SpyQuake removeThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
09.08.2006, 15:32
Ehrenmitglied
Beiträge: 29434 |
||
|
||
09.08.2006, 15:33
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
Zebo
poste bitte dieses Log http://virus-protect.org/artikel/tools/combofix.html stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.08.2006, 16:07
...neu hier
Beiträge: 5 |
#3
ja super, danke für die schnelle hilfe. Gruß, Zebo und hier die gewünschten Daten
Start Time= 09.08.2006 15:48:39,31 Running from: C:\Dokumente und Einstellungen\Holger Drees\Desktop QuickScan did not find any signs of infected files (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-08-09 15:03:02 ( .D... ) "C:\Programme\hijack" 2006-08-04 10:59:18 ( .D... ) "C:\Programme\Gemeinsame Dateien\Application" 2006-08-04 10:58:46 ( .D... ) "C:\Programme\SPYWAREfighter" 2006-08-04 10:17:12 ( .D... ) "C:\Programme\CleanUp!" 2006-08-01 00:34:48 ( .D... ) "C:\Dokumente und Einstellungen\Holger Drees\Anwendungsdaten\Lavasoft" 2006-08-01 00:34:40 ( .D... ) "C:\Programme\Lavasoft" 2006-08-01 00:33:12 ( .D... ) "C:\Programme\Adaware" 2006-07-31 23:42:34 ( .D... ) "C:\Programme\IntCodec" 2006-07-23 15:39:06 ( .D... ) "C:\Programme\MATLAB7" 2003-06-20 11:36:32 21 ( A.... ) "C:\Programme\AVPersonalAVWIN.INI" (((((((((((((((((((((((((((((((((((((( Files Created - Last 30days ))))))))))))))))))))))))))))))))))))))))))) (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" "DadApp"="C:\\WINDOWS\\SYSTEM32\\Drivers\\dadapp.exe" "Apoint"="C:\\Programme\\Apoint\\Apoint.exe" "Microsoft Works Portfolio"="C:\\Programme\\Microsoft Works\\WksSb.exe /AllUsers" "Microsoft Works Update Detection"="C:\\Programme\\Microsoft Works\\WkDetect.exe" "EM_EXEC"="C:\\PROGRA~1\\Logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "AVWUpd32"="\"C:\\PROGRA~1\\AVWin\\Avwupd32.EXE\" /min" "NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "InCD"="C:\\Programme\\Ahead\\InCD\\InCD.exe" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "WinampAgent"="C:\\Programme\\Winamp\\winampa.exe" "AVGCtrl"="\"C:\\Programme\\AVWin\\AVGNT.EXE\" /min" "spywarefighterguard"="C:\\Programme\\SPYWAREfighter\\spfprc.exe" @="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "homepage.monitor.exe"="C:\\Programme\\IntCodec\\isamonitor.exe" "pmsngr.exe"="C:\\Programme\\IntCodec\\pmsngr.exe" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "CDRAutoRun"=dword:00000000 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "CDRAutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "bestreak"="{874443fe-aa33-4ebf-a6ac-73208787e62d}" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system Contents of the 'Scheduled Tasks' folder Completion time: 09.08.2006 15:48:48,87 ComboFix ver 06.07.15/29 - This logfile is located at C:\ComboFix.txt system32.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6897-8BFD Verzeichnis von C:\WINDOWS\SYSTEM32 07.08.2006 19:01 311.938 PERFH009.DAT 07.08.2006 19:01 40.326 PERFC009.DAT 07.08.2006 19:01 317.168 PERFH007.DAT 07.08.2006 19:01 48.552 PERFC007.DAT 07.08.2006 19:01 723.568 PerfStringBackup.INI 03.08.2006 12:10 1.148 WPA.DBL 16.05.2006 22:23 28.672 vxblock.dll 16.05.2006 22:23 339.968 pxwave.dll 16.05.2006 22:23 56.832 pxinsa64.exe 16.05.2006 22:23 61.440 pxhpinst.exe 16.05.2006 22:23 176.128 pxmas.dll 16.05.2006 22:23 430.080 px.dll 16.05.2006 22:23 1.257.472 pxsfs.dll 16.05.2006 22:23 450.560 pxdrv.dll 16.05.2006 22:23 57.344 pxcpya64.exe systemtemp.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6897-8BFD Verzeichnis von C:\DOKUME~1\HOLGER~1\LOKALE~1\Temp 09.08.2006 15:57 16.384 Perflib_Perfdata_288.dat 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 17.287.593.984 Bytes frei system.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6897-8BFD Verzeichnis von C:\WINDOWS 09.08.2006 15:57 50 WIASERVC.LOG 09.08.2006 15:57 159 WIADEBUG.LOG 09.08.2006 15:57 54.156 QTFont.qfn 09.08.2006 15:57 0 0.LOG 09.08.2006 15:56 2.048 BOOTSTAT.DAT 09.08.2006 15:48 194.914 SETUPACT.LOG 09.08.2006 14:32 156 matlab.ini 08.08.2006 14:40 34.334 mozver.dat 07.08.2006 18:28 32.622 SchedLgU.Txt 04.08.2006 10:59 1.409 QTFont.for 04.08.2006 10:56 186.469 IIS6.LOG 04.08.2006 10:56 36.900 COMSETUP.LOG 04.08.2006 10:56 23.093 ntdtcsetup.log 04.08.2006 10:56 50.321 TSOC.LOG 04.08.2006 10:56 1.355 imsins.log 04.08.2006 10:56 8.966 KB893803v2.log 04.08.2006 10:56 61.224 OCGEN.LOG 04.08.2006 10:56 5.151 OCMSN.LOG 04.08.2006 10:56 4.678 MSGSOCM.LOG 04.08.2006 10:56 72.514 FaxSetup.log 04.08.2006 10:56 39.308 MSMQINST.LOG 04.08.2006 10:55 6.197 setupapi.log 03.08.2006 16:13 1.618.601 setupapi.log.0.old 01.08.2006 00:00 1.891 imsins.BAK 01.05.2006 13:56 2.396 ModemLog_Actiontec MD56ORD V92 MDC Modem.txt sys.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6897-8BFD Verzeichnis von C:\ 09.08.2006 16:04 0 sys.txt 09.08.2006 16:04 6.528 system.txt 09.08.2006 16:03 308 systemtemp.txt 09.08.2006 16:03 98.440 system32.txt 09.08.2006 15:56 536.342.528 hiberfil.sys 09.08.2006 15:56 3.145.728.000 pagefile.sys 09.08.2006 15:48 5.378 ComboFix.txt 04.08.2006 10:40 749 DirDPF.txt 04.08.2006 10:40 2 DirDPFCns.txt 04.08.2006 10:38 1.272 c.txt 04.08.2006 10:37 6.420 windows.txt 04.08.2006 10:37 308 temp.txt 21.05.2006 18:16 0 _NIM4711.TMP 21.10.2003 15:28 97 WZT1 06.11.2002 16:52 193 BOOT.INI 26.09.2002 18:16 17.191 N2pInst.log 31.05.2002 15:07 0 N2PActiveX.log 22.05.2002 11:07 2.562 DELL.SDR 04.09.2001 10:23 0 CONFIG.SYS 04.09.2001 10:23 0 MSDOS.SYS 04.09.2001 10:23 0 IO.SYS 04.09.2001 10:23 0 AUTOEXEC.BAT 04.09.2001 10:06 512 BOOTSECT.DOS 18.08.2001 08:00 4.952 BOOTFONT.BIN 18.08.2001 08:00 224.032 NTLDR 18.08.2001 08:00 45.124 NTDETECT.COM 26 Datei(en) 3.682.484.596 Bytes 0 Verzeichnis(se), 17.287.593.984 Bytes frei |
|
|
||
10.08.2006, 11:01
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#4
Zebo
wir werden das abarbeiten: http://virus-protect.org/artikel/spyware/intcodec_remove.html 1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\2. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) IntCodec in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.08.2006, 18:13
...neu hier
Beiträge: 5 |
#5
Hallo Sabina, hoffe habe alles richtig ausgeführt?
Zu 1. hier ist der kopierte Text von listen.bat (da ich nicht wusste ob du diesen Text auch willst oder nicht) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6897-8BFD Verzeichnis von C:\Windows\System32\Com 22.05.2002 10:58 <DIR> . 22.05.2002 10:58 <DIR> .. 18.08.2001 08:00 186.880 COMADMIN.DLL 18.08.2001 08:00 61.440 COMEMPTY.DAT 18.08.2001 08:00 77.348 COMEXP.MSC 18.08.2001 08:00 8.192 COMREPL.EXE 18.08.2001 08:00 5.120 COMREREG.EXE 18.08.2001 08:00 19.456 MTSADMIN.TLB 6 Datei(en) 358.436 Bytes 2 Verzeichnis(se), 17.190.170.624 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6897-8BFD Verzeichnis von C:\WINDOWS\system32 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6897-8BFD Verzeichnis von C:\WINDOWS\Downloaded Program Files 23.05.2002 10:40 897 iuctl.inf 20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd 14.03.2005 13:39 227 MsnMessengerSetupDownloader.inf 17.03.2005 14:48 113.152 MsnMessengerSetupDownloader.ocx 25.02.2002 13:16 226 opuc.inf 08.12.2003 13:58 3.759 swflash.inf 30.06.2003 22:41 1.689 WMV9VCM.inf 7 Datei(en) 121.112 Bytes 0 Verzeichnis(se), 17.190.166.528 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6897-8BFD Verzeichnis von C:\Programme\IntCodec 10.08.2006 17:52 <DIR> . 10.08.2006 17:52 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 17.190.166.528 Bytes frei ------------------------ Zu 2. Hier der entsprechende Text aus dem geöffneten Editor: REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 10.08.2006 18:08:50 for strings: ; 'intcodec' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www] [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com] [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www] [HKEY_USERS\S-1-5-19\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com] [HKEY_USERS\S-1-5-19\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www] [HKEY_USERS\S-1-5-19_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com] [HKEY_USERS\S-1-5-19_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www] [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com] [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www] [HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com] [HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www] [HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com] [HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www] [HKEY_USERS\S-1-5-21-2387590086-1698683601-3399203189-1005\Software\Internet Security] "Path"="C:\\Programme\\IntCodec" [HKEY_USERS\S-1-5-21-2387590086-1698683601-3399203189-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com] [HKEY_USERS\S-1-5-21-2387590086-1698683601-3399203189-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www] [HKEY_USERS\S-1-5-21-2387590086-1698683601-3399203189-1005\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com] [HKEY_USERS\S-1-5-21-2387590086-1698683601-3399203189-1005\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www] [HKEY_USERS\S-1-5-21-2387590086-1698683601-3399203189-1005_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com] [HKEY_USERS\S-1-5-21-2387590086-1698683601-3399203189-1005_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www] [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com] [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intcodec.com\www] ; End Of The Log... Gruß, Zebo |
|
|
||
10.08.2006, 22:08
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#6
zebo
falls du die zip schon geladen hattest - lade sie nochmal, denn ich habe sie ergaenzt . 1. spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 2. PC neustarten 3. gehe in die Registry start -Ausfuehren - regedit bearbeiten - suchen - intcodec loesche alles, was du noch findest. 4. PC neustarten 5. Loesche: C:\Programme\IntCodec __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.08.2006, 22:56
...neu hier
Beiträge: 5 |
#7
Hallo Sabina,
vielen Dank nochmal für deine Hilfe!!! Nun muss ich aber doch nochmal nachfragen: Ist nun der Laptop Viren-/Trojaner/Spyware- frei? Grüße, Nebo |
|
|
||
10.08.2006, 23:04
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#8
~im Grunde ja, ausser vielleicht einige Cookies, die noch vorhanden ist, aber um sicherzugehen, mache einen Onlinescan mit panda und einen mit ewido und poste die scanreporte
http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.08.2006, 10:58
...neu hier
Beiträge: 5 |
#9
Hi Sabina,
leider kann ich keinen Onlinescan mit panda durchführen, da ich es nicht starten und auch nirgends was finde, wo ich meine Emaiadr. u.s. eingeben kann. Hier nun der Scanreport von ewido: Name: TrackingCookie.Tradedoubler Path: :mozilla.113:C:\Dokumente und Einstellungen\Holger Drees\Anwendungsdaten\Mozilla\Firefox\Profiles\7csz8gy7.default\cookies.txt Risk: Medium Name: Not-A-Virus.Hoax.Win32.Renos.dy Path: C:\System Volume Information\_restore{B46896F4-4907-4C10-829D-B6CFD7FB09E1}\RP440\A0057296.exe Risk: Low edit (Sabina) Gruß Zebo |
|
|
||
11.08.2006, 11:46
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#10
zebo
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann wieder aktivieren und sich freuen, denn es ist alles wieder in Ordnung __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.08.2006, 12:07
...neu hier
Beiträge: 5 |
#11
Supi, vielen lieben Dank für deine Hilfe!!!
Ich kann dieses Forum und deine Hilfestellungen zur Virenbekämpfung nur weiterempfehlen ;-) Viele Grüße, Nebo |
|
|
||
Zitat
__________
MfG Sabina
rund um die PC-Sicherheit