Malware Removal Information

Ga naar de inhoud

Hoofdmenu

SpyFalcon

Infecties > Archief O - S

Infectie getest op 06/03/06.

SpyFalcon is een "anti-spyware product" dat op de zwarte lijst staat. Het product wordt op een agressieve manier op de computer geïnstalleerd, zonder toestemming van de gebruiker.

In een hijackthislog zie je:

O4 - HKLM\..\Run: [SpyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h

Andere kenmerken van deze infectie:

Popups in de systray die wisselen tussen een rood rondje met een wit kruis, en het windowupdate icoontje.





Elke keer dat de computer opnieuw start, verschijnt SpyFalcon in beeld, die scant  en je toont welke infecties aanwezig zijn. Beloofd wordt dat de gevonden infecties verwijderd worden, indien je SpyFalcon koopt. (Doe dit dus niet!!)



Verantwoordelijk bestand bij deze variant is ginuerep.dll.
Als ginuerep.dll actief is, dan wordt spywarefalcon gedownload en geïnstalleerd op de computer (indien het nog niet aanwezig is).

Hoe verwijderen:

Sluit alle open vensters van Spyfalcon.
In de systray rechtsklik je op het icoontje van Spyfalcon en je kiest "Exit".
Ga naar Start - Alle programma's - Spyfalcon. Kies voor Uninstall Spyfalcon 2 om Spyfalcon te deïnstalleren.
Gebruik onderstaande regfile en laat de wijzigingen aan het register toe voegen:
REGEDIT4

[-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{C9FA1DC9 -1FB3-C2A8-2F1A-DC1A33E7AF9D}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}"=-

Een geupdate regfile voor alle SpyFalcon varianten is de regfile gemaakt door  Grinler. Deze kan je hier downloaden.
- Herstart de computer.
- Verwijder via Windows Verkenner het bestand dat bij de infectie hoort: c:\windows\system32\ginuerep.dll

Een oudere variant maakt gebruik van een andere registersleutels (CLSID is {D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D} en een ander bestand (dxmpp.dll).

Als je last hebt van deze infectie, bestaat de kans dat er ook nog andere malware mee op de computer gedropt wordt.

  • Daarom kan je best in veilige modus een keer smitfraudfix (van S!Ri) gebruiken.

  • Instructies over het gebruik van SmitfraudFix vind je hier.

  • Deze regfile gebruiken.
  • SpyFalcon deïnstalleren zoals hierboven beschreven.
  • In veilige modus het bestandje verwijderen.
  • Smitfraudfix zijn werk laten doen (in veilige modus).
  • Herstarten.
  • Eventueel nog scannen met een geupdate antispyware programma: Ad-Aware, Spybot Search & Destroy of Ewido.


Terug naar de inhoud | Terug naar het hoofdmenu