spy falcon? bitte bitte helfen...

Dieses Thema im Forum "Sicherheit" wurde erstellt von gilmoreguy, 16. Mai 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. gilmoreguy

    gilmoreguy ROM

    Registriert seit:
    16. Mai 2006
    Beiträge:
    5
    hatte probleme mit spyfalcon (so schimpft sich das glaub ich). habe mit hijekthis und adaware einiges beseitig. aber es erscheint immer wieder unten recht "your computer is infected"-warnungen.
    bin am verzweifeln, da ich momentan sehr viel mit dem rechner machen muss.
    bitte um hilfe und DANKE im voraus!
    habe bei vorgängern gesehen was ihr für die analyse so verlangt.
    hier:
    http://www.hijackthis.de/logfiles/8c2050ec076beb5647c56be4b471fb2d.html


    Verzeichnis von C:\WINDOWS\system32

    16.05.2006 21:45 380.350 perfh009.dat
    16.05.2006 21:45 52.764 perfc009.dat
    16.05.2006 21:45 391.000 perfh007.dat
    16.05.2006 21:45 63.580 perfc007.dat
    16.05.2006 21:45 897.778 PerfStringBackup.INI
    16.05.2006 21:20 5.012 stdole3.tlb
    16.05.2006 21:07 26.637 ld1ECD.tmp
    16.05.2006 21:06 198.552 FNTCACHE.DAT
    16.05.2006 20:48 5.632 simpole.tlb
    16.05.2006 20:48 176.128 appmagr.dll
    16.05.2006 20:48 4.286 ot.ico
    16.05.2006 20:48 4.286 ts.ico
    16.05.2006 20:48 156.672 oins.exe
    16.05.2006 20:46 4.096 f696c453.exe
    16.05.2006 20:46 12.162 winmbj32.dll
    16.05.2006 16:52 16.832 amcompat.tlb
    16.05.2006 16:52 23.392 nscompat.tlb
    08.05.2006 21:43 139.264 kagbsf.dll
    07.05.2006 12:26 2.206 wpa.dbl
    28.03.2006 22:20 23.552 amese.dll
    28.03.2006 22:12 131.072 SpoonUninstall.exe
    07.12.2005 19:05 716.800 divxdec.ax


    Verzeichnis von C:\DOKUME~1\Nana\LOKALE~1\Temp

    IN DEINEM EIGENEN INTERESSE, HABE ICH DIESEN TEIL MAL GELÖSCHT.

    Gruss, Matthias


    Verzeichnis von C:\WINDOWS

    16.05.2006 22:13 0 0.log
    16.05.2006 22:13 159 wiadebug.log
    16.05.2006 22:13 50 wiaservc.log
    16.05.2006 22:13 2.048 bootstat.dat
    16.05.2006 22:11 191.488 ntbtlog.txt
    16.05.2006 22:06 32.630 SchedLgU.Txt
    16.05.2006 21:43 19.306.547 setupapi.log
    16.05.2006 20:48 39.424 YAXUninst.exe
    16.05.2006 17:16 67 #1 Video Converter.INI
    16.05.2006 16:41 115.666 wmsetup.log
    16.05.2006 11:47 341 LEXSTAT.INI
    02.05.2006 19:36 906 eReg.dat
    27.04.2006 19:30 214.823 setupact.log
    05.04.2006 19:14 436.686 Firefox Wallpaper.bmp
    03.04.2006 20:23 10.752 Thumbs.db
    22.03.2006 10:35 2.359.350 ACD Hintergrund.bmp
    13.03.2006 15:48 3.443 cdplayer.ini
    10.03.2006 13:20 83.263 DirectX.log
    21.02.2006 11:38 65.536 MEMORY.DMP
    10.02.2006 13:11 392.479 WindowsUpdate.log
    01.02.2006 16:49 4.790 mozver.dat
    28.01.2006 13:37 36 TSNPL.dat
     
  2. Winnie The Pooh

    Winnie The Pooh Viertel Gigabyte

    Registriert seit:
    12. September 2004
    Beiträge:
    3.247
    Tja, beim Filesharing kann man sich offenbar einiges einfangen.

    Warum ist das SP2 nicht installiert?
     
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    überträgt sich meistens nicht über Filesharing, normalerweise ist die Infektionsquelle ein Videocodec mit dem man sich Hoppelfilme anschauen kann.
    Oder auch über Crackseiten, die Browserlücken ausnutzen.

    Du hast nicht nur Spyfalcon, sondern auch noch anderen Kram (wahrscheinlich Purityscan).
    Überprüfe mal folgende Dateien hier und poste das jeweilige Ergebnis:

    C:\Windows\System32\f696c453.exe
    C:\Windows\System32\kagbsf.dll


    Grüße Jasager
     
  4. gilmoreguy

    gilmoreguy ROM

    Registriert seit:
    16. Mai 2006
    Beiträge:
    5
  5. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hast du im Hijackthis Logfile schon sachen verändert? Wenn ja welche (kannst du ev. noch in den Backups einsehen)?

    Besorge dir killbox und lösche folgende Dateien on reboot:

    16.05.2006 21:20 5.012 stdole3.tlb
    16.05.2006 21:07 26.637 ld1ECD.tmp
    16.05.2006 20:48 5.632 simpole.tlb
    16.05.2006 20:48 176.128 appmagr.dll
    16.05.2006 20:48 4.286 ot.ico
    16.05.2006 20:48 4.286 ts.ico
    16.05.2006 20:48 156.672 oins.exe
    16.05.2006 20:46 4.096 f696c453.exe
    16.05.2006 20:46 12.162 winmbj32.dll
    08.05.2006 21:43 139.264 kagbsf.dll

    C:\Windows\YAXUninst.exe

    Berichte malwie es danach aussieht.


    P.S Entferne Teile deines Temp File Logs, da sind Webseiten dabei die im Forum verboten sind.
     
  6. gilmoreguy

    gilmoreguy ROM

    Registriert seit:
    16. Mai 2006
    Beiträge:
    5
    bei hijack da kann ich leider nichts mehr sagen, was ich geändert habe. und die back ups reichen nicht mehr bis zur 1.auswertung.

    http://www.hijackthis.de/logfiles/99f7f108...8f656093ba.html


    Verzeichnis von C:\WINDOWS\system32

    16.05.2006 21:45 380.350 perfh009.dat
    16.05.2006 21:45 52.764 perfc009.dat
    16.05.2006 21:45 391.000 perfh007.dat
    16.05.2006 21:45 63.580 perfc007.dat
    16.05.2006 21:45 897.778 PerfStringBackup.INI
    16.05.2006 21:06 198.552 FNTCACHE.DAT
    16.05.2006 20:48 156.672 oins.exe
    16.05.2006 16:52 16.832 amcompat.tlb
    16.05.2006 16:52 23.392 nscompat.tlb
    07.05.2006 12:26 2.206 wpa.dbl
    27.04.2006 17:49 288.417 SrchSTS.exe

    Verzeichnis von C:\DOKUME~1\Nana\LOKALE~1\Temp

    17.05.2006 02:23 240 datFind.zip
    17.05.2006 01:26 408 jusched.log
    2 Datei(en) 648 Bytes
    0 Verzeichnis(se), 9.027.502.080 Bytes frei


    p.s.: kann mein beitrag nicht editieren. ist der 2. rechner vom kumpel, hab ich keine 5std. ausgeliehen, um bewerbungen zu schreiben, schon hab ich schrott gekriegt. das gibt ärger. dabei wollte ich nach keygen. suchen (war eigentlich selbst seine idee) da er lose textbearbeitungsprogramm-cds dabei hatte ohne keys.
     
  7. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Link zum HijackThis Log funktioniert nicht.
    Die datei noch löschen:

    16.05.2006 20:48 156.672 oins.exe

    Sag mal, du wirst auch Schaden aber auch nicht klug, wenn du weiterhin Software aus unseriösen Quellen ausführst, stelle ich meine Hilfe sofort ein, denn dann ist es vergebene Liebesmüh'. du wirst dich sowieso wieder infizieren.


    Grüße Jasager
     
  8. gilmoreguy

    gilmoreguy ROM

    Registriert seit:
    16. Mai 2006
    Beiträge:
    5
    http://www.hijackthis.de/logfiles/99f7f108d69dfb7467597b8f656093ba.html

    brauchst du denn noch was? nochmals vielen dank bis hierhin! :bet:

    :confused: also ich meinte damit, dass der rechner hier von anfang an der 2. rechner von dem kumpel ist (wär das mein rechner, hätte ich ihn schon längst aus panik neu aufgesetzt). seit ca. 6monaten - seitdem ich auszog - habe ich keinen eigenen mehr. ich muss immer zu mitbewohner wegen mails und so. deswegen auch die bewerbungen, damit das geld für nen ordentlichen pc auch mal wieder drinn ist. ich werde (war danach auch nicht mehr, wie dus gedacht hast) ganz bestimmt nicht mehr auf unseriösen crack-seiten rumtreiben.

    lieben gruß
    gg
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    sieht alles sauber aus, gibt es noch irgendwelche Auffälligkeiten?

    Okay dann habe ich dich falsch verstanden, sorry. Aber stauche mal deinen Kumpel zurecht, so kann das nämlich nicht weiter gehen, und ich bereinige den Rechner mit Sicherheit kein zweites Mal.

    Hier noch Lektüre für den Kumpel.
    Und was er zukünftig zu lassen hat, sollte jetzt ja klar sein, keine cracks, keine Software aus P2P, keine Videocodecs von unseriösen Seiten, keine Mailanhänge öffnen...

    Edit
    Fast vergessen, falls es einen Ordner C:\Windows\System32\1024 gibt, diesen auch löschen.


    Grüße Jasager
     
  10. gilmoreguy

    gilmoreguy ROM

    Registriert seit:
    16. Mai 2006
    Beiträge:
    5
    ne, scheint alles ok zu sein - hab ihn jetzt auch nicht so lange, so dass ich jetzt nicht so die genaue veränderung feststellen kann (wegen des neuen windows-sicherheitcenter ist er beim aufbauen glaub ich bissel langsamer).
    nur beim start erscheint ein "windows installer"-fenster mit der meldung "installation wird vorbereitet"...dann folgt "adobe acrobat 7.0". ich drück immer dann gleich auf abbrechen, weil ich damit nichts anfangen kann. :confused:

    aber ich danke dir noch mal! :) und danke für die tipps....so wird das bei meinem neuen rechner ganz bestimmt ablaufen.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen