gefunden.

Ich habe da mal eine Frage.

Windows baut ja eine eigene Firewall vor seinen Systemdateien auf damit diese nicht verändert/gelöscht werden können.

Wäre es nicht möglich wenn ich mit Hilfe von einem anderen Betriebssystem (bsp. Linux) meinen Rechner starte und diese Datei dann löschen kann wenn Windows nicht aktiv ist?


« Keylogger ActManWarn-Meldung : Mail-Wurm verspricht Bilder von nackten Fußballspielern »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...

Programm
Siehe Software...

Ordner
Ordner sind Strukturelemente in einem Dateisystem, die  Dateien und andere Ordner organisieren und speichern können. Sie ermöglichen eine strukturierte und...