hijack

cyberror · 25.06.2004

ich bin mir sicher welche eintragungen gelöscht werden sollen..

(fehler ist, startseite = res://...
und mit hijackthis diese logs gefixt. aber sie tauchen wieder auf)

der log:

Running Processes:
C:\Programme\Internet Explorer\IEXPLORE.EXE

Logfile gelöscht, durch laufenden IE ungültig

Gerdi_Toni · 25.06.2004

Hi !
Ich entsinne mich noch dunkel das du den IE nicht laufen lassen sollst.
http://www.wintotal.de/Tipps/Eintrag.php?TID=873

C:\Programme\Internet Explorer\IEXPLORE.EXE

Gruß 8)

cyberror · 25.06.2004

ooops

hier:

Logfile of HijackThis v1.97.7
Scan saved at 03:19:29, on 25.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\javatb32.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\system32\winqi.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Marcel\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res:xxC:\WINDOWS\system32\ylxdz.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res:xxylxdz.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res:xxylxdz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res:xxC:\WINDOWS\system32\ylxdz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res:xxylxdz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res:xxC:\WINDOWS\system32\ylxdz.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {65E6A8E0-A67C-0CE3-B885-D53EA9292B40} - C:\WINDOWS\javadk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [hcwPVRReset] C:\PROGRA~1\WinTV\hcwP1Utl.exe -Quiet -ResetHardware -NotifyResetFailure -KeepTrying
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [LaunchList] C:\Programme\Pinnacle\Studio PCTV\LaunchList.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [winqi.exe] C:\WINDOWS\system32\winqi.exe
O4 - HKCU\..\Run: [MsnMsgr] C:\Programme\MSN Messenger\MsnMsgr.Exe /background
O4 - HKLM\..\RunOnce: [sysjo.exe] C:\WINDOWS\system32\sysjo.exe
O4 - HKLM\..\RunOnce: [sdkng32.exe] C:\WINDOWS\system32\sdkng32.exe
O4 - HKLM\..\RunOnce: [netwz32.exe] C:\WINDOWS\system32\netwz32.exe
O4 - HKLM\..\RunOnce: [winas32.exe] C:\WINDOWS\winas32.exe
O4 - HKLM\..\RunOnce: [msny.exe] C:\WINDOWS\msny.exe
O4 - HKLM\..\RunOnce: [javatb32.exe] C:\WINDOWS\system32\javatb32.exe
O4 - HKLM\..\RunOnce: [wings32.exe] C:\WINDOWS\system32\wings32.exe
O4 - HKLM\..\RunOnce: [mfcng32.exe] C:\WINDOWS\system32\mfcng32.exe
O4 - HKLM\..\RunOnce: [ieqz.exe] C:\WINDOWS\ieqz.exe
O4 - HKLM\..\RunOnce: [mfcjd.exe] C:\WINDOWS\system32\mfcjd.exe
O4 - HKLM\..\RunOnce: [addaw32.exe] C:\WINDOWS\addaw32.exe
O4 - HKLM\..\RunOnce: [apiip.exe] C:\WINDOWS\system32\apiip.exe
O4 - HKLM\..\RunOnce: [ipqb32.exe] C:\WINDOWS\ipqb32.exe
O4 - HKLM\..\RunOnce: [mfcvl.exe] C:\WINDOWS\mfcvl.exe
O4 - HKLM\..\RunOnce: [sdkdy.exe] C:\WINDOWS\sdkdy.exe
O4 - HKLM\..\RunOnce: [iphh32.exe] C:\WINDOWS\system32\iphh32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra->Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra->Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11111111-1111-1111-1111-115370959067} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.easywww.info/safe/payloadexe.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...pple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E44151C8-0C6C-4A7D-B677-4FCC9552E957} - http:xxwww.bcnx.com/suninfoconnect-lo.cab

PCDpan_fee · 25.06.2004

-----------------------------------

cyberror schrieb:
Running processes:
C:\WINDOWS\system32\javatb32.exe

ist auf jeden Fall keine Systemdatei, Prozess killen, dann die untere Link durchlesen und alle aufgeführten dll's und exe Dateien löschen.

Running processes:
C:\WINDOWS\system32\winqi.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res:xxC:\WINDOWS\system32\ylxdz.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res:xxylxdz.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res:xxylxdz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res:xxC:\WINDOWS\system32\ylxdz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res:xxylxdz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res:xxC:\WINDOWS\system32\ylxdz.dll/sp.html#96676

aha, wieder diese Nummer 96676, lies hier:
http://www.wintotal-forum.de/?board=35;action=display;start=0;threadid=44528#msg248417

O2 - BHO: (no name) - {65E6A8E0-A67C-0CE3-B885-D53EA9292B40} - C:\WINDOWS\javadk.dll

O4 - HKLM\..\Run: [winqi.exe] C:\WINDOWS\system32\winqi.exe

O4 - HKLM\..\RunOnce: [sysjo.exe] C:\WINDOWS\system32\sysjo.exe

O4 - HKLM\..\RunOnce: [sdkng32.exe] C:\WINDOWS\system32\sdkng32.exe

O4 - HKLM\..\RunOnce: [netwz32.exe] C:\WINDOWS\system32\netwz32.exe

O4 - HKLM\..\RunOnce: [winas32.exe] C:\WINDOWS\winas32.exe

O4 - HKLM\..\RunOnce: [msny.exe] C:\WINDOWS\msny.exe

O4 - HKLM\..\RunOnce: [javatb32.exe] C:\WINDOWS\system32\javatb32.exe

O4 - HKLM\..\RunOnce: [wings32.exe] C:\WINDOWS\system32\wings32.exe

O4 - HKLM\..\RunOnce: [mfcng32.exe] C:\WINDOWS\system32\mfcng32.exe

O4 - HKLM\..\RunOnce: [ieqz.exe] C:\WINDOWS\ieqz.exe

O4 - HKLM\..\RunOnce: [mfcjd.exe] C:\WINDOWS\system32\mfcjd.exe

O4 - HKLM\..\RunOnce: [addaw32.exe] C:\WINDOWS\addaw32.exe

O4 - HKLM\..\RunOnce: [apiip.exe] C:\WINDOWS\system32\apiip.exe

O4 - HKLM\..\RunOnce: [ipqb32.exe] C:\WINDOWS\ipqb32.exe

O4 - HKLM\..\RunOnce: [mfcvl.exe] C:\WINDOWS\mfcvl.exe

O4 - HKLM\..\RunOnce: [sdkdy.exe] C:\WINDOWS\sdkdy.exe

O4 - HKLM\..\RunOnce: [iphh32.exe] C:\WINDOWS\system32\iphh32.exe

-----------------------------------

O16 - DPF: {11111111-1111-1111-1111-115370959067} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.easywww.info/safe/payloadexe.exe

QHosts trojan Info

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

fixen, Info

O16 - DPF: {E44151C8-0C6C-4A7D-B677-4FCC9552E957} - http:xxwww.bcnx.com/suninfoconnect-lo.cab

OnlineDialer/SunInfo, Info

pan_fee

cyberror · 25.06.2004

woha..
hatte bisher eigentlich nie mit der Registry zu tun und ich hab ich auch immer davor gehütet, etwas in der regy zu ändern, geschweige denn zu löschen

ein paar der aufgeführten exe's konnte ich löschen. aufgeführte .dll's hab ich im windows/system32 glaub ich keine gefunden.

zB sdkng32 finde ich nicht, obwohls aufgeführt war gestern. heute ist ein sdkhg32 vorhanden. löschen?

mit der win explorer suchmaschine finde ich aber alle dateien, aber so:
sdkng.EXE-34C50F90.pf

-
ich war eigentlich schon oft im abgesichterten modus.. aber kommt man dahin, wenn der rechner nicht von sich aus fragt?

Flöckchen · 25.06.2004

Jo, mit F8 beim Systemstart kommt nen Menü, da kannste den abgesicherten Modus auswählen.

Pf-Dateien sind Dateien im Prefetch Ordner von Windows, kannst du gefahrlos löschen.

cyberror · 25.06.2004

ah ja genau, F8 wars

ich denk mal, mit dem löschen der pf werden die richtigen dateien nicht gelöscht, oder?

Flöckchen · 25.06.2004

Richtig. Nur die Prefetch-Dateien, die dafür da sind, daß bestimmte Programme schneller geladen werden können.

cyberror · 27.06.2004

nun.. seitdem ich in der registry rumgepfuscht hab, gehn hier scheinbar paar dinge drunter und drüber.

erst ging visual basic nicht mehr, weil anscheinend die shell.dll fehlt, die hab ich aber nie gelöscht.

der text editor schliesst sich ab und zu von alleine.

genau so internet explorer..

in der startleiste, fehlen die icons zu programmen (als würde dasjenige programm nicht gefunden werden), aber das programm findets (was gut ist =)

und das mit der startseite ist noch nicht gelöst..

irgendwelche ideen?

hijack

cyberror

Gerdi_Toni

cyberror

PCDpan_fee

cyberror

Flöckchen

cyberror

Flöckchen

cyberror

hijack

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums