Info über spyfalcon und Tipps zur Entfernung

Diskutiere Info über spyfalcon und Tipps zur Entfernung im Security / Firewall / Virenabwehr Forum im Bereich Software Forum; Hi, ich habe eben über die Suchfunktion etwas über "spyfalcon" in diesem Forum gesucht, aber leider nicht gefunden. Also dachte ich mir, ich...

emphazizz

Threadstarter
Dabei seit
24.01.2006
Beiträge
11
Hi, ich habe eben über die Suchfunktion etwas über "spyfalcon" in diesem Forum gesucht, aber leider nicht gefunden. Also dachte ich mir, ich schreibe etwas dazu.
Mein Nachbar hat sich neulich einen virus namens Spyfalcon eingefangen. Und in meinen Augen ist es nicht nur eine "Spyware" sondern auch ein virus, denn es ist ein programm, welches daten (auch die Regestry) erheblich verändert und zerstört (und das kann, soweit ich weiß, Spyware nicht). Wie dem auch sei, es gibt angeblich ein "Removal-Programm" ("XoftSpy") für dieses Vieh und zwar u.a. hier und hier .
Doch was mich nach der Installation stutzig gemacht hat ist, dass dieser Anbieter der gleiche ist, wie der von spyfalcon! (Diese Firma
versteckt sich nur hinter einem anderen Namen) Zwar wird in deren Disclaimer versichert, dass diese Firma nichts mit den Herstellern von spyfalcon (Nachkömmling von Spy Axe") zu tun habe, was jedoch nicht stimmt!!! Und das die Site nicht seriös ist sieht man schon alleine daran, dass man nirgendwo die AGBs oder sonstwas einsehen kann (hab zumindest nix gefunden). Der Disclaimer existiert übrigends so nicht mehr. Er sah so aus wie unten beschrieben (siehe unten bei "spystrike") und zwar weitestgehend wort wörtlich. Das Removalprogramm lässt sich
einwandfrei installieren, und es findet auch die infizierten Einträge und Dateien und natürlich noch sehr viel mehr. Doch wenn man diese entfernen will öffnet sich das Fenster zur Regestrierung bei der Firma, die spyfalcon in Umlauf gebracht hat!
Oh, übrigends, sind die Domains, auf deren Web-Seiten spyfalcon angeboten wird, nach den Angaben im Sunbelt Weblog auf eine Firma "Sunshine Ltd" im US-Bundesstaat Philadelphia registriert. Doch hier die richtige und komplette Anschrift, Telefonnummer sowie Webadresse:

Domain Name: SPYFALCON.COM (195.225.176.79)
und zwei weitere Domain Namen mit der selben IP Adresse:
- Spyfalconupdate.com
- Updateyourwindows.com
Hersteller: SunShine Ltd.
David Taylor

U-12 Gamma Commercial Complex # 47
Rizal Highway cor. Manila Ave. Subic Bay
Olongapo City ("Olongapo City is a 1st class highly urbanized city in the province of Zambales, Philippines." [Quelle: Wikipedia] )
null, 98101 PH
Tel. +206.9543154


Spyfalcon fängt man sich über einen Audio/Video-Codec namens Vcodec ncompat.tlb, bzw. VCodec v 3.05b, dieser enthält den Trojaner Dldr.Zlob.go.2 - mein Nachbar hatte zudem auch noch "[email protected]" auf der Festplatte. Die Entfernung scheint auch nicht ganz einfach zu sein.
SpyFalcon ist in den HijackThis Logfiles an folgenden Einträgen zu erkennen:
- C:\Programme\SpyFalcon\spyfalcon.exe
- C:\WINDOWS\system32\mssearchnet.exe
- O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22}
- C:\WINDOWS\system32\hpXXXX.tmp
- O4 - HKLM\..\Run: [SpyFalcon] C:\Programme\SpyFalcon\SpyFalcon.exe /h

Die Datfindbat zeigt:
- C:\WINDOWS\system32\dxmpp.dll
- C:\WINDOWS\system32\NVCTRL.0XE
- C:\WINDOWS\system32\MSCORNET.0XE


Zu spyfalcon gehörende Gruppe:

- spy Axe
- spyware strike
- spyware sherriff (oder auch "spy sheriff")
- winFixer
- azeSearch
- spyGuard
- alfaCleaner
- Smitfraud


---SpywareStrike installiert sich auf dem Rechner, ohne dem Benutzer irgend
einen Hinweis darauf zu geben. Auch die eigene Aktivitäten des Programms bleiben im
Dunkeln, wobei natürlich auch der Link zu der Web-Seite des Neuseeländer
Herstellers unter spywarestrike.com privacy.php nicht publiziert wird.
(Nach Beendigung der Installation meldet das Programm seinen Trojaner,
der es installiert hat, als "Schadsoftware", allerdings ohne jegliche Details zu
melden. Zur Entfernung des Trojaners drängt SpywareStrike oder SpyAxe
den Computer-Benutzer zum Kauf des Produkts über die Web-Seite des Herstellers
für 49,50 Dollar.)
Auch für spywarestrike gibt es ein vermeindliches Removal-Tool wie bei spyfalcon.
Und auch hier der gleiche Disclaimer:

<span style="color:#FF0000">"The owner of this website is NOT affiliated with Spyware Strike or SpywareStrike
and does NOT endorse Spyware Strike or SpywareStrike.
This site is © Copyright www.remove-Spywarestrike.com 2006,
All Rights Are Reserved.
www.remove-Spywarestrike.com acknowledges all Company Brands and Trademarks.
Bonobo Pty Limited (ABN 26107727015), PO Box 2162, Gosford, NSW, Australia,2250."</span>


Hier noch Links zu informativen Sites über spyfalcon und Co:


--- "SpyFalcon: Wolf im Schafspelz
Meldung vom 10.02.2006
Das Sicherheitsunternehmen Sunbelt warnt vor einem neuen Programm,
das vorgibt vor Spionagesoftware zu schützen. In Tat und Wahrheit handelt es
sich aber selbst
um einen Schädling.
Wie die Firma Sunbelt in ihrem Unternehmens-Blog schreibt [1], ist mit SpyFalcon
ein Nachfolger der Programme Spyaxe [2] und SpywareStrike im Web aufgetaucht
Wie diese installiert sich die Software über Hintertüren oder versteckt sich in
anderen Downloads. Einmal auf dem Computer gibt SpyFalcon vor, gegen Spyware zu
schützen – natürlich nur gegen Geld. Das Programm findet dann auch
«zufälligerweise» verschiedene Spyware-Programme auf der Festplatte.
Entfernen lässt sich spyfalcon nur mit grossem Aufwand. Sunbelt empfiehlt als
Schutz, die Schwarzen Listen von Anti-Spyware-Programmen um die Adressen
«www.spyfalcon.com»,
«www.spyfalconupdate.com» und «www.updateyourwindows.com» zu ergänzen. (sz)"
(Quelle)

--- Weitere Infos auf "CHIP Online":
hier


---Guides zum Entfernen:
- Guide 1
- Guide 2



So hab ich es gemacht:

1. Ladet Euch folgende Progis runter:

- HijackThis vs.:1.99.1 ---> hier (nicht unbedingt erforderlich!)
- CleanUp40 ---> hier
- ewido ---> hier
- KillBox ---> hier
- SmitfraudFix ---> hier
- smitRem ---> hier
- spybots&dvs.:1.4 ---> hier
- FixSF (zur Rearatur der Regestry) ---> hier


Und Hier noch einige Progis zur Reparatur der Regestry:

- RegScrubXP ---> hier
oder hier: hier
- EClea2_0 ---> hier
- TweakNowRegCleaner ---> hier

2. Bitte folgendes ausführen: bei einem geöffneten Fenster oben auf
"Extras" klicken, --> "Ordneroptionen", dann auf den Reiter "Ansicht" klicken -->
das Häkchen bei "Erweiterungen bei bekannten Dateitypen ausblenden"raus
nehmen--> das Häkchen bei "Geschützte Systemdateien ausblenden"
ebenfalls raus nehmen --> bei "Inhalte" von Systemordnern anzeigen" Häkchen
machen --> und ein Häkchen bei "Alle Daten und Ordner anzeigen" machen -->
und dann noch die Systemwiederherstellung deaktivieren
(Start --> Systemsteuerung --> Verwaltung --> Dienste --> und rechts den
Eintrag "Systemwiederherstellungsdienst" suchen und auf Eigenschaften klicken.
Dann auf den Button "Beenden" klicken und bei "Starttyp" auf "Deaktiviert" stellen)
3. fahrt den PC runter und startet ihn im "absesicherter Modus" neu (während des
Neustartens F8 drücken bis sich die Auswahlliste öffnet bei der man auswählen
kann wie Windoof gestartet werden soll. Oder macht es wie folgt:-->
abgesicherter Modus

4. Auf "Start" und dann auf "Ausführen" klicken. Anschließend "regedit" eingeben und es
öffnet sich die Regestry.
5. In der Regestry auf "Bearbeiten klicken und danach auf "Suchen" klicken. Anschließend
jeweils Spy Axe, spyaxe, spyware strike, spyware sherriff, spy sheriff, winFixer,
azeSearch, spyGuard , alfaCleaner, Smitfraud eingeben und die Regesrtry danach
absuchen. Bei allem was gefunden wird die Binärdaten ändern und erst anschließend
die Einträge löschen löschen.
6. CleanUp40, ewido und spybot s&d installieren (unbedingt im abgesicherten Modus
installieren, da die Installation einiger Antispyware- und Antivirenprogis, ganz
besonders Progis von Norton, durch spyfalcon verhindert wird!)
7. Scannt alle Festplatten und Partitionen mit CleanUp!
8. Wo spyfalcon überall vorhanden ist, kann man aus dem Scan-Report entnehmen.
9. Löscht gnadenlos absolut alle (!!!) infizierten Dateien
10. Anschließend SmitfraudFix starten und beim ersten Bild "2" eingeben --> beim 2. Bild
"o" für oui (ja) eingeben (siehe auch Bild 1 und 2)
11. Startet dann das Progi SmitRem indem Ihr auf die Datei "RunThis.bat" klickt
12. Alle Einträge, die die o.g. Programme jeweils nicht im Stande sind zu entfernen kann
man einfach mit Killbox entfernen. Dazu muss man einfach den jeweiligen
Pfad der Dateien eingeben und löschen.
13. Nun den PC normal starten und Spybot installieren und updaten, sowie Ewido
updaten.
14. Ewido und Spybot erneut scannen lassen
15. Anschließend auf "Start" klicken und auf "Suchen". Hier nach Ordnern und Dateien
von spyfalcon suchen und alles löschen.

Auch hier nachsehen und löschen falls vorhanden:

- C:\Programme\SpyFalcon
- C:\Documents and Settings\[Current User]\Start Menu\Programme\SpyFalcon

- Es empfiehlt sich, nachzuschauen ob folgende Dateien auch gelöscht sind:

- SpyFalcon\blacklist.txt
- SpyFalcon\Lang
- SpyFalcon\Lang\English.ini
- SpyFalcon\Logs
- SpyFalcon\msvcp71.dll
- SpyFalcon\msvcr71.dll
- SpyFalcon\Quarantine
- SpyFalcon\sf.ini
- SpyFalcon\SpyFalcon.exe
- SpyFalcon\SpyFalcon.url
- SpyFalcon\SpyFalcon.zip
- SpyFalcon\syg.db
- SpyFalcon\syg.db.old
- SpyFalcon\uninst.exe


Anschließend sollte man noch einen online-scan durchführen lassen:
Symantec: -->
hier

Panda: Panda

eTrust Antivirus Webscanner: -->
eTrust


Okay, ich hoffe, dass ich hiermit irgendwie helfen konnte.



Hier noch Bild 1 und Bild 2:
 

Anhänge

  • Fix01.jpg
    Fix01.jpg
    31,8 KB · Aufrufe: 126
  • Fix02.jpg
    Fix02.jpg
    24,5 KB · Aufrufe: 114
Thema:

Info über spyfalcon und Tipps zur Entfernung

Info über spyfalcon und Tipps zur Entfernung - Ähnliche Themen

Vorinstalliertes McAfee von einem Windows 8 basierten Laptop KOMPLETT deinstallieren: Hallo zusammen, aus gegebenem Anlass musste ich mich leider mit dem Thema der korrekten Deinstallation von McAfee Internet Security und McAfee...
Rundll32.exe stellt großes Problem dar: Hallo und einen guten Tag. Ich schaue nun schon seit einer woche in verschiedenen Foren und Webeinträgen nach meinem Fehler. Folgender: Immer...
HijackThis oder WinPatrol Freeware Edition: Hi leute oder experten was ist der unterschiede von diesem HijackThis oder WinPatrol Freeware Edition guck euch das an , wenn ich es werten tue...
Hijackthis: Hallo. Ich habe mit Hijack einen Scan gemacht, und kann einige vermutlich kritische Einträge nicht löschen. (siehe Logfile unten 4 Enträge in 023...
spyware lässt sich net entfernen: das lässt sich net entfernen hab das mit spyware doctor 5 und spybot versucht geht aber net das dingen ruft immer wieder nen pop up auf im IE...
Oben