SpyQuake remove

Thema ist geschlossen!
Thema ist geschlossen!
#0
09.08.2006, 15:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#1

Zitat

ich bin neu hier und absolut Laie was Foren anbelangt. Ich weiss nicht wie ich ins Forum posten kann :-( Deswegen schreibe ich dir hier über die Private Message.

Könntest du mir bitte helfen, wie ich ins Forum bezgl. "Spyware, Hijack,..." komme, da ich auch seit ein paar Tagen den Virus SpyQuake habe.

Vorab schon den Hijack log

Logfile of HijackThis v1.99.1
Scan saved at 15:06:10, on 09.08.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SYSTEM32\Drivers\dadapp.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVWin\AVGNT.EXE
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\PROGRAMME\AVWIN\AVGUARD.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PGPsdkServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Network Associates\PGP for Windows 2000\PGPservice.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\GEMEIN~1\Logitech\WebColct\WebColct.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/de/deu/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/de/deu/gen/default.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.2:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DadApp] C:\WINDOWS\SYSTEM32\Drivers\dadapp.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVWin\AVGNT.EXE" /min
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spfprc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF155EB7-7F17-4CAE-8DDA-107F29A8DD7D}: NameServer = 134.96.31.33,134.96.100.105
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVWIN\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVWin\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PGPsdkService (PGPsdkServ) - Network Associates Technology, Inc. - C:\WINDOWS\System32\PGPsdkServ.exe
O23 - Service: PGPService - Networks Associates Technology, Inc. - C:\Programme\Network Associates\PGP for Windows 2000\PGPservice.exe



Vielen Dank schon im Voraus für deine Hilfe,
Grüße, Zebo

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.08.2006, 15:33
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#2 Zebo

poste bitte dieses Log
http://virus-protect.org/artikel/tools/combofix.html

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.08.2006, 16:07
...neu hier

Beiträge: 5
#3 ja super, danke für die schnelle hilfe. Gruß, Zebo und hier die gewünschten Daten

Start Time= 09.08.2006 15:48:39,31
Running from: C:\Dokumente und Einstellungen\Holger Drees\Desktop

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-09 15:03:02 ( .D... ) "C:\Programme\hijack"
2006-08-04 10:59:18 ( .D... ) "C:\Programme\Gemeinsame Dateien\Application"
2006-08-04 10:58:46 ( .D... ) "C:\Programme\SPYWAREfighter"
2006-08-04 10:17:12 ( .D... ) "C:\Programme\CleanUp!"
2006-08-01 00:34:48 ( .D... ) "C:\Dokumente und Einstellungen\Holger Drees\Anwendungsdaten\Lavasoft"
2006-08-01 00:34:40 ( .D... ) "C:\Programme\Lavasoft"
2006-08-01 00:33:12 ( .D... ) "C:\Programme\Adaware"
2006-07-31 23:42:34 ( .D... ) "C:\Programme\IntCodec"
2006-07-23 15:39:06 ( .D... ) "C:\Programme\MATLAB7"
2003-06-20 11:36:32 21 ( A.... ) "C:\Programme\AVPersonalAVWIN.INI"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))




(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"DadApp"="C:\\WINDOWS\\SYSTEM32\\Drivers\\dadapp.exe"
"Apoint"="C:\\Programme\\Apoint\\Apoint.exe"
"Microsoft Works Portfolio"="C:\\Programme\\Microsoft Works\\WksSb.exe /AllUsers"
"Microsoft Works Update Detection"="C:\\Programme\\Microsoft Works\\WkDetect.exe"
"EM_EXEC"="C:\\PROGRA~1\\Logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"AVWUpd32"="\"C:\\PROGRA~1\\AVWin\\Avwupd32.EXE\" /min"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"InCD"="C:\\Programme\\Ahead\\InCD\\InCD.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"AVGCtrl"="\"C:\\Programme\\AVWin\\AVGNT.EXE\" /min"
"spywarefighterguard"="C:\\Programme\\SPYWAREfighter\\spfprc.exe"
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"homepage.monitor.exe"="C:\\Programme\\IntCodec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\IntCodec\\pmsngr.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"bestreak"="{874443fe-aa33-4ebf-a6ac-73208787e62d}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system



Contents of the 'Scheduled Tasks' folder

Completion time: 09.08.2006 15:48:48,87
ComboFix ver 06.07.15/29 - This logfile is located at C:\ComboFix.txt


system32.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6897-8BFD

Verzeichnis von C:\WINDOWS\SYSTEM32

07.08.2006 19:01 311.938 PERFH009.DAT
07.08.2006 19:01 40.326 PERFC009.DAT
07.08.2006 19:01 317.168 PERFH007.DAT
07.08.2006 19:01 48.552 PERFC007.DAT
07.08.2006 19:01 723.568 PerfStringBackup.INI
03.08.2006 12:10 1.148 WPA.DBL
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 57.344 pxcpya64.exe


systemtemp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6897-8BFD

Verzeichnis von C:\DOKUME~1\HOLGER~1\LOKALE~1\Temp

09.08.2006 15:57 16.384 Perflib_Perfdata_288.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 17.287.593.984 Bytes frei

system.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6897-8BFD

Verzeichnis von C:\WINDOWS

09.08.2006 15:57 50 WIASERVC.LOG
09.08.2006 15:57 159 WIADEBUG.LOG
09.08.2006 15:57 54.156 QTFont.qfn
09.08.2006 15:57 0 0.LOG
09.08.2006 15:56 2.048 BOOTSTAT.DAT
09.08.2006 15:48 194.914 SETUPACT.LOG
09.08.2006 14:32 156 matlab.ini
08.08.2006 14:40 34.334 mozver.dat
07.08.2006 18:28 32.622 SchedLgU.Txt
04.08.2006 10:59 1.409 QTFont.for
04.08.2006 10:56 186.469 IIS6.LOG
04.08.2006 10:56 36.900 COMSETUP.LOG
04.08.2006 10:56 23.093 ntdtcsetup.log
04.08.2006 10:56 50.321 TSOC.LOG
04.08.2006 10:56 1.355 imsins.log
04.08.2006 10:56 8.966 KB893803v2.log
04.08.2006 10:56 61.224 OCGEN.LOG
04.08.2006 10:56 5.151 OCMSN.LOG
04.08.2006 10:56 4.678 MSGSOCM.LOG
04.08.2006 10:56 72.514 FaxSetup.log
04.08.2006 10:56 39.308 MSMQINST.LOG
04.08.2006 10:55 6.197 setupapi.log
03.08.2006 16:13 1.618.601 setupapi.log.0.old
01.08.2006 00:00 1.891 imsins.BAK
01.05.2006 13:56 2.396 ModemLog_Actiontec MD56ORD V92 MDC Modem.txt

sys.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6897-8BFD

Verzeichnis von C:\

09.08.2006 16:04 0 sys.txt
09.08.2006 16:04 6.528 system.txt
09.08.2006 16:03 308 systemtemp.txt
09.08.2006 16:03 98.440 system32.txt
09.08.2006 15:56 536.342.528 hiberfil.sys
09.08.2006 15:56 3.145.728.000 pagefile.sys
09.08.2006 15:48 5.378 ComboFix.txt
04.08.2006 10:40 749 DirDPF.txt
04.08.2006 10:40 2 DirDPFCns.txt
04.08.2006 10:38 1.272 c.txt
04.08.2006 10:37 6.420 windows.txt
04.08.2006 10:37 308 temp.txt
21.05.2006 18:16 0 _NIM4711.TMP
21.10.2003 15:28 97 WZT1
06.11.2002 16:52 193 BOOT.INI
26.09.2002 18:16 17.191 N2pInst.log
31.05.2002 15:07 0 N2PActiveX.log
22.05.2002 11:07 2.562 DELL.SDR
04.09.2001 10:23 0 CONFIG.SYS
04.09.2001 10:23 0 MSDOS.SYS
04.09.2001 10:23 0 IO.SYS
04.09.2001 10:23 0 AUTOEXEC.BAT
04.09.2001 10:06 512 BOOTSECT.DOS
18.08.2001 08:00 4.952 BOOTFONT.BIN
18.08.2001 08:00 224.032 NTLDR
18.08.2001 08:00 45.124 NTDETECT.COM
26 Datei(en) 3.682.484.596 Bytes
0 Verzeichnis(se), 17.287.593.984 Bytes frei
Seitenanfang Seitenende
10.08.2006, 11:01
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#4 Zebo

wir werden das abarbeiten:
http://virus-protect.org/artikel/spyware/intcodec_remove.html


1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\IntCodec" >>files.txt
notepad files.txt
2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

IntCodec

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.08.2006, 18:13
...neu hier

Beiträge: 5
#5 Hallo Sabina, hoffe habe alles richtig ausgeführt?

Zu 1.
hier ist der kopierte Text von listen.bat (da ich nicht wusste ob du diesen Text auch willst oder nicht)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6897-8BFD

Verzeichnis von C:\Windows\System32\Com

22.05.2002 10:58 <DIR> .
22.05.2002 10:58 <DIR> ..
18.08.2001 08:00 186.880 COMADMIN.DLL
18.08.2001 08:00 61.440 COMEMPTY.DAT
18.08.2001 08:00 77.348 COMEXP.MSC
18.08.2001 08:00 8.192 COMREPL.EXE
18.08.2001 08:00 5.120 COMREREG.EXE
18.08.2001 08:00 19.456 MTSADMIN.TLB
6 Datei(en) 358.436 Bytes
2 Verzeichnis(se), 17.190.170.624 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6897-8BFD

Verzeichnis von C:\WINDOWS\system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6897-8BFD

Verzeichnis von C:\WINDOWS\Downloaded Program Files

23.05.2002 10:40 897 iuctl.inf
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
14.03.2005 13:39 227 MsnMessengerSetupDownloader.inf
17.03.2005 14:48 113.152 MsnMessengerSetupDownloader.ocx
25.02.2002 13:16 226 opuc.inf
08.12.2003 13:58 3.759 swflash.inf
30.06.2003 22:41 1.689 WMV9VCM.inf
7 Datei(en) 121.112 Bytes
0 Verzeichnis(se), 17.190.166.528 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6897-8BFD

Verzeichnis von C:\Programme\IntCodec

10.08.2006 17:52 <DIR> .
10.08.2006 17:52 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 17.190.166.528 Bytes frei


------------------------

Zu 2.
Hier der entsprechende Text aus dem geöffneten Editor:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 10.08.2006 18:08:50 for strings:
; 'intcodec'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www]

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com]

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www]

[HKEY_USERS\S-1-5-19\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com]

[HKEY_USERS\S-1-5-19\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www]

[HKEY_USERS\S-1-5-19_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com]

[HKEY_USERS\S-1-5-19_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www]

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com]

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www]

[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com]

[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www]

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com]

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www]

[HKEY_USERS\S-1-5-21-2387590086-1698683601-3399203189-1005\Software\Internet Security]
"Path"="C:\\Programme\\IntCodec"

[HKEY_USERS\S-1-5-21-2387590086-1698683601-3399203189-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com]

[HKEY_USERS\S-1-5-21-2387590086-1698683601-3399203189-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www]

[HKEY_USERS\S-1-5-21-2387590086-1698683601-3399203189-1005\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com]

[HKEY_USERS\S-1-5-21-2387590086-1698683601-3399203189-1005\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www]

[HKEY_USERS\S-1-5-21-2387590086-1698683601-3399203189-1005_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com]

[HKEY_USERS\S-1-5-21-2387590086-1698683601-3399203189-1005_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www]

; End Of The Log...


Gruß, Zebo
Seitenanfang Seitenende
10.08.2006, 22:08
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#6 zebo

falls du die zip schon geladen hattest - lade sie nochmal, denn ich habe sie ergaenzt .
1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
PC neustarten

3.
gehe in die Registry start -Ausfuehren - regedit
bearbeiten - suchen - intcodec

loesche alles, was du noch findest.

4.
PC neustarten

5.
Loesche:
C:\Programme\IntCodec
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.08.2006, 22:56
...neu hier

Beiträge: 5
#7 Hallo Sabina,

vielen Dank nochmal für deine Hilfe!!!

Nun muss ich aber doch nochmal nachfragen:
Ist nun der Laptop Viren-/Trojaner/Spyware- frei?

Grüße, Nebo
Seitenanfang Seitenende
10.08.2006, 23:04
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#8 ~im Grunde ja, ausser vielleicht einige Cookies, die noch vorhanden ist, aber um sicherzugehen, mache einen Onlinescan mit panda und einen mit ewido und poste die scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.08.2006, 10:58
...neu hier

Beiträge: 5
#9 Hi Sabina,

leider kann ich keinen Onlinescan mit panda durchführen, da ich es nicht starten und auch nirgends was finde, wo ich meine Emaiadr. u.s. eingeben kann.

Hier nun der Scanreport von ewido:

Name: TrackingCookie.Tradedoubler
Path: :mozilla.113:C:\Dokumente und Einstellungen\Holger Drees\Anwendungsdaten\Mozilla\Firefox\Profiles\7csz8gy7.default\cookies.txt
Risk: Medium

Name: Not-A-Virus.Hoax.Win32.Renos.dy
Path: C:\System Volume Information\_restore{B46896F4-4907-4C10-829D-B6CFD7FB09E1}\RP440\A0057296.exe
Risk: Low

edit (Sabina)

Gruß Zebo
Seitenanfang Seitenende
11.08.2006, 11:46
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#10 zebo

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann wieder aktivieren

und sich freuen, denn es ist alles wieder in Ordnung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.08.2006, 12:07
...neu hier

Beiträge: 5
#11 Supi, vielen lieben Dank für deine Hilfe!!!

Ich kann dieses Forum und deine Hilfestellungen zur Virenbekämpfung nur weiterempfehlen ;-)

Viele Grüße,
Nebo
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: