intcodec gelöscht?

#1 Hi,

auch ich habe mir klugerweise Intcodec runtergeladen und hoffe in nun durch folgende Schritte enfernt zu haben

- hijackthis laufen lassen
- logfile überprüfen lassen
- im abgesicherten Modus (geht ssonst nicht) die bösen Dateien und alle, in denen was mit "intcodec" vorkommt, gelöscht
- reg cleaner durchlaufen lassen
- dann manuell die noch vorhandenen Dateien aus dieser Auflistung aus der Registry gelöscht:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5753791b-f607-48ca-814e-91c14d081f9e}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\IntCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5753791b-f607-48ca-814e-91c14d081f9e}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D1AC752E-883F-4ED8-8828-B618C3A72152}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar\{d1ac752e-883f-4ed8-8828-b618c3a72152}

Ich hoffe, jetzt ist alles gut und würde mich sehr freuen, wenn mal ein Fachmann mein neues Logfile begutachten könnte.
Wenn das nämlich ok ist, kann man den guten Intcodec so auf doch recht einfache und weiterzuempfehlende Weise loswerden. Hier also das Logfile:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
C:\Programme\AMD\Cool'n'Quiet\gemback.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\A4Tech\Mouse\Amoumain.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\rundll32.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\PROGRA~1\WINZIP\winzip32.exe
E:\Programme\Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wz4295\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] e:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCB8907C-96D1-41AF-A92E-D2F74B1E334F}: NameServer = 195.50.140.250 195.50.140.114
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

#2 Jott

wenn nun intcodec unter Programme auch geloescht ist, muesst alles wieder o.k. sein
http://virus-protect.org/artikel/spyware/intcodec_remove.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi

erstmal vielen Dank für die sehr schnelle Antwort!; anbei kommt mein logfile von datfind. Und noch zwei kleine Fragen: kann das sein, dass man datfind unbedingt auf c: installieren muss? Ich habs jedenfalls nur so hingekriegt. Und: ist das normal, dass in den logfiles noch uralte Einträge auftauchen, obwohl ich das System vor weniger als 3 Monaten neu aufgesetzt hab?

Gruß
Jott


Verzeichnis von C:\WINNT\system32

07.08.2006 21:44 31.832 vsconfig.xml
07.08.2006 21:43 63.338 nvapps.xml
07.08.2006 20:11 15.448 PowerNow.log
06.08.2006 21:47 16.384 Perflib_Perfdata_344.dat
26.07.2006 20:52 98.304 CmdLineExt.dll
20.07.2006 19:30 6.961 jupdate-1.5.0_07-b03.log
19.07.2006 20:17 176.167 rmoc3260.dll
19.07.2006 20:17 5.632 pndx5032.dll
19.07.2006 20:17 6.656 pndx5016.dll
19.07.2006 20:17 278.528 pncrt.dll
17.07.2006 17:19 579.090 x264vfw.dll
12.07.2006 21:31 664 d3d9caps.dat
09.07.2006 19:53 57.384 avsda.dll
09.07.2006 19:45 4.212 zllictbl.dat
07.07.2006 20:45 2.170 spupdsvc.log
07.07.2006 20:45 330 spupdw2k.log
07.07.2006 20:45 76.760 FNTCACHE.DAT
07.07.2006 20:33 16.832 amcompat.tlb
07.07.2006 20:33 23.392 nscompat.tlb
07.07.2006 17:45 303.354 PerfStringBackup_001.INI
07.07.2006 17:45 303.354 PerfStringBackup.INI
07.07.2006 17:45 301 $winnt$.inf
07.07.2006 16:54 2.951 CONFIG.NT
07.07.2006 16:53 289.156 perfh007.dat
07.07.2006 16:53 38.036 perfc009.dat
07.07.2006 16:53 300.378 perfh009.dat
07.07.2006 16:53 46.232 perfc007.dat
07.07.2006 16:53 21.817 folder.htt
07.07.2006 16:53 271 desktop.ini
07.07.2006 16:53 525 mapisvc.inf
07.07.2006 16:53 15.076 emptyregdb.dat
05.07.2006 20:02 5.120 ff_vfw.dll
27.06.2006 03:32 620.180 divx.dll
01.06.2006 19:09 208.896 NVUNINST.EXE

Verzeichnis von C:\WINNT

07.08.2006 21:43 1.762.165 WindowsUpdate.log
07.08.2006 21:41 32.148 SchedLgU.Txt
07.08.2006 21:41 641.616 ShellIconCache
07.08.2006 20:24 30.196 ntbtlog.txt
03.08.2006 18:19 444.829 DirectX.log
03.08.2006 18:18 479.599 setupapi.log
28.07.2006 16:54 144 msicpl.ini
25.07.2006 15:39 79 savers.ini
25.07.2006 15:38 1.671.062 computer art.scr
20.07.2006 19:00 0 OpPrintServer.INI
19.07.2006 20:21 25 cdplayer.ini
18.07.2006 20:46 23 BlendSettings.ini
18.07.2006 20:32 21.637 wmsetup.log
18.07.2006 20:32 316.640 WMSysPr9.prx
15.07.2006 22:06 248 wininit.ini
12.07.2006 21:49 2.376 OEWABLog.txt
12.07.2006 20:49 280 Windows Update.log
10.07.2006 19:26 107.132 UninstallThunderbird.exe
10.07.2006 19:26 7.905 mozver.dat
10.07.2006 19:26 320 win.ini
10.07.2006 18:49 22.282.176 Registry10.07.2006.reg
08.07.2006 18:59 0 nsreg.dat
08.07.2006 18:44 8.192 REGLOCS.OLD
07.07.2006 20:43 205.913 svcpack.log


Verzeichnis von C:\

07.08.2006 22:30 0 sys.txt
07.08.2006 22:28 4.886 system.txt
07.08.2006 22:26 5.957 systemtemp.txt
07.08.2006 22:22 92.278 system32.txt
07.08.2006 21:42 1.610.612.736 pagefile.sys
07.07.2006 20:40 216.096 ntldr
07.07.2006 20:40 34.724 NTDETECT.COM
07.07.2006 17:51 192 boot.ini
07.07.2006 16:54 0 IO.SYS
07.07.2006 16:54 0 CONFIG.SYS
07.07.2006 16:54 0 MSDOS.SYS
07.07.2006 16:54 0 AUTOEXEC.BAT

#4 es ist alles in ordnung

auch wenn du formatierst, bleiben Eintrage von Windows erhalten.
man kann datfindbat auch auf anderen Partitionen entpacken
__________
MfG Sabina

rund um die PC-Sicherheit

#5

Zitat

Sabina postete

man kann datfindbat auch auf anderen Partitionen entpacken

Hmh, als ichs auf e: (gleiche Platte) hatte, kam nach dem Tastendruck im Editor nur "Verzeichnis von E:/" und dann nix mehr, hab ich die zipdatei von d: (andere Platte) direkt ausgeführt, das Entsprechende mit D. Naja, wie dem auch sei, vielen Dank nochmal - alles wieder gut mit mein Rechner ;-))

Nacht