Spyware Spyfalcon Problem

#1 Hallo,

ich hab ein Problem mit dieser Spyware, ich weiss leider nicht genau um was es sich hierbei handelt. Ich hab auf jeden Fall in der Taskleiste ein Symbol das andauernd blinkt. Es ist mal rot mal grün. Wenn ich mit der Maus drüber fahre steht dort "Virus Alert!". Ich bekomm es einfach nicht weg. Ab und zu installiert sich dann auch noch ein Programm namens Spyware Quake 2.0. Ein Tool mit dem man Spyware beseitigen kann, aber natürlich nur mit Bezahlung. Spyware Quake kann man deinstallieren, es kommt aber leider immer wieder. Bei HiJack This hab ich keine Autostart Programme die auffallen. Ich kann diese Spyware auch nicht mit den auf dieser Seite geschilderten Methoden nicht entfernen. Ab und zu geht ein kleines Fenster auf da steht einiges drin "Your computer is infected! Critical system error...."

Das sind meine logs der letzten drei Monate, die mit datfind erstellt wurden.

System32:
25.03.2006 12:19 1.257.645 SysPr.prx
25.03.2006 12:06 51.733 plugin1.dat
25.03.2006 11:23 6.656 interf.tlb
24.03.2006 23:23 232.776 FNTCACHE.DAT
24.03.2006 22:27 176.128 stickrep.dll
23.03.2006 11:51 43.520 CmdLineExt03.dll
22.03.2006 11:19 2.206 wpa.dbl
07.03.2006 19:02 721.390 PerfStringBackup.INI
07.03.2006 19:02 316.594 perfh007.dat
07.03.2006 19:02 311.604 perfh009.dat
07.03.2006 19:02 39.992 perfc009.dat
07.03.2006 19:02 48.156 perfc007.dat
27.02.2006 14:10 21.840 SIntfNT.dll
27.02.2006 14:10 17.212 SIntf32.dll
27.02.2006 14:10 12.067 SIntf16.dll
27.02.2006 02:03 10.856 KGyGaAvL.sys
26.02.2006 22:21 142.038 mstask32.exe
14.01.2006 17:10 34.308 BASSMOD.dll


c:\
25.03.2006 16:16 6.439 system.txt
25.03.2006 16:16 0 sys.txt
25.03.2006 16:16 330 systemtemp.txt
25.03.2006 16:16 100.802 system32.txt
25.03.2006 15:48 1.073.270.784 hiberfil.sys
25.03.2006 15:48 1.610.612.736 PAGEFILE.SYS
23.01.2006 15:36 429 datFind.bat
11.01.2006 21:31 0 CONFIG.SYS
11.01.2006 21:31 0 MSDOS.SYS
11.01.2006 21:31 0 AUTOEXEC.BAT
11.01.2006 21:31 0 IO.SYS
11.01.2006 21:25 211 boot.ini

C:\WINDOWS
25.03.2006 15:48 0 0.log
25.03.2006 15:48 159 wiadebug.log
25.03.2006 15:48 2.048 bootstat.dat
25.03.2006 15:46 50 wiaservc.log
25.03.2006 15:46 36.518 WindowsUpdate.log
25.03.2006 15:14 208.894 setupact.log
25.03.2006 15:11 198.492 ntbtlog.txt
25.03.2006 00:34 116 NeroDigital.ini
24.03.2006 18:46 458.926 setupapi.log
24.03.2006 15:36 1.409 QTFont.for
24.03.2006 15:36 54.156 QTFont.qfn
24.03.2006 10:45 772 win.ini
20.03.2006 20:07 362 wincmd.ini
20.03.2006 19:58 145 wcx_ftp.ini
19.03.2006 01:29 0 pps.INI
19.03.2006 01:28 18.793 dasetup.log
18.03.2006 00:24 239 videodeLuxe.INI
14.03.2006 11:26 7.658 wmsetup.log
13.03.2006 19:12 41.859 DirectX.log
07.03.2006 19:02 34.902 ocgen.log
07.03.2006 19:02 4.635 imsins.log
07.03.2006 19:02 13.948 ntdtcsetup.log
07.03.2006 19:02 34.971 FaxSetup.log
07.03.2006 19:02 2.348 msgsocm.log
07.03.2006 19:02 2.263 tabletoc.log
07.03.2006 19:02 3.516 MedCtrOC.log
07.03.2006 19:02 3.869 ehOCGen.log
07.03.2006 19:02 13.246 plusoc.log
07.03.2006 19:02 24.137 comsetup.log
07.03.2006 19:02 2.454 ocmsn.log
07.03.2006 19:02 24.018 tsoc.log
07.03.2006 19:02 102.671 iis6.log
07.03.2006 19:02 6.804 netfxocm.log
07.03.2006 19:02 23.422 msmqinst.log
27.02.2006 14:11 26.801 DIIUnin.dat
27.02.2006 13:59 2.829 DIIUnin.pif
27.02.2006 13:59 102.400 DIIUnin.exe
25.02.2006 11:04 46 mxcdr.INI
22.02.2006 15:58 2.101 vminst.log
13.02.2006 11:24 35 QTW.INI
03.02.2006 00:17 139 LODERUNN.INI
31.01.2006 21:39 115 homeDVD-Fotos5_dlx.INI
31.01.2006 21:22 0 homeDVD-Filme5.INI
31.01.2006 19:24 2.359.350 ASMwallpaper.bmp
29.01.2006 19:01 74 MPLAYER.INI
29.01.2006 18:22 58 WININIT.INI
19.01.2006 22:40 342 nsw.log
16.01.2006 18:01 74.752 ST6UNST.EXE
12.01.2006 15:32 8.653 KB912919.log
12.01.2006 15:32 1.374 imsins.BAK
12.01.2006 15:32 459 updspapi.log
12.01.2006 15:32 5.713 KB908519.log
11.01.2006 23:30 400 ODBC.INI

LOKALE~1\Temp
25.03.2006 15:48 2.983.247 sa1.exe
22.03.2006 19:50 118 0CF6E057.TMP

Helft mir bitte. Danke schonmal im Voraus.

Mfg Lukas

#2 luke07

es sind zwei verschiedene Veseuchungen. Poste also das Log vom HijackThis, dann beginnt die Reinigung

System32\mstask32.exe
System32\plugin1.dat
http://www.sophos.de/virusinfo/analyses/trojbifrosefg.html
------------------------------------------------------------

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

-------------------------------------------------
spywarequake
http://virus-protect.org/artikel/spyware/spywarequake.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hilfe,

weiss nicht was los ist. Hab auch ein Virus Alert Symbol drauf, trotz MacAffee.
Das hier ist mein Log... Was kann ich tun... woran liegt es ?
Danke Bernhard

Logfile of HijackThis v1.99.1
Scan saved at 13:54:14, on 01.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\System32\nvctrl.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\SpywareQuake\SpywareQuake.exe
C:\Programme\SpywareQuake\SpywareQuake.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Bernhard\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Messenger\msmsgs.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Bernhard\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp1FE.tmp
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [McAfee Guardian] C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe /SU
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [MPFTray] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{92CA0289-7936-4D0F-9A29-A5CA9AB75C0C}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: McAfee SpamKiller Server (MskService) - Networks Associates Technology. Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing)


**

#4 jackhaiti

das ist der SpywareQuake (du hast irgendeinen Codec geladen, den du nicht haettest laden duerfen...)
Dann hast du dein System auch nicht mit den WindowsUpdates abgesichert........

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit