SpyFalcon & AlfaCleaner (Remover)

[Ruby]

Zwei weitere Fake Programme der Serie Smitfraud, die viel versprechen und nichts halten, wenn man mal davon absieht, dass sie die Systeme vollmüllen mit Malware.

Der AlfaCleaner befindet sich bereits als einer der neueren Einträge auf der Roten Liste von SpywareWarrior. Er ist im HijackThis Logfile erkennbar an folgendem Eintrag:

O4 - HKLM\..\Run: [AlfaCleaner] C:\Program Files\AlfaCleaner\AlfaCleaner.exe

Tenebril's Spyware Information zu AlfaCleaner (frei übersetzte Zusammenfassung):

Diese Anwendung ist Adware. Sie kann über eine andere Anwendung installiert werden. Sie kann Popup-Werbungen abspielen, auch dann, wenn ein Popup Blocker installiert ist. Sie zeichnet auf wie der Rechner verwendet wird, um um Zugaben hinzu zu fügen, auf die der User vermutlich reagieren wird. Adware kostet Leistungsvermögen, der Rechner wird langsamer.

* Grösse: 9,249,622 bytes
* Risiko: Mittel
* Erkennungsrate: 207 im Februar: 207
* Hersteller: Innovagest
* Andere vom gleichen Hersteller: Anti-Virus-Pro
* Erscheinungsdatum: 19.01.2006

Untersuchungsergebnis:

* Infectionsweise: AlfaCleaner kann von dieser Seite heruntergeladen werden: alpahcleaner.com. AlfaCleaner kann auch über Windows Exploits oder andere Malware installiert werden.
* Werbung: AlfaCleaner verwendet False Positives, um User dazu zu bringen die Vollversion zu kaufen. AlfaCleaner bezeichnet harmlose Cookies als ernsthaftes Risiko der Privatsphäre.

***

SpyFalcon ist der brandneue Ersatz von SpyAxe/SpywareStrike und wird bereits bei SunbeltBlog aufgeführt. Zusätzliche Information:
CastleCops mit diesen Abbildungen, die dort in Originalgrösse betrachtet werden können:

So sieht das Programm Spyfalcon aus

So sieht die Website von Spyfalcon aus

Der Inhalt von Spyfalcon gleicht SpywareStrike

Domain Name: SPYFALCON.COM (195.225.176.79)
und zwei weitere Domaine Namen mit der selben IP Adresse:

Spyfalconupdate.com
Updateyourwindows.com

Bitte die Blocklisten in der Hosts Datei um diese Domaine Namen ergänzen.

Die Installation von SpyFalcon erfolgt laut SunbeltBlog
u.a. über ein sogenanntes Video Codec:

“VCodec v3.05b is new generation multimedia compressor/decompressor which registers into the Windows collection of multimedia drivers...” Die Datei VideoCodec3_05b ist der Trojaner Trojan-Downloader.Win32.Zlob.cu, der auf den Systemen die Information “Your computer is infected!” abspult.

SpyFalcon ist in den HijackThis Logfiles an folgenden Einträgen zu erkennen:

C:\Programme\SpyFalcon\spyfalcon.exe
C:\WINDOWS\system32\mssearchnet.exe
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpXXXX.tmp
O4 - HKLM\..\Run: [SpyFalcon] C:\Programme\SpyFalcon\SpyFalcon.exe /h

Die Datfindbat zeigt:

C:\WINDOWS\system32\dxmpp.dll
C:\WINDOWS\system32\NVCTRL.0XE
C:\WINDOWS\system32\MSCORNET.0XE

RootkitRevealer zeigt folgende Einträge:

C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Microsoft\Inte rnet Explorer\Quick Launch\SpyFalcon 2.0.lnk 09/02/2006 23:55 692 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Name\Desktop\SpyFalcon.lnk 09/02/2006 23:55 674 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Name\Startmenü\Programme\SpyFalcon 09/02/2006 23:55 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Name\Startmenü\Programme\SpyFalcon\ SpyFalcon 2.0 Website.lnk 09/02/2006 23:55 686 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Name\Startmenü\Programme\SpyFalcon\ SpyFalcon 2.0.lnk 09/02/2006 23:55 686 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Name\Startmenü\Programme\SpyFalcon\ Uninstall SpyFalcon 2.0.lnk 09/02/2006 23:55 485 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Name\Startmenü\SpyFalcon 2.0.lnk 09/02/2006 23:55 674 bytes Hidden from Windows API.
C:\Programme\SpyFalcon\blacklist.txt 25/01/2006 17:50 49.34 KB Hidden from Windows API.
C:\Programme\SpyFalcon\Lang 09/02/2006 23:55 0 bytes Hidden from Windows API.
C:\Programme\SpyFalcon\Lang\English.ini 09/02/2006 13:13 31.12 KB Hidden from Windows API.
C:\Programme\SpyFalcon\Logs 09/02/2006 23:55 0 bytes Hidden from Windows API.
C:\Programme\SpyFalcon\msvcp71.dll 27/07/2005 00:14 488.00 KB Hidden from Windows API.
C:\Programme\SpyFalcon\msvcr71.dll 27/07/2005 00:14 340.00 KB Hidden from Windows API.
C:\Programme\SpyFalcon\Quarantine 09/02/2006 23:55 0 bytes Hidden from Windows API.
C:\Programme\SpyFalcon\SpyFalcon.url 09/02/2006 23:55 50 bytes Hidden from Windows API.
C:\Programme\SpyFalcon\syg.db 08/02/2006 07:24 1.02 MB Hidden from Windows API.
C:\Programme\SpyFalcon\uninst.exe 09/02/2006 23:55 40.46 KB Hidden from Windows API.

Ein Fake AntiSpyware Programm, das sich versteckt und von RootkitRevealer entdeckt wird, verheisst nichts Gutes.

>> Fortsetzung folgt >>

[Ruby]

CastleCops:
Name: AlfaCleaner
Command: AlfaCleaner.exe
Status: X
Description: AlphaCleaner is now a stealth install using exploits on unpatched systems. Seen alongside RazeSpyware

X" - Definitely not required - typically viruses, spyware, adware and "resource hogs"

Um den AlfaCleaner vom System zu entfernen, kann man unter WinXP und Win2K das SmitFraudFix verwenden, das diese Infektion in der Version 2.19 bereits erfasst hat.

Anwendern aller Windows Betriebssysteme steht ausserdem Noahdfear's SmitRem zur Verfügung, das diese Infektion ebenfalls entfernt.

Hinweise zur Anwendung beider Tools:

-> Anti-Malware (free)
(bitte nach unten scrollen).

[Ruby]

Zwei Anleitungen zur Entfernung von SpyFalcon

Es gibt bereits zwei erste Möglichkeiten diese neue Adware produzierende Infektion, SpyFalcon, von den Systemen zu entfernen. Sie installiert sich, wie bereits beschrieben, ohne Wissen des Users auf seinem System.

1. 2-Spyware.com
2. Spyware-Removal-Guideline.com

Vergleiche auch: TomCoyote

Die zweite Infektion, AlfaCleaner, kann bereits mit dem SmitfraudFix Version 2.19 entfernt werden.

Hier folgt eine Übersetzung für Deutsch sprechende User:

1 zur Entfernung unter 1. von 2-Spyware.com

Name: SpyFalcon

Typ: Trojaner

Gefährlichkeitsgrad: 70 (70 / 100)

SpyFalcon ist ein Trojaner, der ein Icon abspielt mit der Aussage, dass der kompromittierte Rechner infiziert sei mit gefährlichen Spyware Parasiten. Der User wird aufgefordert ein Removal Tool herunterzuladen und zu installieren, das SpyFalcon heisst und in Wirklichkeit ein illegal verbreitetes korruptes Spyware Tool ist. Wenn der User auf diesen Bericht klickt, öffnet der Trojaner eine Webseite, die dieses SpyFalcon Tool führt. Möglicherweise versucht dieser Trojaner auch diese Anwendung herunterzuladen. Der Trojaner ist in der Lage die Internet Explorer Homepage zu verändern und den Browser auf unsichere Webseiten zu entführen. SpyFalcon trägt sich in der Registry ein und startet mit jedem Systemstart neu auf.

Domain Name:
SPYFALCON.COM (195.225.176.79)

Hersteller: SunShine Ltd
David Taylor
U-12 Gamma Commercial Complex # 47
Rizal Highway cor. Manila Ave Subic Bay
Olongapo City
null, 98101
PH
Tel. +206.9543154

Andere Domainen unter der gleichen IP Adresse:
Spyfalconupdate.com
Updateyourwindows.com

Dateien:
spyfalcon.exe, dxmpp.dll, sf.ini

Verhaltensweise des SpyFalcon:
• Zeigt kommerzielle Werbung
• Verbindet sich selbst mit dem Internet
• Versteckt sich vor dem User
• Läuft permanent im Hintergrund mit

Automatisches SpyFalcon Removal Tool:
Download Removal Software

Manuelle SpyFalcon Entfernung:
Beende den Prozess: spyfalcon.exe

Bebilderte Hilfe: wie beendet man einen Prozess

Lösche folgende Registry Einträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run\SpyFalcon <- nur den fettgedruckten Eintrag

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}
HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}

Bebilderte Hilfe: wie man Registry Einträge entfernt

Lösche folgende Dateien:
spyfalcon.exe, dxmpp.dll, sf.ini

Bebilderte Hilfe: wie man schädliche Dateien löscht

Lösche folgende Ordner:
C:\Programme\SpyFalcon
C:\Documents and Settings\[Current User]\Start Menu\Programme\SpyFalcon

Verschiedenes:
Genaue Datei Angaben:
spyfalcon.exe, sf.ini - C:\Program Files\SpyFalcon
dxmpp.dll - C:\Windows\System, C:\Windows\System32 or C:\Winnt\System32

=======

2 zur Entfernung unter 2. von Spyware-Removal-Guideline.com



Manuelle SpyFalcon Entfernung

* Lade die smitRem.exe herunter und speichere sie auf deinem Desktop
(mit Dank an: Noahdfear).

* Lass die smitRem.exe laufen
* Klicke auf Start
* Bestätige in der Box "All files have been extracted" mit OK

* Lade ausserdem herunter und speichere sie auf deinem Desktop als "FixSpyFalcon.reg" unter "Alle Datei Typen":

die Textdatei FixSpyFalcon.reg
(mit Dank an: http://www.bleepingcomputer.com).

* Es wird empfohlen, diese Anleitung auszudrucken, bevor du weitermachst.
* Boote in den abgesicherten Modus
* Lass die heruntergeladene Datei FixSpyFalcon.reg laufen.
* Wähle "ja" (yes) wenn du gefragt wirst "Möchten Sie diese Information der Registrierung hinzufügen" ("Are you sure you want to add the information to the registry").
* Lösche den Ordner C:\Programme\SpyFalcon\
* Lösche die Datei C:\Windows\system32\dxmpp.dll (gefährliches Nicht-Virus-Programm:Hoax.Win32.Renos.bf)
* Suche und finde den smitRem Ordner auf deinem Desktop und lass die RunThis.bat Datei laufen, um die SpyFalcon Infektion zu reinigen.
* Wenn das smitRem beendet ist, erscheint eine Datei namens "smitfiles.txt" unter c:/ . Wenn die SpyFalcon Infektion erfolgreich entfernt wurde, wird der Datei Inhalt das bestätigen.
* Starte den Rechner neu auf, in den normalen Modus
* Nun sollte die SpyFalcon Infektion beseitigt sein.

Automatisches SpyFalcon Entfernungs Programm:
kostenlose Trial Version von Spy Sweeper zur Entfernung von SpyFalcon
[Spy Sweeper (DE Tutorial)]

Ergänzung aus unserem Forum
mit Dank an 3 User
die uns sehr geholfen haben
bei der Erkennung des SpyFalcon:

Es empfiehlt sich, nachzuschauen ob der Ordner C:\Programme\SpyFalcon
mit allen Unterordnern und Dateien vom System entfernt ist:

SpyFalcon\blacklist.txt
SpyFalcon\Lang
SpyFalcon\Lang\English.ini
SpyFalcon\Logs
SpyFalcon\msvcp71.dll
SpyFalcon\msvcr71.dll
SpyFalcon\Quarantine
SpyFalcon\sf.ini
SpyFalcon\SpyFalcon.exe
SpyFalcon\SpyFalcon.url
SpyFalcon\SpyFalcon.zip
SpyFalcon\syg.db
SpyFalcon\syg.db.old
SpyFalcon\uninst.exe

[Ruby]

Anwendern der Betriebssysteme WinXP, Win2K steht für beide Infektionen ein Remover zur Verfügung:

SmitFraudFix Version 2.20

Lade das SmitfraudFix von S!Ri, moe31 und balltrap34 runter: SmitfraudFix

1. Vorbereitung:
entpacke (SIMPLYZIP) das gesamte Archiv auf deinen Desktop oder in den neu zu erstellenden Ordner C:\smitfraudfix
(Wie man einen neuen Ordner anlegen kann, kannst du diesem Windows Tutorial entnehmen.)

2. Recherche:
Doppelklick auf smitfraudfix.cmd
wähle die Option 1
um einen Bericht über die Infektionsart zu erhalten.
Speichere das Logfile.

3. Reinigung:
Boote in den abgesicherten Modus
Doppelklick auf smitfraudfix.cmd
wähle die Option 2
um die, für die Infektion verantwortlichen, Files vom System zu entfernen.
Beantworte die Frage: "Voulez-vous nettoyer le registre ?" (Wollen Sie die Registry reinigen) mit O (oui -> ja).
Der Fix stoppt, wenn die "wininet.dll" infiziert ist.
Beantworte die Frage: "Corriger le fichier infecté ?" (Wollen Sie die infizierte Datei ersetzen) mit O (oui -> ja).
Speichere das Logfile.

Starte dein System neu auf.

Merci beaucoup à
S!Ri, moe31 & balltrap34

Das Changelog kann abgerufen werden auf der Seite von SiRi oder unter

Startseite (a-z)