SpyFalcon 2.0 entfernt, ist jetzt wieder alles i.O.?

#1 Hallo alle miteinander.

Ich hoffe ich mache das hier richtig. Ich hatte den SpyFalcon 2.0 drauf und habe in lt. Anleitung entfernt (Danke Sabina). Sicherheitshalber möchte ich um eine Bestätigung bitten, ob das System jetzt wieder in Ordnung ist. Daher poste ich mal mein Hijack-Logfile.
Es wäre nett, wenn da einer von euch mal drüberschauen mag und einen kurzen Kommentar dazu abgeben mag. Muß wieder Onlinebanking machen, und will da kein Risiko eingehen.

Hier das File:

Logfile of HijackThis v1.99.1
Scan saved at 14:05:09, on 01.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos SWEEP for NT\Remote Update\imonitor.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Sophos SWEEP for NT\Remote Update\cachemgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Sophos SWEEP for NT\Remote Update\iupdate.exe
C:\Dokumente und Einstellungen\Daniel Ocean\Desktop\hijackthis_199\HijackThis.exe

O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos SWEEP for NT\Remote Update\imonitor.exe
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3FD81FD-47BC-40E2-8D5B-0363295D6B9D}: NameServer = 192.168.0.1
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos SWEEP for NT\Remote Update\cachemgr.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS



Vielen Dank schonmal.

Mit freundlichen Grüßen

Wer ist Kehrmann?

#2 WiKehrmann

ich schau mal nach:

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi.

Hier die Logfiles. Cleanup hatte ich gestern schon gemacht.


Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: F0D3-EBF9

Verzeichnis von C:\WINDOWS\system32

02.03.2006 13:32 13.646 wpa.dbl
28.02.2006 10:52 15.561 dfrgsrv.exe
23.02.2006 00:08 57 peer.ini
14.02.2006 16:20 20.480 H@tKeysH@@k.DLL
08.02.2006 06:23 4.513.120 MRT.exe
05.02.2006 21:21 1.415 mapisvc.inf
29.01.2006 00:35 116.560 FNTCACHE.DAT
28.01.2006 15:06 311.740 perfh009.dat
28.01.2006 15:06 40.128 perfc009.dat
28.01.2006 15:06 316.924 perfh007.dat
28.01.2006 15:06 48.354 perfc007.dat
28.01.2006 15:06 723.744 PerfStringBackup.INI
28.01.2006 01:02 257 spupdwxp.log
27.01.2006 11:24 176.167 rmoc3260.dll
27.01.2006 11:24 5.632 pndx5032.dll
27.01.2006 11:24 6.656 pndx5016.dll
27.01.2006 11:23 278.528 pncrt.dll
27.01.2006 00:03 23.392 nscompat.tlb
27.01.2006 00:03 16.832 amcompat.tlb
26.01.2006 02:00 25.065 wmpscheme.xml
26.01.2006 01:59 13.588 wpa.bak
26.01.2006 01:56 261 $winnt$.inf
26.01.2006 01:52 2.951 CONFIG.NT
26.01.2006 01:51 488 WindowsLogon.manifest
26.01.2006 01:51 488 logonui.exe.manifest
26.01.2006 01:51 749 ncpa.cpl.manifest
26.01.2006 01:51 749 sapi.cpl.manifest
26.01.2006 01:51 749 wuaucpl.cpl.manifest
26.01.2006 01:51 749 nwc.cpl.manifest
26.01.2006 01:51 749 cdplayer.exe.manifest
26.01.2006 01:48 21.740 emptyregdb.dat
26.01.2006 01:44 0 h323log.txt
05.01.2006 04:46 252.928 ati2dvag.dll
05.01.2006 04:41 110.592 atipdlxx.dll
05.01.2006 04:41 77.824 Oemdspif.dll
05.01.2006 04:41 26.112 Ati2mdxx.exe
05.01.2006 04:41 40.960 ati2edxx.dll
05.01.2006 04:40 61.440 ati2evxx.dll
05.01.2006 04:39 405.504 ati2evxx.exe
05.01.2006 04:39 53.248 ATIDDC.DLL

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: F0D3-EBF9

Verzeichnis von C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp

02.03.2006 14:31 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}12962.html
02.03.2006 13:32 512 ~DF7395.tmp
02.03.2006 13:32 16.384 ~DF7361.tmp
02.03.2006 13:32 16.384 ~DF90C8.tmp
01.03.2006 23:21 16.384 ~DF6BAC.tmp
01.03.2006 23:21 16.384 ~DF2783.tmp
01.03.2006 17:49 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}7998.html
01.03.2006 13:54 16.384 ~DF4095.tmp
01.03.2006 13:54 16.384 ~DF377E.tmp
01.03.2006 13:39 16.384 ~DF5DD9.tmp
01.03.2006 13:39 16.384 ~DF5529.tmp
01.03.2006 12:36 16.384 ~DF9BD4.tmp
01.03.2006 12:36 16.384 ~DF65C7.tmp
28.02.2006 19:46 72.192 ~e5.0001
14 Datei(en) 238.505 Bytes
0 Verzeichnis(se), 20.419.923.968 Bytes frei



Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: F0D3-EBF9

Verzeichnis von C:\WINDOWS

02.03.2006 13:32 0 0.log
02.03.2006 13:32 979.124 WindowsUpdate.log
02.03.2006 13:32 2.048 bootstat.dat
02.03.2006 00:05 15.356 SchedLgU.Txt
28.02.2006 19:08 570.721 setupapi.log
28.02.2006 18:27 183.390 setupact.log
28.02.2006 18:25 0 setuperr.log
28.02.2006 18:16 11.622 wmsetup.log
28.02.2006 18:15 141.038 ntbtlog.txt
23.02.2006 15:16 13.651 DirectX.log

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: F0D3-EBF9

Verzeichnis von C:\

02.03.2006 16:01 0 sys.txt
02.03.2006 16:00 7.021 system.txt
02.03.2006 16:00 1.032 systemtemp.txt
02.03.2006 15:58 98.438 system32.txt
02.03.2006 13:31 1.207.959.552 pagefile.sys
28.02.2006 18:27 653 rapport.txt
28.02.2006 18:21 3.675 smitfiles.txt
24.02.2006 14:18 192 BcBtRmv.log
08.02.2006 07:43 26.614 SDSSetup.log
28.01.2006 00:33 210 boot.ini
28.01.2006 00:23 47.564 NTDETECT.COM
28.01.2006 00:23 251.184 ntldr
26.01.2006 01:52 0 CONFIG.SYS
26.01.2006 01:52 0 MSDOS.SYS
26.01.2006 01:52 0 IO.SYS
26.01.2006 01:52 0 AUTOEXEC.BAT


1000 Dank schonmal

#4 WiKehrmann

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes
von hier aus reinkopieren:

C:\WINDOWS\system32\dfrgsrv.exe

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit