Spyware Quake Removal

[Ruby]

Spyware Quake, ein weiteres Fake Anti-Spyware Tool, das sich der Masche 'reich werden auf Kosten anderer' befleissigt und dafür sorgt, dass die Hersteller von Removern und Sicherheits-Programmen nicht zur Ruhe kommen. Spyware Quake gehört als Folge zu all jenen Fake Tools, über die wir bereits berichteten (-> hier verlinkt), zu denen wir Remover und Programme vorgestellt haben, um diese Fake Tools von den Rechnern der Opfer zu entfernen:

-> Smitfraud, Win32.puper, AVGold, Security iGuard, Spyware Vanisher, quicknavigate.com, updateSearches.com, startsearches.net, Virtual Maid, SpySheriff, PSGuard, SpyAxe, WinHound, -> SpywareStrike, -> AlfaCleaner, SpyFalcon, -> AdwarePunisher, -> PestTrap und wie sie alle heissen...

Spyware Quake wird ebenfalls durch den Video Codec installiert, wie bereits der -> SpyFalcon (wir berichteten).

Spyware Quake löst Browser Hijackings aus, installiert eine “Security Toolbar”, zeigt Adult Popups und Werbung für den WinFixer (Family -> WinAntiVirus Pro 2006 und ErrorSafe/Winfixer).

Ein kleiner grüner Rollstuhl neben der Uhr weist untrüglich die Anwesenheit dieses neuen Fake Anti-Spyware Tools auf dem Rechner nach.

>> bitte klicken <<

Manuelle Entfernung
(vgl. dazu SpywareQuakeRemoval)

(Windows XP und ME: die Systemwiederherstellung deaktivieren.)

* Haken entfernen bei "Geschützte Systemdateien ausblenden".
* Haken entfernen bei "Dateinamenerweiterungen bei bekannten Dateitypen ausblenden".
* Haken setzen bei "Inhalte von Systemordnern anzeigen".
* Haken setzen bei "Alle Dateien und Ordner anzeigen".
* Haken setzen bei "Versteckte Dateien und Ordner anzeigen".

Mit folgenden Schritten kann der SpywareQuake vom infizierten System entfernt werden:

Starte deinen Rechner im abgesicherten Modus auf.
Verwende den Windows Explorer oder Idoswin Free, um folgende Dateien vom System zu entfernen:

aus dem System32 Ordner (C:\%windir%\%system%):

C:\%windir%\%system%\nvctrl.exe
C:\%windir%\%system%\dfrgsrv.exe
C:\%windir%\%system%\mssearchnet.exe
C:\%windir%\%system%\stickrep.dll <– benenne diese Datei um zu stickrep.dll.Delete

Als nächstes musst du SpywareQuake mit der Funktion 'Programme hinzufügen/entfernen' vom System entfernen.
Starte deinen Rechner nun neu auf.

Lösche nun die Datei

C:\%windir%\%system%\stickrep.dll.Delete

und den Ordner

C:\Programme\SpywareQuake

Hinweis: %windir% ist eine Variable und %system% ist auch eine Variable.
Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP)

Entfernung mit CounterSpy

Sunbelt bietet ausserdem mit einer kostenlosen Trial Version seines Programmes

CounterSpy (-> Deutsche Anleitung)

eine Möglichkeit, dieses Fake Ant-Spyware Tool auf einfache Weise vom System zu entfernen.

Entfernung per Remover

SmitFraudFix (-> Deutsche SmitfraudFix Anleitung)
(WinXP, Win2K)

hat das Fake Anti-Spyware Tool SpywareQuake in der Version 2.26 vom 26/03/2006 erfasst und kann es mitsamt seinen Registry Einträgen vom System entfernen. Das mitwachsende Logfile des SmitfraudFix kann auch nachgelesen werden unter

Startseite (a-z)

[Ruby]

Zusätzliche Information:

SmitfraudFix
(WinXP, Win2K)

erkennt und entfernt SpywareQuake

ChangeLog

Version 2.26 (26/03/2006)

%HOMEDRIVE%\newname?.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run]
"newname"=-


%userprofile%\Startmenü\Programme\Autostart

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objecta\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}]


%system%\stickrep.dll

[-HKEY_CLASSES_ROOT\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}]
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler]
"{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"=-


%userprofile%\Bureau\SpywareQuake.lnk
%userprofile%\Menu Démarrer\SpywareQuake 2.0.lnk
%userprofile%\Menu Démarrer\Programmes\SpywareQuake\*.*
%userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\SpywareQuake 2.0.lnk
%Program Files%\SpywareQuake\*.*

[-HKEY_CLASSES_ROOT\CLSID\{5B55C4E3-C179-BA0B-B4FD-F2DB862D6202}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5B55C4E3-C179-BA0B-B4FD-F2DB862D6202}]
[-HKEY_CLASSES_ROOT\Interface\{189518DF-7EBA-4D31-A7E1-73B5BB60E8D5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{189518DF-7EBA-4D31-A7E1-73B5BB60E8D5}]
[-HKEY_CLASSES_ROOT\Interface\{23D627FE-3F02-44CF-9EE1-7B9E44BD9E13}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{23D627FE-3F02-44CF-9EE1-7B9E44BD9E13}]
[-HKEY_CLASSES_ROOT\Interface\{43CFEFBE-8AE4-400E-BBE4-A2B61BB140FB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{43CFEFBE-8AE4-400E-BBE4-A2B61BB140FB}]
[-HKEY_CLASSES_ROOT\Interface\{5790B963-23C5-43C1-BCF5-01C9B5A3E44E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5790B963-23C5-43C1-BCF5-01C9B5A3E44E}]
[-HKEY_CLASSES_ROOT\Interface\{5D42DDF4-81EB-4668-9951-819A1D5BEFC8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5D42DDF4-81EB-4668-9951-819A1D5BEFC8}]
[-HKEY_CLASSES_ROOT\Interface\{76D06077-D5D3-40CA-B32D-6A67A7FF3F06}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76D06077-D5D3-40CA-B32D-6A67A7FF3F06}]
[-HKEY_CLASSES_ROOT\Interface\{86C7E6C3-EC47-44E5-AA08-EE0D0A25895F}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{86C7E6C3-EC47-44E5-AA08-EE0D0A25895F}]
[-HKEY_CLASSES_ROOT\Interface\{9283DAC1-43F5-4580-BF86-841F22AF2335}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9283DAC1-43F5-4580-BF86-841F22AF2335}]
[-HKEY_CLASSES_ROOT\Interface\{AE90CAFC-09D4-47F0-9E11-CE621C424F08}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE90CAFC-09D4-47F0-9E11-CE621C424F08}]
[-HKEY_CLASSES_ROOT\Interface\{BA397E39-F67F-423F-BC6E-65939450093A}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BA397E39-F67F-423F-BC6E-65939450093A}]
[-HKEY_CLASSES_ROOT\Interface\{BEC8A83D-01D4-4F15-B8A9-4B4AB24253A7}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BEC8A83D-01D4-4F15-B8A9-4B4AB24253A7}]
[-HKEY_CLASSES_ROOT\Interface\{C4EEDC19-992D-409A-B323-ED57D511AFA5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C4EEDC19-992D-409A-B323-ED57D511AFA5}]
[-HKEY_CLASSES_ROOT\Interface\{DD90F677-D205-4F70-9014-659614AABCB2}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DD90F677-D205-4F70-9014-659614AABCB2}]
[-HKEY_CLASSES_ROOT\Interface\{E3DF91F3-F24F-441E-9001-D61F36024322}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3DF91F3-F24F-441E-9001-D61F36024322}]
[-HKEY_CLASSES_ROOT\Interface\{F459EADB-5903-48D5-864C-2B7B46AB1424}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F459EADB-5903-48D5-864C-2B7B46AB1424}]
[-HKEY_CLASSES_ROOT\Interface\{FC4EDF66-0547-4F1A-AE96-7CFCAD711C90}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FC4EDF66-0547-4F1A-AE96-7CFCAD711C90}]
[-HKEY_CLASSES_ROOT\TypeLib\{661173EE-FA31-4769-97D4-B556B5D09BDA}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{661173EE-FA31-4769-97D4-B556B5D09BDA}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \App Paths\SpywareQuake.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\SpywareQuake]
[-HKEY_LOCAL_MACHINE\SOFTWARE\SpywareQuake]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run]
"SpywareQuake"=-


SpywareQuake
auf der Roten Liste von Spyware Warrior: Anti-Spyware Orphans & Outcasts.
Hier kann man sich über die verschiedenen Fake-Programme informieren und die Abbildungen betrachten, um sich vorab zu informieren und vor Programmen dieser Art zu schützen. Wer dieses Programm auf seinem Rechner hat, bitte nicht kaufen; es hilft nicht, aber man bekommt sein Geld auch nicht zurück.

Eine weitere Möglichkeit Spyware Quake vom System zu entfernen, bietet

Prevx
mit folgender Information:

SpywareQuake

Beobachtetes Verhalten - SpywareQuake wurde von Prevx1 am 24. März 2006 beobachtet.
Es erstellt verschiedene Kopien der Spyware Infektion auf deinem System. Es erstellt Registry Schlüssel, um sicher zu sein, dass es mit jedem System-Neustart mit aufgestartet wird. Es installiert andere maliziöse Programme. Es verbindet sich mit Systemen krimineller Dritter und gibt vertrauliche Information über das Internet weiter. Es hijackt andere Systemprozesse.

Hinweis: dieses Programm ist Teil der Fake-Spyware Anwendungen, die fälschlich Spyware Infektionen auf den Systemen angeben, um sie gegen Bezahlung zu entfernen. Prevx empfiehlt ausschliesslich sichere Programme bekannter Unternehmen zu verwenden.

Entfernungs Hinweis:
Wenn du dein System von SpywareQuake bereinigen möchtest, kannst du Prevx1 installieren, das dieses und andere Programme dieser Art ausschalten und das System vor ihnen und anderer Malware bewahren kann.

(Ins Deutsche übersetzt für die User von HijackThis.de von Ruby)

Prevx1 zu STICKREP.DLL:

DEFINITION OF: STICKREP.DLL

* Safety Rating: Known Spyware, do not run
* Spyware Family: Part of Spyware group - SpywareQuake
* Determination: Automatically determined using Prevx1 centralized heuristics
* Malware Form: EXPLOIT
* Additional Info: Bogus antispyware application
* Protection: Prevx1 will protect, disinfect, cleanup and remove STICKREP.DLL
* Non Prevx Users: New users may remove STICKREP.DLL with the trial versions of Prevx1 or free versions of Prevx1R
* First seen: Mar 27 2006 (GMT)
* Last seen: Today (GMT)
* File Size: 176,128 bytes

Prevx1 liegt in einer 60 Tage gültigen kostenlosen Trial Version vor, zur Anwendung unter Windows XP (all), Windows 2000 (Server and Professional),
siehe dazu unsere Deutsche Anleitung.

[Ruby]

Spyware-Removal-Guideline.com
weist in seinen Instruktionen zur manuellen Entfernung auf folgende Einträge hin:

Code:

Entfernungs-Hilfestellung:
mit Registrar Lite kannst du die Registry editieren.
Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.
Entfernung der Autostart Einträge aus der Registry
Öffne den Registry Editor.
Klicke Start>ausführen, schreib REGEDIT, -> [enter]

Registry-Einträge:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \uninstall\spywarequake
HKEY_LOCAL_MACHINE\software\spywarequake
HKEY_CLASSES_ROOT\typelib\{661173ee-fa31-4769-97d4-b556b5d09bda}
HKEY_CURRENT_USER\software\classes\clsid\{e2ca7cd1-1ad9-f1c4-3d2a-dc1a33e7af9d}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \app paths\spywarequake.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \explorer\sharedtaskscheduler e2ca7cd1-1ad9-f1c4-3d2a-dc1a33e7af9d
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run spywarequake

Code:

Entfernungs-Hilfestellung:
starte deinen Rechner im abgesicherten Modus auf.
Verwende den Windows Explorer, den Process Explorer oder Idoswin Free, 
um folgende Einträge vom System zu entfernen:

Einträge auf dem System:
[common files dir]\spywarequake\spywarequake 2.0 website.lnk
[common files dir]\spywarequake\spywarequake 2.0.lnk
[common files dir]\spywarequake\uninstall spywarequake 2.0.lnk
[desktop dir]\spywarequake.lnk
[desktop dir]\spywarequakeinstaller.exe
[program files dir]\spywarequake\blacklist.txt
[program files dir]\spywarequake\lang\english.ini
[program files dir]\spywarequake\msvcp71.dll
[program files dir]\spywarequake\msvcr71.dll
[program files dir]\spywarequake\ref.dat
[program files dir]\spywarequake\spywarequake.exe
[program files dir]\spywarequake\spywarequake.url
[program files dir]\spywarequake\sq.ini
[program files dir]\spywarequake\uninst.exe
[Windows dir]\dfrgsrv.exe
[Windows dir]\mssearchnet.exe
[Windows dir]\nvctrl.exe
[Windows dir]\stickrep.dll
f3493db6.exe

Neuerstellter Ordner:
[program files dir]\SpywareQuake

***

Es empfiehlt sich, zusätzlich eines der genannten Programme einzusetzen
und den Rechner mit einem Online Scanner auf eventuell noch vorhandene weitere Spuren zu untersuchen.

Windows XP und ME: die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib einen neuen Systemwiederherstellungspunkt.

***

Erwähnenswert zu einer möglichst umfassenden Darstellung der SpywareQuake Infektion,
der Ping seitens DNSstuff.com:

Pinging spywarequake.com [85.255.117.202]:
Ping #1: Got reply from 85.255.117.202 in 85ms [TTL=57]
Ping #2: Got reply from 85.255.117.202 in 83ms [TTL=57]
Ping #3: Got reply from 85.255.117.202 in 83ms [TTL=57]
Ping #4: Got reply from 85.255.117.202 in 83ms [TTL=57]