Hab auch Spyfalcon

#1 also ich hab mir aufmeinen pc auhc leider den spyfalcon eingefangen ich hab kleider kiene ahnung wie ich das wegbekomme und bräuchte daher hilfe

schonmal danke
mfg Dark AH

#2 arbeite das bitte ab und poste die logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Logfile of HijackThis v1.99.1
Scan saved at 13:29:51, on 15.05.2006
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Brmfrmps.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINNT\loadqm.exe
C:\Programme\MSN Apps\Updater\01.03.0000.1005\de\msnappau.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\dcomcfg.exe
C:\WINNT\System32\atmclk.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\BERNHA~1\LOKALE~1\Temp\Rar$EX02.200\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINNT\System32\hpA949.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.03.0000.1005\de\msnappau.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {AD191333-0940-0005-0001-F5962F9A5893} (browserClient.ClientManager) - http://infosystem.jemako.com/Scripts/MGBC940_05_001CS.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINNT\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

#4 schoen waeren noch die 4 Logs von datfindbat

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
+

echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit

#5 so heir mal das erste ich glaub das meintest du doch oder ?? ud jetzt auf der konsole einfahc ok enter drücken oder ??


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 6C93-0D5D

Verzeichnis von C:\WINNT\system32

15.05.2006 13:36 5.032 stdole3.tlb
15.05.2006 06:39 6.144 simpole.tlb
15.05.2006 06:39 9.948 atmclk.exe
15.05.2006 06:39 29.696 hpA949.tmp
15.05.2006 06:39 48.128 dcomcfg.exe
15.05.2006 06:37 37.389 ldA9C4.tmp
12.05.2006 22:28 176.128 appmagr.dll
12.05.2006 22:26 48.141 regperf.exe
09.05.2006 18:21 1.848 d3d8caps.dat
01.05.2006 17:51 369.124 perfh009.dat
01.05.2006 17:51 50.808 perfc009.dat
01.05.2006 17:51 363.562 perfh007.dat
01.05.2006 17:51 61.656 perfc007.dat
11.04.2006 22:41 49.152 cdrtc.dll
11.04.2006 22:41 45.056 cdral.dll
24.02.2006 12:45 10.842 ATMdeuxx.GID
23.02.2006 18:08 2.368 SVKP.sys


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 6C93-0D5D

Verzeichnis von C:\DOKUME~1\BERNHA~1\LOKALE~1\Temp

15.05.2006 13:52 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}16542.html
15.05.2006 13:49 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}28242.html
15.05.2006 13:15 16.384 ~DF5917.tmp
15.05.2006 13:15 512 ~DF4B08.tmp
15.05.2006 13:15 16.384 ~DF4B00.tmp
13.05.2006 22:21 0 2FCFE0B.dmp
12.05.2006 21:23 3.243 h2r42.tmp
12.05.2006 21:19 3.243 h2r3E.tmp
12.05.2006 21:19 3.243 h2r3A.tmp
11.05.2006 19:03 527.440 cd1F.tmp.exe
11.05.2006 19:03 0 cd1F.tmp
09.05.2006 21:26 3.091 h2r9.tmp
09.05.2006 18:21 4.592 SIntfIcn.ani
09.05.2006 18:21 24.516 SIntfNT.dll
09.05.2006 18:21 19.924 SIntf32.dll
09.05.2006 18:21 12.067 SIntf16.dll
09.05.2006 18:21 36.864 CmdLineExt02.dll
07.05.2006 17:06 114 507B8750.TMP
06.05.2006 00:39 3.091 h2r4E.tmp
04.05.2006 13:41 3.228 h2r39.tmp
04.05.2006 13:34 3.091 h2r33.tmp
03.05.2006 18:20 717 control.xml
03.05.2006 10:32 512 ~DFB4BA.tmp
03.05.2006 10:32 16.384 ~DFB4B2.tmp
03.05.2006 10:32 512 ~DFB4AA.tmp
03.05.2006 10:32 512 ~DFB49A.tmp
03.05.2006 10:32 16.384 ~DFB4A2.tmp
03.05.2006 10:32 16.384 ~DFB492.tmp
03.05.2006 10:32 512 ~DFB48A.tmp
03.05.2006 10:32 16.384 ~DFB482.tmp
03.05.2006 07:44 16.384 ~DF9F18.tmp
03.05.2006 07:44 512 ~DF9911.tmp
03.05.2006 07:44 16.384 ~DF9907.tmp
02.05.2006 13:06 3.091 h2rC.tmp
01.05.2006 18:03 0 3B34D37.dmp
01.05.2006 18:00 11.224 CFG69.tmp
01.05.2006 17:59 11.224 CFG66.tmp
01.05.2006 17:55 2.790 dotNetFx.log
01.05.2006 17:49 6.084 ASPNETSetup.log
01.05.2006 17:14 3.089 h2r2B.tmp
22.04.2006 20:52 10.700 ICQA.tmp
22.04.2006 20:52 4.170 ICQ9.tmp
22.04.2006 19:54 3.228 h2r5.tmp
22.04.2006 18:53 3.091 h2r10.tmp
22.04.2006 16:43 935 wecerr.txt
19.04.2006 13:20 3.091 h2r49.tmp
18.04.2006 12:28 3.091 h2r43.tmp
18.04.2006 12:28 3.227 h2r40.tmp
18.04.2006 12:26 3.091 h2r3D.tmp
18.04.2006 12:10 3.089 h2r37.tmp
18.04.2006 12:10 3.091 h2r34.tmp
18.04.2006 12:10 3.091 h2r31.tmp
17.04.2006 22:36 3.227 h2r2C.tmp
17.04.2006 22:36 3.091 h2r29.tmp
17.04.2006 16:09 3.091 h2r7.tmp
17.04.2006 16:02 3.091 h2r4.tmp


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 6C93-0D5D

Verzeichnis von C:\WINNT

14.05.2006 20:39 32.514 SchedLgU.Txt
11.05.2006 21:10 1.198.186 ShellIconCache
11.05.2006 19:02 333.270 setupapi.log
03.05.2006 18:20 123.966 wmsetup.log
28.04.2006 22:51 1.514 OEWABLog.txt
22.04.2006 16:30 822 Brpfx04a.ini
11.04.2006 22:45 342 win.ini
11.04.2006 22:41 57.344 uneng.exe
11.04.2006 22:40 316.640 WMSysPr9.prx
11.04.2006 15:22 44.440 War3Unin.dat
11.04.2006 15:22 2.829 War3Unin.pif
11.04.2006 15:22 139.264 War3Unin.exe
14.03.2006 16:09 176 Wendy3.i

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 6C93-0D5D

Verzeichnis von C:\

15.05.2006 13:55 0 sys.txt
15.05.2006 13:55 5.509 system.txt
15.05.2006 13:54 3.317 systemtemp.txt
15.05.2006 13:54 87.331 system32.txt
15.05.2006 06:36 603.979.776 pagefile.s

#6 echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit

#7 da kam nur das raus :


10)DPF????


die Fragezeichen gehörten dazu


ach ja cih versteh das mit dem cleanup nicht ich kann da das eine häckchen nicht ausfüllen

#8 dark ah

Laden und alles auf dem Desktop entpacken:

*) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg

*) Killbox http://www.bleepingcomputer.com/files/killbox.php -> [Anleitung: http://virus-protect.org/killbox.html

*) SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok
------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

Zitat

C:\WINNT\system32\stdole3.tlb
C:\WINNT\system32\simpole.tlb
C:\WINNT\system32\atmclk.exe
C:\WINNT\system32\dcomcfg.exe
C:\WINNT\system32\appmagr.dll
C:\WINNT\system32\regperf.exe

PC neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINNT\System32\hpA949.tmp
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

**
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm

**
Die Datei "spyfalcon.reg" auf dem Desktop doppelklicken --> und mit "ja"/"yes" der Registry beifügen

**
öffne smitRem --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

--------------------------------

boote wieder in den Normalmodus

SUPERAntiSpyware - scanne
http://virus-protect.org/artikel/tools/superantispyware.html

**
berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#9 ok ich glaube hat alles soweit geklappt ( kein icon mehr in der taskleiste)

nur nach dem scann im abgesichertem modus von runthis.bat konnte ich weitermahcen weil da kein blauerbildschirm war ich hab aber nicht das cleanp davon ausgeführt (soll ichs nochmal machen ??)

hab jetzt gerdae SUPERAntiwere am scannen

nochmals vielen dank mfg Dark AH

#10 CleanUp kannst du noch anwenden, um die temporaeren Dateien zu entfernen.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 muss cih dazu wieder in den abgesicherten mudus oder geht das so?? ich hatte nur angst als das stand fetplatte wird bereinigt hab ich auf abrechen geklickt hatte angst das der die formatiert ^^

#12 CleanUp bereinigt nur die temporaeren Dateien
du kannst im Normalmodus oder im abges.Modus scannen
du musst das Proggie aber so einstellen, wie auf meiner seite erklaert...................
http://virus-protect.org/cleanup.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 ok hab mit dem Superspywere gescannt und dann wurde dasss in quarantäne getan und ich hab danach entfernt. waren noch n paar adwere und trojanishce toolbars drauf . jetzt bei dem cleanup kann ich léider bei delate refetch files kein hächkchen mahcen