Habe wohl den Spy Falcon gefangen, aber keine Ahnung, wie ich ihn wegbekomme. Habe Ad-Aware probiert (nichts gefunden), HJT hab ich auch probiert, aber er ist noch da. Hab ich was übersehen?

Logfile of HijackThis v1.99.1
Scan saved at 16:12:27, on 24.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Arcade\PCMService.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\user\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp87AE.tmp
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SpyFalcon] C:\Programme\SpyFalcon\SpyFalcon.exe /h
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


Bin für jede Hilfe dankbar!!!

Hallo Patrick,
ist schwierig zu entfernen.Hier ist eine Seite dazu :
http://virus-protect.org/artikel/bfu/spyfalcon_bfu.html
Irrlicht

Danke, werde dem nachgehen. Ist bei meinem HJT-Log noch was drin?

Ich bin die Liste nun durchgegangen, habe auch keine Störungen mehr. Die Scans zeigen dennoch, dass ich das Ding nicht los bin. Kaspersky sagt mir folgendes:

C:\Programme\mIRC\mirc616.exe/data0001.bin Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped

C:\Programme\mIRC\mirc616.exe mIRC: infected - 1 skipped

C:\System Volume Information\_restore{F0BA463B-75A5-41D6-A0D6-9974E0302D48}\RP158\A0009776.exe Infected: Trojan-Downloader.Win32.Zlob.jl skipped

C:\System Volume Information\_restore{F0BA463B-75A5-41D6-A0D6-9974E0302D48}\RP158\A0009777.tlb Infected: Trojan-Downloader.Win32.Zlob.jh skipped

C:\mIRC\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped



Wie bekomme ich das Zeug nun runter?

Hallo Patrick,
das hier hat mit deiner vermutlich alten Kaspersky-Version zu tun :
C:\Programme\mIRC\mirc616.exe/data0001.bin Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped
Das andere Teil steckt in deiner Systemwiederherstellung.
Abhilfe :Laden und VORHER updaten,Spybot S&D,AdAware SE und Ewido Security Suite.
In den abgesicherten Modus(F8 drücken beim Start) bei deaktivierter Systemwiederherstellung(Start>alle Programme>Zubehör>Systemprogramme>Systemwiederherstellung,klick Systemwiederherstellungseinstellungen,Haken rein bei "Systemwiederherstellung auf allen Laufwerken deaktivieren")
Die drei Tools laufen lassen und entfernen was angezeigt wird.Danach Neustart und Systemwiederherstellung einschalten nach obigem Muster(Haken raus)
Lade dir Regseeker und Clear Prog von den Originalseiten,Google weiß wo.Starte Regseeker ,Sprache (Languages)wählen und "Registrierung säubern".Löschen was gefunden wird,so oft bis nix mehr angemeckert wird.Achte dabei darauf ,das unten links die Wiederherstellung angehakt ist.Sollte etwas mal nicht mehr funktionieren kannst du es daraus wiederherstellen.Zum Schluß mit Clear Prog den Müll raustragen(alle Haken setzen und löschen was angegeben ist)
Mit neuem EScan Log abschließende Kontrolle,altes Log vorher löschen.
Rückmeldung !
Irrlicht

Danke für Deine Hilfe!!!

Zitat:

Zitat von irrlicht

das hier hat mit deiner vermutlich alten Kaspersky-Version zu tun :
C:\Programme\mIRC\mirc616.exe/data0001.bin Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped

Ich habe lediglich mit einem Onlinescan gearbeitet (den Link hattest Du in Deinem ersten Beitrag geschickt), insofern wundere ich mich, dass es mit einer alten Version zusammenhängen könnte.

Ich habe nun alle Schritte der Reihe nach vorgenommen und einige Spy Falcon Module erledigt. Kaspersky hat mit Ausnahme der Mirc-Anzeigen nichts mehr gefunden:

C:\Programme\mIRC\mirc616.exe/data0001.bin Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped

C:\Programme\mIRC\mirc616.exe mIRC: infected - 1 skipped

C:\mIRC\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped


Ewido hat allerdings ein paar tracking cookies im firefox gefunden, die ich mir nicht erklären konnte. Es handelte sich um:

TrackingCookie.Falkag
TrackingCookie.Euroclick
TrackingCookie.Doubleclick
TrackingCookie.Hitbox
TrackingCookie.Ivwbox
TrackingCookie.Advertising
TrackingCookie.Mediaplex

Ich war in der Zeit zwischen diesem und dem vorhergehenden Scan aber nur auf absolut unbedenklichen Seiten.

Hallo Patrick,
kann auch von dem Onlinescan sein.Alles was ich dazu im Netz finden konnte, steht in einem engen Zusammenhang mit Kaspersky.Coockie-Problem,klick dich hier mal durch und überdenke die vorgeschlagenen Einstellungen :http://www.heise.de/security/dienste/browsercheck/
Die "Virusprotect"-Seite aus dem ersten Link,ist was was ich mir in die favoriten legen würde.Lehrreich und eine sehr gute "erste Hife" bei Problemen.
Irrlicht

Deute ich Deine Antwort richtig, dass ich den Wurm zumindest wohl los bin

Danke für die Hilfe und die Tipps werde ich mir anschauen!