(gelbes warndreieck in taskleiste) - IntCodec

#1 hi leute,

zunächst einmal dickes lob für das team hier. habe einige beiträge gelesen und es ist gut, dass es leute gibt, die ihr wissen zum helfen einsetzen und nicht zum verursachen von PC-probleme.

ich hatte vor kurzem auch das problem mit dem gelben warndreieck in der taskleiste und der link zu einem unbekannten "spyware-programm".

habe die schritte, die sabine im zusammenhang
http://virus-protect.org/artikel/spyware/spywarequake.html
mit smitfraudfix (scannen und im abgesicherten modus registry cleanen. danach DR.Web antivirus-programm laufen lassen) durchgeführt. DR.Web hat
http://virus-protect.org/cureit.html
bedauerlicherweise 2 trojaner gefunden (tool.prockill trojan.shutdown) .

so habe ich mich entschlossen, mit hijackthis einen logfile zu erstellen und hier reinzuposten. ich hoffe, dass ihr mir sagen könnt, ob nun alles i.o ist, oder ob ich weitere schritte einleiten muss:

Logfile of HijackThis v1.99.1
Scan saved at 08:03:32, on 30.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Protection Bar - {d1ac752e-883f-4ed8-8828-b618c3a72152} - C:\Programme\IntCodec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

EDIT: hier auch die logfiles vom smitfraudfix scan:
http://virus-protect.org/artikel/tools/smitfrautfix.html

SmitFraudFix v2.76

Scan done at 8:05:02,53, 30.07.2006
Run from C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Besitzer\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

#2 1.
arbeite das bitte ab und poste das log
http://virus-protect.org/artikel/tools/combofix.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hallo sabina,

hier der scan report von combofix:

Start Time= 30.07.2006 14:28:29,54
Running from: C:\Programme\Mozilla Firefox

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-06-09 19:53:14 ( .D... ) "C:\Programme\RamBooster 2.0"
2006-06-05 07:31:00 ( .D... ) "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Apple Computer"
2006-06-05 07:30:20 ( .D... ) "C:\Programme\QuickTime"
2006-06-02 00:10:26 3596288 ( A.... ) "C:\WINDOWS\system32\qt-dx331.dll"
2006-06-02 00:09:58 593920 ( A.... ) "C:\WINDOWS\system32\dpuGUI11.dll"
2006-06-02 00:09:58 344064 ( A.... ) "C:\WINDOWS\system32\dpus11.dll"
2006-06-02 00:09:58 294912 ( A.... ) "C:\WINDOWS\system32\dpu11.dll"
2006-06-02 00:09:58 294912 ( A.... ) "C:\WINDOWS\system32\dpu10.dll"
2006-06-02 00:09:58 200704 ( A.... ) "C:\WINDOWS\system32\dtu100.dll"
2006-06-02 00:09:58 90112 ( A.... ) "C:\WINDOWS\system32\dpl100.dll"
2006-06-02 00:09:58 57344 ( A.... ) "C:\WINDOWS\system32\dpv11.dll"
2006-06-02 00:09:58 53248 ( A.... ) "C:\WINDOWS\system32\dpuGUI10.dll"
2006-06-02 00:07:46 536576 ( A.... ) "C:\WINDOWS\system32\DivXsm.exe"
2006-06-02 00:07:38 1044480 ( A.... ) "C:\WINDOWS\system32\libdivx.dll"
2006-06-02 00:07:38 200704 ( A.... ) "C:\WINDOWS\system32\ssldivx.dll"
2006-06-02 00:07:34 245408 ( A.... ) "C:\WINDOWS\system32\unicows.dll"
2006-06-02 00:07:00 778240 ( A.... ) "C:\WINDOWS\system32\divx_xx07.dll"
2006-06-02 00:06:58 778240 ( A.... ) "C:\WINDOWS\system32\divx_xx0c.dll"
2006-06-02 00:06:58 761856 ( A.... ) "C:\WINDOWS\system32\divx_xx11.dll"
2006-06-02 00:06:58 619156 ( A.... ) "C:\WINDOWS\system32\DivX.dll"
2006-06-02 00:06:34 118784 ( A.... ) "C:\WINDOWS\system32\DivXCodecUpdateChecker.exe"
2006-06-02 00:06:34 12288 ( A.... ) "C:\WINDOWS\system32\DivXWMPExtType.dll"
2006-04-30 20:45:38 249856 ( ..... ) "C:\WINDOWS\Setup1.exe"
2006-04-30 20:45:38 73216 ( A.... ) "C:\WINDOWS\ST6UNST.EXE"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-07-30 08:04 53.248 C:\WINDOWS\system32\Process.exe
2006-07-30 08:04 42.496 C:\WINDOWS\system32\swreg.exe
2006-07-30 08:04 40.960 C:\WINDOWS\system32\swsc.exe
2006-07-30 08:04 288.417 C:\WINDOWS\system32\SrchSTS.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"NVRaidService"="C:\\WINDOWS\\System32\\nvraidservice.exe"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,23,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^Morpheus.lnk]
"path"="C:\\Dokumente und Einstellungen\\Besitzer\\Startmenü\\Programme\\Autostart\\Morpheus.lnk"
"backup"="C:\\WINDOWS\\pss\\Morpheus.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\Morpheus\\Morpheus.exe -min"
"item"="Morpheus"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cli"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ashDisp"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Steam"
"hkey"="HKCU"
"command"="C:\\Programme\\Valve\\Steam\\\\Steam.exe -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=dword:00000002
"wuauserv"=dword:00000002
"Themes"=dword:00000002
"srservice"=dword:00000002
"Spooler"=dword:00000002
"Irmon"=dword:00000002
"ImapiService"=dword:00000003
"ERSvc"=dword:00000002
"avast! Web Scanner"=dword:00000003
"avast! Mail Scanner"=dword:00000003
"avast! Antivirus"=dword:00000002
"aswUpdSv"=dword:00000002
"wscsvc"=dword:00000002
"WmdmPmSN"=dword:00000003
"TapiSrv"=dword:00000003
"SharedAccess"=dword:00000002
"Schedule"=dword:00000002
"SCardSvr"=dword:00000003
"LmHosts"=dword:00000002




Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Click Maintenance.job

Completion time: 30.07.2006 14:28:35,67
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt

und hier datfind scan report:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0089-F95F

Verzeichnis von C:\WINDOWS\system32

30.07.2006 07:05 380.486 perfh009.dat
30.07.2006 07:05 52.900 perfc009.dat
30.07.2006 07:05 391.330 perfh007.dat
30.07.2006 07:05 63.778 perfc007.dat
30.07.2006 07:05 897.954 PerfStringBackup.INI
29.07.2006 14:19 13.646 wpa.dbl
02.06.2006 00:10 3.596.288 qt-dx331.dll
02.06.2006 00:09 53.248 dpuGUI10.dll
02.06.2006 00:09 90.112 dpl100.dll
02.06.2006 00:09 593.920 dpuGUI11.dll
02.06.2006 00:09 200.704 dtu100.dll
02.06.2006 00:09 344.064 dpus11.dll
02.06.2006 00:09 57.344 dpv11.dll
02.06.2006 00:09 294.912 dpu10.dll
02.06.2006 00:09 294.912 dpu11.dll
02.06.2006 00:08 700.416 divxdec.ax
02.06.2006 00:07 4.276 divxsm.tlb
02.06.2006 00:07 536.576 DivXsm.exe
02.06.2006 00:07 15.331 dsm_de.qm
02.06.2006 00:07 10.716 dsm_ja.qm
02.06.2006 00:07 15.172 dsm_fr.qm
02.06.2006 00:07 352.401 DivXMedia.ax
02.06.2006 00:07 1.044.480 libdivx.dll
02.06.2006 00:07 200.704 ssldivx.dll
02.06.2006 00:07 245.408 unicows.dll
02.06.2006 00:06 778.240 divx_xx07.dll
02.06.2006 00:06 778.240 divx_xx0c.dll
02.06.2006 00:06 761.856 divx_xx11.dll
02.06.2006 00:06 619.156 DivX.dll
02.06.2006 00:06 12.288 DivXWMPExtType.dll
02.06.2006 00:06 118.784 DivXCodecUpdateChecker.exe
02.06.2006 00:06 8.523 dpude.qm
02.06.2006 00:06 3.136 dtu_de.qm
18.05.2006 00:19 92.680 FNTCACHE.DAT
04.05.2006 17:35 65.536 QuickTimeVR.qtx
04.05.2006 17:35 49.152 QuickTime.qts
03.05.2006 21:26 5.818.784 MRT.exe
27.04.2006 17:49 288.417 SrchSTS.exe



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0089-F95F

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

30.07.2006 14:37 206 jusched.log
1 Datei(en) 206 Bytes
0 Verzeichnis(se), 30.240.624.640 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0089-F95F

Verzeichnis von C:\WINDOWS

30.07.2006 14:28 60 setupact.log
30.07.2006 14:28 0 setuperr.log
30.07.2006 14:27 0 0.log
30.07.2006 14:27 2.048 bootstat.dat
30.07.2006 08:20 3.615 WindowsUpdate.log
29.07.2006 16:07 487 win.ini
29.07.2006 16:07 827 system.ini
20.07.2006 18:43 5.695 mozver.dat
20.07.2006 07:36 54.156 QTFont.qfn
24.06.2006 14:06 1.409 QTFont.for
30.04.2006 20:45 249.856 Setup1.exe
30.04.2006 20:45 73.216 ST6UNST.EXE
20.04.2006 11:50 316.640 WMSysPr9.prx



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0089-F95F

Verzeichnis von C:\

30.07.2006 14:41 0 sys.txt
30.07.2006 14:40 3.799 system.txt
30.07.2006 14:40 295 systemtemp.txt
30.07.2006 14:39 100.558 system32.txt
30.07.2006 14:28 8.294 ComboFix.txt
30.07.2006 14:26 3.221.225.472 pagefile.sys
29.07.2006 16:07 211 boot.ini




Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 18:52 697 DirectAnimation Java Classes.osd
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
27.01.2004 19:14 2.299 mp43dmo.inf
18.11.1999 14:48 995 mpeg4ax.inf
11.08.2004 02:22 3.024 wma9dmo.inf
11.08.2004 03:22 2.399 wmsp9dmo.inf
11.08.2004 03:22 3.036 wmv9dmo.inf
7 Datei(en) 13.612 Bytes

Anzahl der angezeigten Dateien:
7 Datei(en) 13.612 Bytes
0 Verzeichnis(se), 30.241.165.312 Bytes frei

übrigens: kann sein, dass die logfiles von datfind doppelt sind. ich habe alle schritte abgearbeitet und sicherheitshalber alles gepostet, was da aufgezeigt wurde (immer die letzten 3 monate). nicht dass ich etwas wichtiges nicht reinposte.

MFG

#4 bigbaba

der Rechner ist sauber.
deaktiviere die Systemwiederherstellung, dann wieder aktivieren.
und alles Gute


noch mal die registry ueberpruefen ,)
http://virus-protect.org/artikel/spyware/intcodec_remove.html

Zitat

O3 - Toolbar: Protection Bar - {d1ac752e-883f-4ed8-8828-b618c3a72152} - C:\Programme\IntCodec\iesplugin.dll (file missing)

__________
MfG Sabina

rund um die PC-Sicherheit

#5 vielen herzlichen dank, liebe sabina.

ich habe das vorher mit avast antivirus und adware SE personal probiert aber es hat nichts gebracht. erst deine anleitung hat das problem besetigt.

schönen tag noch und weiter so!

MFG