SpyFalcon komplett entfernt?

Thema ist geschlossen!
Thema ist geschlossen!
#0
04.03.2006, 00:38
...neu hier

Beiträge: 6
#1 Ich hab mich vorhin mal an der Beschreibung zum Entfernen dieses unerwünschten Besuchers gemacht und konnte auch alles so ausführen, nur in den abgesicherten Modus krieg ich Windows trotz vehementen F8-Klickens einfach nicht.

Na ja, trotz allem schein ich es einigermassen erfolgreich entfernt zu haben, Hijackthis findet jedenfalls nichts mehr:

Logfile of HijackThis v1.99.1
Scan saved at 00:40:42, on 04.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\sstray.exe
D:\Programme\AnyDVD\AnyDVD.exe
D:\Programme\CloneCD\CloneCDTray.exe
D:\Programme\Java\j2re1.4.2_09\bin\jusched.exe
D:\Programme\F-Prot\F-StopW.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
d:\temp\~AceTemp\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "D:\Programme\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] "D:\Programme\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "D:\Programme\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] d:\Programme\Java\j2re1.4.2_09\bin\jusched.exe
O4 - HKLM\..\Run: [F-StopW] D:\Programme\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "D:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: OpenOffice.org 1.1.0.lnk = D:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\pc-bib\PCLib.exe
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://d:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141421288140
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Aber dieses dusselige Pop-Up, dass ich noch "infected" wär kommt trotzdem mit nervenzerfetzender Regelmäßigkeit....

Hat jemand eine Idee??
Seitenanfang Seitenende
04.03.2006, 16:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 TanteFreya

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.03.2006, 09:59
...neu hier

Themenstarter

Beiträge: 6
#3 hab ich .

Datentr„ger in Laufwerk C: ist SYTEM
Volumeseriennummer: 745E-B345

Verzeichnis von C:\WINDOWS\system32

06.03.2006 09:56 35.987 vsconfig.xml
06.03.2006 09:48 2.206 wpa.dbl
03.03.2006 08:35 102.400 ginuerep.dll
03.03.2006 01:15 316.594 perfh007.dat
03.03.2006 01:15 311.604 perfh009.dat
03.03.2006 01:15 39.992 perfc009.dat
03.03.2006 01:15 48.156 perfc007.dat
03.03.2006 01:15 723.744 PerfStringBackup.INI
14.02.2006 09:20 550.120 LegitCheckControl.dll
13.02.2006 19:03 8.632 spmsg.dll
13.12.2005 16:17 4.246 jupdate-1.4.2_09-b05.log

Datentr„ger in Laufwerk C: ist SYTEM
Volumeseriennummer: 745E-B345

Verzeichnis von C:\

06.03.2006 09:59 0 systemtemp.txt
06.03.2006 09:59 99.697 system32.txt
06.03.2006 09:55 502.845.440 hiberfil.sys
04.03.2006 00:54 10.624 smitfiles.txt
04.03.2006 00:53 485 rapport.txt
04.03.2006 00:29 930 sys.txt
04.03.2006 00:28 6.083 system.txt

Datentr„ger in Laufwerk C: ist SYTEM
Volumeseriennummer: 745E-B345

Verzeichnis von C:\WINDOWS

06.03.2006 09:56 0 0.log
06.03.2006 09:55 54.156 QTFont.qfn
06.03.2006 09:55 50 wiaservc.log
06.03.2006 09:55 159 wiadebug.log
06.03.2006 09:55 2.048 bootstat.dat
06.03.2006 09:54 32.626 SchedLgU.Txt
06.03.2006 09:54 103.643 WindowsUpdate.log
04.03.2006 00:54 175.294 setupact.log
04.03.2006 00:16 10.389 Active Setup Log.txt
04.03.2006 00:16 42.901 setupapi.log
03.03.2006 22:36 7.637 WGA.log
03.03.2006 22:36 21.460 ntdtcsetup.log
03.03.2006 22:36 122.300 iis6.log
03.03.2006 22:36 38.416 comsetup.log
03.03.2006 22:36 41.239 tsoc.log
03.03.2006 22:36 1.355 imsins.log
03.03.2006 22:36 3.421 tabletoc.log
03.03.2006 22:36 8.017 KB898461.log
03.03.2006 22:36 46.752 ocgen.log
03.03.2006 22:36 11.913 netfxocm.log
03.03.2006 22:36 3.397 ocmsn.log
03.03.2006 22:36 4.143 msgsocm.log
03.03.2006 22:36 79.547 FaxSetup.log
03.03.2006 22:36 31.082 msmqinst.log
03.03.2006 22:36 8.848 KB893803v2.log
03.03.2006 22:35 5.640 KB842773.log
03.03.2006 20:34 1.409 QTFont.for
03.03.2006 01:38 178.215 wmsetup.log
13.02.2006 17:29 825 nsw.log
04.01.2006 23:20 82.602 DirectX.log

Datentr„ger in Laufwerk C: ist SYTEM
Volumeseriennummer: 745E-B345

Verzeichnis von C:\

06.03.2006 10:00 0 sys.txt
06.03.2006 10:00 6.035 system.txt
06.03.2006 09:59 930 systemtemp.txt
06.03.2006 09:59 99.697 system32.txt
06.03.2006 09:55 502.845.440 hiberfil.sys
04.03.2006 00:54 10.624 smitfiles.txt
04.03.2006 00:53 485 rapport.txt

Und immernoch dieses dusselige Pop-Up ;)
Seitenanfang Seitenende
06.03.2006, 13:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 TanteFreya

Gehe in die Registry
Start --> Ausfuehren --> regedit

bearbeiten --> suchen

{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}

loeschen:

HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}


KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

* Options: Delete on Reboot --> anhaken
* reinkopieren (von hier aus)

C:\WINDOWS\system32\ginuerep.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes

PC neustarten

---------------------------------------------------------------------------------------------

spyfalcon
http://virus-protect.org/artikel/spyware/spyfalcon.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.03.2006, 18:21
...neu hier

Themenstarter

Beiträge: 6
#5 Yeehaw, ich glaube es hat geklappt:

Logfile of HijackThis v1.99.1
Scan saved at 18:19:31, on 06.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
D:\Programme\AnyDVD\AnyDVD.exe
D:\Programme\CloneCD\CloneCDTray.exe
D:\Programme\Java\j2re1.4.2_09\bin\jusched.exe
D:\Programme\F-Prot\F-StopW.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Goettin\Desktop\Double Solitaire.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
d:\temp\~AceTemp\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "D:\Programme\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] "D:\Programme\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "D:\Programme\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] d:\Programme\Java\j2re1.4.2_09\bin\jusched.exe
O4 - HKLM\..\Run: [F-StopW] D:\Programme\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "D:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: OpenOffice.org 1.1.0.lnk = D:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\pc-bib\PCLib.exe
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = D:\Programme\Trend Micro\Tmas\Tmas.exe
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://d:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141421288140
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe






Datentr„ger in Laufwerk C: ist SYTEM
Volumeseriennummer: 745E-B345

Verzeichnis von C:\WINDOWS\system32

06.03.2006 17:37 2.158 tmmute.ini
06.03.2006 16:22 2.550 Uninstall.ico
06.03.2006 16:22 1.406 Help.ico
06.03.2006 16:22 30.590 pavas.ico
06.03.2006 15:55 0 asfiles.txt
06.03.2006 14:27 35.987 vsconfig.xml
06.03.2006 09:48 2.206 wpa.dbl
03.03.2006 01:15 39.992 perfc009.dat
03.03.2006 01:15 48.156 perfc007.dat
03.03.2006 01:15 311.604 perfh009.dat
03.03.2006 01:15 316.594 perfh007.dat
03.03.2006 01:15 723.744 PerfStringBackup.INI
14.02.2006 09:20 550.120 LegitCheckControl.dll
13.02.2006 19:03 8.632 spmsg.dll
13.12.2005 16:17 4.246 jupdate-1.4.2_09-b05.log

Datentr„ger in Laufwerk C: ist SYTEM
Volumeseriennummer: 745E-B345

Verzeichnis von C:\

06.03.2006 18:23 0 systemtemp.txt
06.03.2006 18:23 99.987 system32.txt
06.03.2006 14:26 502.845.440 hiberfil.sys
06.03.2006 10:04 930 sys.txt
06.03.2006 10:04 6.035 system.txt
04.03.2006 00:54 10.624 smitfiles.txt
04.03.2006 00:53 485 rapport.txt

Datentr„ger in Laufwerk C: ist SYTEM
Volumeseriennummer: 745E-B345

Verzeichnis von C:\WINDOWS

06.03.2006 16:22 32 pavsig.txt
06.03.2006 15:55 589 win.ini
06.03.2006 15:53 64.771 setupapi.log
06.03.2006 14:27 0 0.log
06.03.2006 14:26 106.428 WindowsUpdate.log
06.03.2006 14:26 159 wiadebug.log
06.03.2006 14:26 50 wiaservc.log
06.03.2006 14:26 54.156 QTFont.qfn
06.03.2006 14:26 2.048 bootstat.dat
06.03.2006 14:25 32.626 SchedLgU.Txt
04.03.2006 00:54 175.294 setupact.log
04.03.2006 00:16 10.389 Active Setup Log.txt
03.03.2006 22:36 7.637 WGA.log
03.03.2006 22:36 38.416 comsetup.log
03.03.2006 22:36 21.460 ntdtcsetup.log
03.03.2006 22:36 122.300 iis6.log
03.03.2006 22:36 1.355 imsins.log
03.03.2006 22:36 41.239 tsoc.log
03.03.2006 22:36 3.421 tabletoc.log
03.03.2006 22:36 8.017 KB898461.log
03.03.2006 22:36 3.397 ocmsn.log
03.03.2006 22:36 11.913 netfxocm.log
03.03.2006 22:36 46.752 ocgen.log
03.03.2006 22:36 4.143 msgsocm.log
03.03.2006 22:36 79.547 FaxSetup.log
03.03.2006 22:36 31.082 msmqinst.log
03.03.2006 22:36 8.848 KB893803v2.log
03.03.2006 22:35 5.640 KB842773.log
03.03.2006 20:34 1.409 QTFont.for
03.03.2006 01:38 178.215 wmsetup.log
13.02.2006 17:29 825 nsw.log
04.01.2006 23:20 82.602 DirectX.log

Datentr„ger in Laufwerk C: ist SYTEM
Volumeseriennummer: 745E-B345

Verzeichnis von C:\

06.03.2006 18:24 0 sys.txt
06.03.2006 18:24 6.131 system.txt
06.03.2006 18:23 930 systemtemp.txt
06.03.2006 18:23 99.987 system32.txt
06.03.2006 14:26 502.845.440 hiberfil.sys
04.03.2006 00:54 10.624 smitfiles.txt
04.03.2006 00:53 485 rapport.txt
Seitenanfang Seitenende
07.03.2006, 00:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 TanteFreya

du solltest unbedingt die WindowsUpdates machen, wenn du deinen PC nicht jede Woche formatieren willst...........
und nur mit dem Firefox surfen (der IE bleibt nur fuer die WindowsUpdates)
http://virus-protect.org/firefox.html

Es ist alles sauber ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.03.2006, 11:26
...neu hier

Themenstarter

Beiträge: 6
#7 Firefox is schon gezogen und in Benutzung ;)
Und nochmal Danke, danke, danke für die ausführliche Hilfe!
Seitenanfang Seitenende