SpyFalcon

[zostpegel]

Hallo beste mensen,
Ik heb waarschijnlijk een heel gemene Spyware binnen gekregen, hij heet SpyFalcon. Heb al bijna alle scanners er overheen gehaald, maar zonder resultaat Ik heb Windows XP en een pentium 4 pc. Hoe krijg ik dit kreng weg?
Hoop dat jullie me kunt helpen.
Groet Zostpegel

 

[Elisa]

Overgenomen van Buffy:
SpyFalcon is evenals SpySheriff een fake antispywareprogramma. Het is zélf spyware en maakt deel uit van een trojan-infectie. Plaats maar even een HijackThis-log, dan helpen we je ervan af.

Lees eerst de handleiding van HijackThis:
http://www.nucia.nl/toonhandleiding.php?handleidingid=9

Lees dan het volgende bericht goed door:
http://www.nucia.nl/forum/showthread.php?t=12

Plaats daarna je HijackThis-log in de daarvoor bestemde forumsectie:
http://www.nucia.nl/forum/forumdisplay.php?f=38

 

[gast0225]

Wat bedoel je precies met "niet wegkrijgen"?

Ik heb toevallig gisteren een pc "gezien" die ook door Spyfalcon was getroffen:

rechtsonder op de taakbalk van Windows schitterend knipperend icoontje en daarnaast een Falcon logo.
Verder vreselijk mooie popupschermen over een vernietigend virus dat Spyfalcon zou hebben gevonden en het advies om online te gaan scannen. Verder ook nog de homepage van Internet Explorer veranderd door Spyfalcon. (Die mooie popupschermen leken vreselijk veel op Microsoft achtige schermen. Ik kan mij voorstellen dat een achteloze pc-gebruiker "denkt" dat het officiele Microsoft pagina's / schermen betreft)

Herken je een of meerdere symptomen zoals hierboven omschreven ? Dan hebben we 't over dezelfde.

Verwijderdering zoals ik 't heb gedaan:

1. scan gedaan met virusscanner: die vond 3 verdachte dingen : in quarantaine laten zetten en daana verwijderd
2. systeemherstel uitgeschakeld
3. veilige modus gestart en in software (configuratiescherm) Falcon verwijderd.
4, mappen temp gelegd
5. wederom systeemscan laten doen -> vond een verdachte dll (of .exe dat weet ik niet zeker meer) in system 32 van Windows -> deze laten verwijderen door de scanner
6. nogmaals scan gedaan, 0 virussen
7. AD-aware in veilige modus gedraaid -> alle spyware laten verwijderen
8. pc opgestart in normale modus, nogmaals Ad-aware gedraaid -> alle gevonden items laten verwijderen
9. systeemherstel weer ingeschakeld
10. voor de zekerheid nogmaals systeem (virusscan) gedraaid -> systeem schoon.

Ik probeer nog even te acherhalen welke .dll of .exe in de systeem 32 werd aangetroffen. Mocht jouw scanner 'm niet vinden dan kun je 'm wellicht handmatig opsporen.

 

[gast0225]

Sorry, maar die .exe in system32 kan ik niet meer opsporen (betrokkene heeft het logboek van zijn virusscanner opgeschoond)

Zorrg dat je scanner volledig update is wanneer je gaat scannen, dan moet het wel goedkomen met het opsporen van die .exe / .dll

 

[gast0225]

Wat ik nog vergat :

welkom bij de Helpmij !

 

[buffy]

Ik probeer nog even te acherhalen welke .dll of .exe in de systeem 32 werd aangetroffen. Mocht jouw scanner 'm niet vinden dan kun je 'm wellicht handmatig opsporen.

Dat zal dxmpp.dll geweest zijn.

Het spijt me dit te moeten zeggen Pasja, maar de door jou zo mooi beschreven methode gaat in 95% van de gevallen niet voldoende effect hebben. Ik spreek uit ervaring met deze infectie. Véél ervaring.

Hier een meer effectieve verwijderprocedure: http://www.bleepingcomputer.com/forums/topic43659.html. Maar Elisa's advies volgen is veiliger, want dan krijg je een op maat gemaakt advies. Alle individuele gevallen van deze infectie zien er weer anders uit.

 

[gast0225]

Maybe dat een combinatie van een goede virusscanner, een up to date ad-aware en een kleine portie troubleshooting-ervaring mij deed behoren tot die 5%. Het systeem waarop 't lekker ding zat is weer helemaal vrij van ellende.

 

[maf-fia]

http://www.securitysafeguards.net/

Ten eerste
Gegroet helpmij forum members

ik had gisteren ook last van Spyfalcon na wat rond geneusd op deze site en wat
tips gelezen te hebben ben ik het probleem aan gaan pakken met redelijk succes
ik heb geen last meer van pop-ups of dat irritante knipper icon recht in de menu balk
ook het steeds installeren van die Spyfalcon zooi ben ik vanaf Maar waar ik wel nog last van heb
is dat er in Internet explorer volgens mij een “Remote control” of iets degelijks is
aangebracht waardoor steeds als ik internet explorer opstart hij naar deze pagina gaat
“http://www.securitysafeguards.net/”
terwijl er in mijn Internet options een andere site als Home page vermeld heb staat..

Hoe kom ik hiervan af zonder dat ik het opnieuwe moet installeren???

bijvoorbaat dank voor de medewerking

 

[Elisa]

Het lijkt me dat het juiste antwoord hierboven wel te vinden is.

 

[m@rio]

Je kunt het beste het advies van Elisa opvolgen

 

[crash]

Dat zal dxmpp.dll geweest zijn.

Ik had hier een pc met Spywarestrike erop en Ewido gaf nvctrl.exe als probleem aan in system32.
Het zijn zeker ook random namen die aangemaakt worden Buffy?

 

[maf-fia]

Ik had eerst gescand met Spy Sweeper en Ad-aware en voor de zekerheid
had ik mijn pc nu ook met Spybot gescand en jahoor die haalde nog 8 infecties weg
waaronder 5 registry keys, het lijkt ernu op dat ik er vanaf ben.
zo niet dan horen jullie nog van me

in iedergeval bedankt voor de reacties


groeten

 

[Bob Schurkjens]

Heb gisteren ook Spyfalcon van mijn PC gehaald. Ik dacht met Hitmanpro al een heel eind te komen maar ook Hitmanpro kreeg die ellende er niet af.

Ik heb de stappen doorlopen die op

http://www.spyware-removal-guideline.com/spyfalcon-removal staan. Spyfalcon is nu helemaal weg.

Helaas ben ik daardoor nu ook zo ongeveer alle bestanden (plaatjes, mappen, documenten) die in Mijn Documenten stonden kwijt.

Kennelijk vernietigt dit virus ook erg veel van je bestanden. Heb RecoverMyFiles gedraaid die na drie uur scannen o.a. 400 foto's die ik maakte terugvond. Deze demosoftware laat je alleen 70 dollar betalen om de bestanden ook weer daadwerkelijk terug te zetten. Andere gratis software zoals "PC Inspector File Recovery" geeft direct een foutmelding waardoor ik niet verder kan. Het gekke is dat de aangegeven totale vrije ruimte op mijn C-schijf niet groter is geworden. kan ik de bestanden nog terug toveren?

 

[crash]

Voor foto recovery kun je mischien beter "Smart media recovery" gebruiken, staat op dezelfde site als PC inspector.:
http://www.pcinspector.de/smart_media_recovery/nl/welcome.htm

Ik weet eerlijk gezegt niet of de site, waar jij uitleg op gevonden hebt, onder de "betrouwbare" site's valt.

 

[buffy]

Ik had hier een pc met Spywarestrike erop en Ewido gaf nvctrl.exe als probleem aan in system32.
Het zijn zeker ook random namen die aangemaakt worden Buffy?

Nee, de bestandsnamen zijn niet random. Maar welke bestanden er precies aanwezig zijn, verschilt per individuele geval. Er zijn veel varianten van de Smitfraud-trojan (gisteren ontdekten we weer een nieuwe) en elke variant (zoals SpyFalcon) heeft op zijn beurt weer subvarianten. We kunnen hier dus geen 'kant-en-klare' verwijderprocedure voor geven, want wat er precies moet gebeuren verschilt van geval tot geval.

@ Bob Schurkjens,

Correcte verwijdering van deze infectie heeft beslist niet tot gevolg dat je bestanden uit Mijn Documenten kwijtraakt. Ook is er geen sprake van dat deze infectie bestanden zou vernietigen.

 

[crash]

Nee, de bestandsnamen zijn niet random. Maar welke bestanden er precies aanwezig zijn, verschilt per individuele geval. Er zijn veel varianten van de Smitfraud-trojan (gisteren ontdekten we weer een nieuwe) en elke variant (zoals SpyFalcon) heeft op zijn beurt weer subvarianten. We kunnen hier dus geen 'kant-en-klare' verwijderprocedure voor geven, want wat er precies moet gebeuren verschilt van geval tot geval.

Bedankt voor de info Buffy.

 

[Bob Schurkjens]

Bedankt beiden voor de uitleg! Helaas blijft het verdwijnen van de bestanden een mysterie. Ga er morgen mee verder.

 

[Bob Schurkjens]

Heb inmiddels PC Inspector Smart Recovery geïnstalleerd. Probleem is dat het niet werkt:

bestanden van C naar C (in een andere map) kopiëren kan niet. Op een ceedeetje branden kan ook niet want geeft foutmelding met foutnummer 71. Als je vervolgens dat foutnummer in de helpsectie opzoekt blijkt het er niet in te staan. Is er nog een progje dat wel werkt??

Kopieren naar mijn USB-stick ging prima maar die gaat niet verder dan 16 MB.

 

[crash]

Het klop dat je van C naar C niet kan kopieren. Je moet een andere partitie of schijf gebruiken om te kunnen backuppen.

 

[Bob Schurkjens]

Kennelijk moet je een USB geheugenstick gebruiken want een ceedeetje branden lukt domweg niet. Knap frustrerend dat dat programma geen hulpfunctie cq gebruiksaanwijzing heeft. Kennelijk in dit geval de prijs die je betaalt voor "freeware" .