Probleme mit SpyFalcon

#1 Hallo,

jetzt muss ich ganz schnell schreiben und abschicken sonst stört mich mein spyfalcon wieder.
Habe den blinkenden Spyflacon weißes Kreuz inrotem Kreis und gelbes Dreieck auf dem Computer werden die nicht los.
Könnt ihr mir so schon sagen was ich machen soll
vielen Dank


Logfile of HijackThis v1.99.1
Scan saved at 16:40:06, on 04.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\rvs_cent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\My Downloads\hijackthis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpB805.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [OSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) - http://www.pandasoftware.es/avchecker/controles/AvDetInst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Sony SPTI Service for DVE (ICDSPTSV) - Sony Corporation - C:\WINDOWS\system32\IcdSptSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RVS CAPI (RVS_CE) - RVS Datentechnik GmbH, Munich - C:\WINDOWS\system32\rvs_cent.exe

#2 BiMai

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabrina,

vielen Dank für die Hilfe. Ich fänd es super, wenn ihr mir weiterhelfen könntet.
Hier meine Daten:

Verzeichnis von C:\WINDOWS\system32

05.04.2006 12:49 5.032 ncompat.tlb
05.04.2006 12:44 379.896 perfh009.dat
05.04.2006 12:44 391.334 perfh007.dat
05.04.2006 12:44 53.442 perfc009.dat
05.04.2006 12:44 64.508 perfc007.dat
05.04.2006 12:44 898.160 PerfStringBackup.INI
05.04.2006 12:41 6.144 interf.tlb
05.04.2006 12:41 33.792 hpD6F2.tmp
02.04.2006 20:24 2.206 wpa.dbl
21.03.2006 20:29 31.245 ldA17F.tmp
21.03.2006 20:14 17.152 nvctrl.exe
21.03.2006 19:26 2 stera.job
19.03.2006 12:43 33.792 hpB6BD.tmp
18.03.2006 13:11 2 stera.log
18.03.2006 11:09 33.792 hpB66E.tmp
18.03.2006 11:09 106.496 ginuerep.dll
18.03.2006 11:09 4.286 ot.ico
18.03.2006 11:09 4.286 ts.ico
18.03.2006 11:09 10.184 mssearchnet.exe
18.03.2006 11:02 15.569 dfrgsrv.exe
09.03.2006 17:21 4.799.320 MRT.exe
14.02.2006 10:20 550.120 LegitCheckControl.dll
13.02.2006 20:03 8.632 spmsg.dll
25.01.2006 05:34 118.784 sirenacm.dll
04.01.2006 05:35 68.096 webclnt.dll

Verzeichnis von C:\DOKUME~1\BIRGIT~1\LOKALE~1\Temp

05.04.2006 12:42 659 LVCOMSX.LOG
1 Datei(en) 659 Bytes
0 Verzeichnis(se), 12.063.870.976 Bytes frei

Verzeichnis von C:\WINDOWS

05.04.2006 13:00 1.170.166 WindowsUpdate.log
05.04.2006 12:40 3.886 ModemLog_Intel(R) 537EA Modem.txt
05.04.2006 12:40 159 wiadebug.log
05.04.2006 12:40 50 wiaservc.log
05.04.2006 12:40 0 0.log
05.04.2006 12:40 2.048 bootstat.dat
05.04.2006 12:39 32.624 SchedLgU.Txt
30.03.2006 16:33 953 XI420Ke.INI
21.03.2006 20:12 7.406 WGA.log
21.03.2006 20:12 523.938 setupapi.log
16.03.2006 21:16 220.607 wmsetup.log
12.03.2006 17:59 3.244 OEWABLog.txt
25.02.2006 20:27 634 win.ini
18.02.2006 13:30 29.883 spupdsvc.log
17.02.2006 22:03 105.314 iis6.log
17.02.2006 22:03 269.401 tsoc.log
17.02.2006 22:03 1.374 imsins.log
17.02.2006 22:03 141.900 ntdtcsetup.log
17.02.2006 22:03 232.984 comsetup.log
17.02.2006 22:03 31.733 ocmsn.log
17.02.2006 22:03 10.662 KB911927.log
17.02.2006 22:03 356.043 ocgen.log
17.02.2006 22:03 34.385 msgsocm.log
17.02.2006 22:03 685.582 FaxSetup.log
17.02.2006 22:03 23.573 updspapi.log
17.02.2006 22:03 1.374 imsins.BAK
17.02.2006 22:03 7.256 KB911564.log
17.02.2006 22:02 7.500 KB911565.log
17.02.2006 22:02 6.635 KB913446.log
14.01.2006 15:09 10.195 KB908519.log
06.01.2006 14:26 11.103 KB912919.log

Verzeichnis von C:\

05.04.2006 13:05 0 sys.txt
05.04.2006 13:05 11.612 system.txt
05.04.2006 13:05 286 systemtemp.txt
05.04.2006 13:05 105.101 system32.txt
05.04.2006 12:39 535.875.584 hiberfil.sys
05.04.2006 12:39 805.306.368 pagefile.sys

#4 BiMai

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ....

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\hpD6F2.tmp
C:\WINDOWS\system32\hpB805.tmp
C:\WINDOWS\system32\ldA17F.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\hpB6BD.tmp
C:\WINDOWS\system32\stera.log
C:\WINDOWS\system32\hpB66E.tmp
C:\WINDOWS\system32\ginuerep.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\dfrgsrv.exe

pc neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

------------

Info: SpyFalcon
http://virus-protect.org/artikel/spyware/spyfalcon.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

Habe die Anweisungen von oben bezüglich der Killbox alle ausgeführt. Nach dem Neustart taucht aber weiter das blinkende weiße Kreuz in rotem Kreis auf mit dem Hinweis "Your Computer is infected!".
Und wenn ich C:\!KillBox suche wird keine Datei gefunden. Ist das o.k. oder was habe ich falsch gemacht.

Ich habe trotzdem die bfu abgearbeitet. Das blinkende weiße Kreuz im roten Kreis ist weg und der Kaspersky -Scan hat keinen virus im "critischen Bereich" gefunden.
Der E-trust-Scan konnte sich allerdings nicht laden und daher nicht ausgeführt werden.
Für mich sieht es damit trotzdem so aus, als wäre alles o.k. Stimmt das?

Auf jeden Fall vielen herzlichen Dank für die Geduld und Mühe. Ich bin doch mit solchen Dingen (schon mit der Benutzung des Forums) nicht sehr bewandert und bin trotzdem deutlich weiter gekommen. Die Hilfe ist wirklich super.

MfG
BiMai

#6 hast du ausser der bfu auch smitrem und smitfraud angewendet ?
Das ist wichtig, fuer eine korrekte Reinigung.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Ja, ich habe auch smitrem und smitfraud angewendet.

Wenn mein Spyware - Problem damit gelöst ist, was ich hoffe, dann noch die Frage: Ich habe irgendwo im Forum auch schon gelesen, wie man sich besser absichern kann, damit dies nicht wieder geschieht. Leider kann ich dazu nichts mehr finden. Kannst Du mir hier noch einen Hinweis geben?
Und was mache ich mit all den runtergelandenen Säuberungsprogrammen? Lasse ich die auf dem PC?

Nochmals vielen vielen Dank für die schnelle optimale Hilfe.

MfG
BiMai

#8 BiMai

erstelle einen Ordner fuer die Sicherheitstools....man weiss ja nie
Gegen diese Malware, wie du sie auf dem PC hattest, gibt es nur eine Regel-mit Vorsicht surfen, keine unsicheren Codecs laden und auch bei Musik-Video-downloads vorsichtig sein.

Ansonsten:
http://virus-protect.org/ms.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 O.K. wird gemacht.
Nochmals vielen vielen Dank. Einfach genial, dass das sogar mit mir geklappt hat.

MFG
BiMai

#10 Spyware..SpyFalcon..Malware usw.

Hallo zusammen..
ich habe mir wohl auch was eingefangen...Bin leider auf diesem gebiet recht neu und habe mich in den verschiedenen Threads etwas belesen-->bin sehr vorsichtig geworden und ein allheilmittel scheint es nicht zu geben.Ich bin also auf Euch Experten angewiesen, Ihr leistet hier wirklich Hilfe mienen Dank im Voraus. Hier mein HiJackThisLog.. und nochmal Danke im Voraus für Eure Bemühungen...

#11 Basti1978

ich loese dein Problem sofort, aber ich brauche die Logs von datfindbat
http://virus-protect.org/artikel/spyware/spyfalcon.html

-------------------------------------------------------------------
1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
poste auch das Log vom Silentrunner
Die Option "Supplementary Searches" waehlen
http://virus-protect.org/silentrunner.html

---------------------------------------------------------------------

Zitat

C:\WINDOWS\System32\dcomcfg.exe
C:\WINDOWS\System32\atmclk.exe
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hp84F.tmp
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll

O4 - HKLM\..\Run: [Error Nuker] C:\Programme\Error Nuker\bin\ErrorNuker.exe autostart
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

__________
MfG Sabina

rund um die PC-Sicherheit

#12 Gleiches Thema, ich bin grad dabei, die Logs zu erstellen..

Nachtrag: hier sind sie ... fehlt noch etwas?


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08C9-2479

Verzeichnis von C:\WINDOWS\system32

28.04.2006 18:06 6.144 simpole.tlb
28.04.2006 18:06 5.040 stdole3.tlb
28.04.2006 18:06 30.208 hp37D8.tmp
28.04.2006 18:06 43.541 nvapps.xml
28.04.2006 18:06 28.685 ld371D.tmp
28.04.2006 17:48 534 ikhcore.log
28.04.2006 16:58 9.964 atmclk.exe
28.04.2006 16:58 16.280 dcomcfg.exe
28.04.2006 16:58 4.286 ot.ico
28.04.2006 16:58 176.128 twain32.dll
28.04.2006 16:58 4.286 ts.ico
28.04.2006 16:51 15.089 regperf.exe
28.04.2006 09:13 380.350 perfh009.dat
28.04.2006 09:13 52.764 perfc009.dat
28.04.2006 09:13 63.580 perfc007.dat
28.04.2006 09:13 391.000 perfh007.dat
28.04.2006 09:13 897.954 PerfStringBackup.INI
26.04.2006 16:13 2.206 wpa.dbl
06.04.2006 21:48 5.143.456 MRT.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
25.03.2006 22:12 43.520 CmdLineExt03.dll
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
12.03.2006 14:57 207.304 FNTCACHE.DAT
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.01.2006 05:35 68.096 webclnt.dll



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08C9-2479

Verzeichnis von C:\DOKUME~1\Nuracus\LOKALE~1\Temp

28.04.2006 17:54 16.384 ~DF9C11.tmp
28.04.2006 17:07 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}9399.html
28.04.2006 16:20 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}4838.html
28.04.2006 16:20 16.384 ~DFA793.tmp
28.04.2006 16:20 16.384 ~DFA002.tmp
28.04.2006 14:10 47.000 java_install_reg.log
28.04.2006 12:25 4 PMShared
26.04.2006 21:32 0 ies2A8.tmp
26.04.2006 21:32 0 6cm2A7.tmp
26.04.2006 21:29 0 mjs2A0.tmp
26.04.2006 21:26 0 4yy28D.tmp
26.04.2006 21:22 0 hle284.tmp
26.04.2006 21:20 0 1aw27D.tmp
26.04.2006 21:17 0 xh1270.tmp
26.04.2006 21:13 0 6lb263.tmp
26.04.2006 21:09 0 0ey250.tmp
26.04.2006 20:28 0 h2u217.tmp
26.04.2006 20:17 0 t3s208.tmp
26.04.2006 20:11 0 e181EC.tmp
26.04.2006 20:07 0 rh91E9.tmp
26.04.2006 20:05 0 al41D8.tmp
26.04.2006 20:04 0 bml1D5.tmp
26.04.2006 20:00 0 l0t1C8.tmp
26.04.2006 19:47 0 h5n1C1.tmp
26.04.2006 19:45 0 j4u1BA.tmp
26.04.2006 19:44 0 wbn1AB.tmp
26.04.2006 18:13 0 9i216D.tmp
26.04.2006 17:48 0 gmh151.tmp
26.04.2006 17:47 0 bv7149.tmp
26.04.2006 17:47 0 gy4148.tmp
26.04.2006 17:43 0 8w713C.tmp
26.04.2006 17:37 0 omp12A.tmp
26.04.2006 17:33 0 4ry129.tmp
26.04.2006 17:29 0 aet10E.tmp
26.04.2006 17:29 0 v9710D.tmp
26.04.2006 17:24 0 g5zFE.tmp
26.04.2006 17:24 0 j3dFD.tmp
26.04.2006 17:21 0 7bmFC.tmp
26.04.2006 17:17 0 z5uE3.tmp
25.04.2006 20:59 114 507B8750.TMP
23.04.2006 01:48 111 DFC5A2B2.TMP
22.04.2006 17:19 73.276 ~e5.0001
22.04.2006 15:11 0 8qz2.tmp
20.04.2006 15:22 16.384 ~DF26C1.tmp
20.04.2006 15:22 16.384 ~DF1FBB.tmp
13.04.2006 19:01 16.384 ~DF651.tmp
13.04.2006 19:01 16.384 ~DF71.tmp
13.04.2006 13:19 16.384 ~DFF2E8.tmp
13.04.2006 13:19 16.384 ~DFEBF4.tmp
09.04.2006 23:45 0 120E49A.dmp
03.04.2006 14:04 16.384 ~DF19E3.tmp
03.04.2006 14:04 16.384 ~DFC97.tmp
02.04.2006 02:50 695 TWAIN.LOG
02.04.2006 02:50 156 Twunk001.MTX
02.04.2006 02:50 3 Twain001.Mtx
01.04.2006 23:33 3.088 h2r18.tmp
30.03.2006 00:18 16.384 ~DF89CE.tmp
30.03.2006 00:18 16.384 ~DF844C.tmp
25.03.2006 22:12 4.592 SIntfIcn.ani
25.03.2006 22:12 20.016 SIntf32.dll
25.03.2006 22:12 24.744 SIntfNT.dll
25.03.2006 22:12 12.305 SIntf16.dll
25.03.2006 19:40 73.276 ~e5d141.tmp
24.03.2006 15:55 16.384 ~DF471E.tmp
24.03.2006 15:55 16.384 ~DF4241.tmp
24.03.2006 15:55 512 ~DF424C.tmp
22.03.2006 16:14 16.384 ~DF3949.tmp
22.03.2006 16:14 16.384 ~DF2CCF.tmp
18.03.2006 01:32 16.384 ~DFA405.tmp
18.03.2006 01:32 16.384 ~DF9736.tmp
17.03.2006 20:44 16.384 ~DF9F6E.tmp
17.03.2006 20:44 512 ~DF9AD8.tmp
17.03.2006 20:44 16.384 ~DF9ACD.tmp
17.03.2006 02:06 16.384 ~DF481F.tmp
17.03.2006 02:06 16.384 ~DF3C00.tmp
09.03.2006 14:59 16.384 ~DFBC93.tmp
09.03.2006 14:59 16.384 ~DFB798.tmp
05.03.2006 02:59 16.384 ~DFA45A.tmp
05.03.2006 02:59 16.384 ~DF98B5.tmp
04.03.2006 04:25 16.384 ~DF12B0.tmp
04.03.2006 04:25 16.384 ~DF6CB.tmp
04.03.2006 00:17 0 aax13E.tmp
02.03.2006 17:23 16.384 ~DF89C9.tmp
02.03.2006 17:23 16.384 ~DF7C7D.tmp
01.03.2006 21:24 65.536 ~DF907A.tmp
28.02.2006 20:47 65.536 ~DF7D3.tmp
27.02.2006 17:08 0 59pEF.tmp
25.02.2006 19:50 0 3v3229.tmp
24.02.2006 11:02 16.384 ~DF6698.tmp
24.02.2006 11:02 16.384 ~DF60E1.tmp
24.02.2006 00:17 16.384 ~DF4AF6.tmp
24.02.2006 00:17 16.384 ~DF461B.tmp
22.02.2006 20:34 2.325 HolyWarrior.jpg
22.02.2006 20:25 5.800 paladin-1.gif
22.02.2006 20:24 5.800 paladin.gif
22.02.2006 16:55 50.704 f359_appcompat.txt
22.02.2006 01:52 12.725 ICQ3B4.tmp
22.02.2006 01:52 4.364 ICQ3B3.tmp
22.02.2006 01:52 13.424 ICQ3B2.tmp
22.02.2006 01:52 4.462 ICQ3B1.tmp
18.02.2006 19:09 0 83s30.tmp
15.02.2006 21:40 0 1sg265.tmp
10.02.2006 22:32 0 a5m10D.tmp
08.02.2006 02:09 50.704 6b6c_appcompat.txt
05.02.2006 22:54 2.325 dotNetFx.log
05.02.2006 22:54 7.228 ASPNETSetup.log
05.02.2006 17:15 8.379.856 2k02ctjl.rar
05.02.2006 15:52 2.760.303 intrepid_class_u.1.u.s.s._intrepid.rar
05.02.2006 15:47 16.384 ~DFDE24.tmp
05.02.2006 15:36 16.384 ~DFCF27.tmp
05.02.2006 14:49 16.384 ~DF31DB.tmp
05.02.2006 14:48 16.384 ~DFF661.tmp
05.02.2006 14:24 16.384 ~DF9811.tmp
05.02.2006 03:51 16.384 ~DFC3A7.tmp
04.02.2006 19:28 3.088 h2r6B.tmp
02.02.2006 22:23 2.423.496 Patch_MSN_Messenger.EXE
22.01.2006 17:30 3.088 h2r9E.tmp
19.01.2006 01:06 0 aax483.tmp
10.01.2006 22:04 6.516 2568_appcompat.txt
08.01.2006 20:09 8.094 3c0c_appcompat.txt
07.01.2006 20:59 3.088 h2r404.tmp
03.01.2006 00:18 146.432 10bd78.mst
02.01.2006 00:16 5.310 plf1D5.tmp



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08C9-2479

Verzeichnis von C:\

28.04.2006 18:13 0 sys.txt
28.04.2006 18:12 8.155 system.txt
28.04.2006 18:11 17.363 systemtemp.txt
28.04.2006 18:11 100.214 system32.txt
28.04.2006 18:06 1.610.612.736 pagefile.sys
21.11.2005 00:32 211 boot.ini



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08C9-2479

Verzeichnis von C:\WINDOWS

28.04.2006 18:06 1.180.447 WindowsUpdate.log
28.04.2006 18:06 0 0.log
28.04.2006 18:06 2.048 bootstat.dat
28.04.2006 18:05 32.630 SchedLgU.Txt
28.04.2006 17:13 192 winamp.ini
28.04.2006 12:25 568 win.ini
28.04.2006 01:00 54.156 QTFont.qfn
27.04.2006 03:00 387.317 iis6.log
27.04.2006 03:00 121.415 comsetup.log
27.04.2006 03:00 71.828 ntdtcsetup.log
27.04.2006 03:00 154.058 tsoc.log
27.04.2006 03:00 17.113 tabletoc.log
27.04.2006 03:00 18.327 ocmsn.log
27.04.2006 03:00 1.374 imsins.log
27.04.2006 03:00 11.262 KB900485.log
27.04.2006 03:00 58.023 netfxocm.log
27.04.2006 03:00 163.448 ocgen.log
27.04.2006 03:00 16.630 msgsocm.log
27.04.2006 03:00 23.162 MedCtrOC.log
27.04.2006 03:00 326.858 FaxSetup.log
27.04.2006 03:00 105.618 msmqinst.log
27.04.2006 03:00 389.819 setupapi.log
26.04.2006 18:45 757 ULEAD32.INI
23.04.2006 01:58 216 wiadebug.log
22.04.2006 18:11 50 wiaservc.log
11.04.2006 23:53 15.084 KB908531.log
11.04.2006 23:53 1.374 imsins.BAK
11.04.2006 23:53 22.833 updspapi.log
11.04.2006 23:53 14.313 KB911562.log
11.04.2006 23:53 17.311 KB912812.log
11.04.2006 23:53 10.844 KB911567.log
04.04.2006 17:30 2.082 ModemLog_Standardmodem �ber Bluetooth-Verbindung.txt
27.03.2006 01:42 1.409 QTFont.for
16.02.2006 19:12 868 spupdsvc.log
16.02.2006 02:11 10.685 KB911927.log
16.02.2006 02:11 100.079 wmsetup.log
16.02.2006 02:11 5.213 KB911564.log
16.02.2006 02:10 5.484 KB911565.log
16.02.2006 02:10 6.592 KB913446.log
13.02.2006 01:36 961 STBC.ini
12.01.2006 02:05 10.119 KB908519.log
07.01.2006 01:37 11.015 KB912919.log
03.01.2006 00:14 316.640 WMSysPr9.prx
03.01.2006 00:14 223 RomeTW.ini
02.01.2006 23:57 25.695 Directx.log



abschließend:

"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"wininet.dll" = "regperf.exe" [null data]
"kernel32.dll" = "C:\WINDOWS\system32\atmclk.exe" [null data]
"dcomcfg.exe" = "dcomcfg.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"POINTER" = "point32.exe" [MS]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{b0398eca-0bcd-4645-8261-5e9dc70248d0}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Nothing"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hp37D8.tmp" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}" = "Twain"
-> {HKCU...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\twain32.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe Acrobat Reader\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Nuracus\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Nuracus" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}"
-> {HKLM...CLSID} = "MSN"
\InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"
-> {HKLM...CLSID} = "MSN"
\InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll" [file not found]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_04"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AOL Connectivity Service, AOL ACS, "C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe" ["America Online, Inc."]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
EPSON Printer Status Agent2, EPSONStatusAgent2, "C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe" ["SEIKO EPSON CORPORATION"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON V3 2KMonitor302\Driver = "E_SL2302.DLL" ["SEIKO EPSON CORPORATION"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 30 seconds, including 18 seconds for message boxes)

#13 Besuch

ganz wichtig: CleanUp anwenden !!!
http://virus-protect.org/cleanup.html

Verzeichnis von C:\DOKUME~1\Nuracus\LOKALE~1\Temp muss leer sein...also all das
28.04.2006 12:25 4 PMShared
26.04.2006 21:32 0 ies2A8.tmp
26.04.2006 21:32 0 6cm2A7.tmp
26.04.2006 21:29 0 mjs2A0.tmp
usw. usw...

arbeite das ab:
http://virus-protect.org/artikel/spyware/spyfalcon.html

Punkt 5 (Killbox)

C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\hp37D8.tmp
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\ld371D.tmp
C:\WINDOWS\system32\ikhcore.log
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\twain32.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\regperf.exe

P.S.
C:\Programme\Security Toolbar ist nicht vorhanden, du brauchst es also nicht zu suchen.

dann berichte.
__________
MfG Sabina

rund um die PC-Sicherheit