Home » Spyware & Browser Hijacker Support Forum » C:\Programme\strCodec » Themenansicht

C:\Programme\strCodec

Thema ist geschlossen!
Thema ist geschlossen!
#0
15.09.2006, 13:33
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#1

Zitat

hilfe bitte nach unzähligen versuchen zu entfernen > zwecklos

hab viel von euch durchgelesen
aber nicht wirklich kappiert

hoffe ihr könnt helfen

mfg heino


Logfile of HijackThis v1.99.1
Scan saved at 14:24:53, on 14.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\strCodec\isamonitor.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\strCodec\isamini.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\strCodec\pmsngr.exe
C:\Programme\strCodec\pmmon.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\audio\Desktop\vir burst weg\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web--search.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\strCodec\isaddon.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Programme\strCodec\iesplugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [D3miM] C:\WINDOWS\txybmesv.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\RunOnce: [AAW] "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {3F7445F6-9873-4DDC-AE44-4FEAAF803E9C} (ReadDongle Class) - http://update.stardraw.com/Components/StardrawReadDongle.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14d782aaaaa1f3344506/netzip/RdxIE601_de.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all08.kundenserver.de/app/static/activex/msxml4.cab
O16 - DPF: {D02C0025-6F93-4482-B5DB-0164F281A107} (Stardraw Download Class) - http://download.stardraw.com/Components/StardrawLiveUpdate.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{015AB9B0-95E4-4751-95F1-C06A67F53673}: NameServer = 217.237.151.97,217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{015AB9B0-95E4-4751-95F1-C06A67F53673}: NameServer = 217.237.151.97,217.237.150.33
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINDOWS\system32\syycum.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2006, 13:36
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#2 heino

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\strCodec" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt
2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" ( reinkopieren)

strCodec
{6076d2b1-634c-4685-843b-f826045ea5dc}


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

3.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

4.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2006, 20:14
Heinoge
...neu hier

Beiträge: 2
#3 Ist ganz schön viel ,das hat er aus gespuckt
ich kann damit nicht viel anfangen
bin aber gespannt was al nextes passiert.
und vielen dank für die bisherige hilfe.

mfg heino

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{6076d2b1-634c-4685-843b-f826045ea5dc}" 15.09.2006 20:07:42

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6076d2b1-634c-4685-843b-f826045ea5dc}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6076d2b1-634c-4685-843b-f826045ea5dc}\InProcServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{6076d2b1-634c-4685-843b-f826045ea5dc}"="hemadynamometer"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"hemadynamometer"="{6076d2b1-634c-4685-843b-f826045ea5dc}"

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\

15.09.2006 20:33 0 sys.txt
15.09.2006 20:32 12.971 system.txt
15.09.2006 20:31 122.880 systemtemp.txt
15.09.2006 20:29 102.086 system32.txt
15.09.2006 20:24 535.351.296 hiberfil.sys
15.09.2006 20:24 802.160.640 pagefile.sys
14.09.2006 17:09 5.655 files.txt
02.12.2005 21:45 3.050 TDSLCheck.txt
14.12.2004 11:43 211 BOOT.INI
14.12.2004 11:31 47.564 NTDETECT.COM
14.12.2004 11:31 251.184 ntldr
13.12.2004 00:57 1.596 Catalog.LiveSubscribe
21.10.2003 17:40 0 IO.SYS
21.10.2003 17:40 0 MSDOS.SYS
21.10.2003 16:49 512 BOOTSECT.DOS
21.10.2003 16:46 70 PRELOAD.AAA
02.04.2003 12:00 4.952 bootfont.bin
17 Datei(en) 1.338.064.667 Bytes
0 Verzeichnis(se), 4.323.491.840 Bytes frei

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS

15.09.2006 20:31 1.129.391 WindowsUpdate.log
15.09.2006 20:26 792 win.ini
15.09.2006 20:24 4.228 ModemLog_Agere Systems AC'97 Modem.txt
15.09.2006 20:24 0 0.log
15.09.2006 20:24 2.048 bootstat.dat
15.09.2006 20:23 32.618 SchedLgU.Txt
14.09.2006 14:01 101.668 iis6.log
14.09.2006 14:01 543.490 setupapi.log
14.09.2006 14:01 11.351 KB920685.log
14.09.2006 14:01 694.726 FaxSetup.log
14.09.2006 14:01 399.748 ocgen.log
14.09.2006 14:01 1.374 imsins.log
14.09.2006 14:01 237.454 comsetup.log
14.09.2006 14:01 149.725 ntdtcsetup.log
14.09.2006 14:01 38.309 ocmsn.log
14.09.2006 14:01 36.293 msgsocm.log
14.09.2006 14:01 277.565 tsoc.log
14.09.2006 14:01 13.629 KB920872.log
14.09.2006 14:01 1.374 imsins.BAK
14.09.2006 14:00 11.544 KB919007.log
14.09.2006 14:00 7.724 KB922582.log
14.09.2006 13:59 37.480 updspapi.log
14.09.2006 13:32 62.780 wmsetup.log
11.09.2006 23:00 305 nsw.log
07.06.2006 12:15 49 spacer.gif
07.06.2006 12:14 963 spacer.gif'


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\DOKUME~1\audio\LOKALE~1\Temp

15.09.2006 20:25 16.384 Perflib_Perfdata_d28.dat
15.09.2006 20:24 68.983 jusched.log
14.09.2006 14:10 2.468 temp.fr8858
14.09.2006 13:35 11.020 temp.fr1C76
14.09.2006 13:35 51.232 tmp13.tmp
14.09.2006 13:32 717 control.xml
Dieser Beitrag wurde am 15.09.2006 um 20:42 Uhr von Heinoge editiert.
Seitenanfang Seitenende
15.09.2006, 23:33
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#4 ja nun...es war von drei monaten die Rede (von jedem log) die Daten aus dem mittelalter brauche ich nicht ;)

das fehlt auch:

++
das erste log von datfindbat c.\Windows\System32

++
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\strCodec" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2006, 23:44
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#5 **
wende Cleanup an
http://virus-protect.org/cleanup.html

++
poste das log
http://virus-protect.org/artikel/tools/combofix.html

**
gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - hemadynamometer

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

loeschen

"{6076d2b1-634c-4685-843b-f826045ea5dc}"="hemadynamometer"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

loeschen

"hemadynamometer"="{6076d2b1-634c-4685-843b-f826045ea5dc}"

++
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6076d2b1-634c-4685-843b-f826045ea5dc}

Files to delete:
C:\WINDOWS\system32\syycum.dll
C:\Dokumente und Einstellungen\audio\Lokale Einstellungen\Temp\temp.fr8858
C:\Dokumente und Einstellungen\audio\Lokale Einstellungen\Temp\temp.fr1C76
C:\Dokumente und Einstellungen\audio\Lokale Einstellungen\Temp\tmp13.tmp

Folders to delete:
C:\Programme\strCodec
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

**
öffne das HijackThis -- Button "scan" -- vor die -Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\strCodec\isaddon.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Programme\strCodec\iesplugin.dll

O21 - SSODL: hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINDOWS\system32\syycum.dll
**
scanne mit smitfraud fix und poste die scanreporte von option 1 und 2
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.09.2006, 21:41
Heinoge
...neu hier

Beiträge: 2
#6 danke und sorry
für viel wirrwarrrrrrr

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iobnkuxv

*******************

Script file located at: \??\C:\ejsypxcs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\syycum.dll deleted successfully.
File C:\Dokumente und Einstellungen\audio\Lokale Einstellungen\Temp\temp.fr8858 deleted successfully.
File C:\Dokumente und Einstellungen\audio\Lokale Einstellungen\Temp\temp.fr1C76 deleted successfully.
File C:\Dokumente und Einstellungen\audio\Lokale Einstellungen\Temp\tmp13.tmp deleted successfully.
Folder C:\Programme\strCodec deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6076d2b1-634c-4685-843b-f826045ea5dc} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


hab mal alles so gemacht wie gesagt und kann nix mehr finden
was blinkt.
bei den scans alles befolgt und es ist genau so wie du es beschriebst
gelöscht bis jetzt alles prächtig vielen dank

mfg
heinoge
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1