bekomme hijacker (???) nicht weg

#0
30.06.2004, 22:31
...neu hier

Beiträge: 6
#1 ich hatte vor 2 tagen hier schonmal gepostet, aber irgendwie is der thread verschwunden.

also nochmal, hier mein problem:

folgende dinge funzen bei mir nicht mehr:
- suche unter windows explorer öffnet nicht
- logitech-tastatur extra-tasten funzen nicht
- im www: rechtsklick auf einen link > in neuem fenster öffnen funktioniert nicht
- im www: auf einen link klicken, der eigentlich ein neues fenster öffnen soll, funktioniert nicht
- popups gehen nicht auf

---------------------------------------------
hier die sachen, die ich schon gemacht habe:

- Systemwiederherstellung deaktiviert
- Windows-Update
- ad-aware installiert
- Spybot S&D installiert
- Bitdefender installiert
- stinger installiert
- neustart, abgesicherter modus
- adaware laufen lassen und irgendwas mit alexa gefunden und behoben
- spybot S&D laufen lassen und auch alexa gefunden und behoben
- bitdefender laufen lassen
- stinger laufen lassen
- neustart, normaler start
- internetverbindungsfirewall aktiviert

aber es funktioniert immer noch nicht.

was kann ich noch tun??? bitte helft mir, denn ich hab meine 160er platte nun zum 4. mal in einer woche geplättet :-/

greetz
batida444
Seitenanfang Seitenende
30.06.2004, 22:36
Moderator

Beiträge: 7805
#2 Poste mal ein Hijackthis log. Vieleicht hat sich was auf deinem Rechner geschlichen, vevor du Firewall nd Updates installiert hast!?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.06.2004, 22:42
...neu hier

Themenstarter

Beiträge: 6
#3 biddeschööön

Zitat

Logfile of HijackThis v1.98.0
Scan saved at 22:42:35, on 30.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
G:\steam\powerstrip\pstrip.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\trayit\trayit!.exe
C:\Programme\TypeItIn\TypeItIn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Downloads\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [0utlook Express] qgmmv.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [PowerStrip] g:\steam\powerstrip\pstrip.exe
O4 - HKLM\..\RunServices: [0utlook Express] qgmmv.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [0utlook Express] qgmmv.exe
O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\RunServices: [0utlook Express] qgmmv.exe
O4 - Startup: TrayIt!.lnk = C:\Programme\trayit\trayit!.exe
O4 - Startup: TypeItIn.lnk = C:\Programme\TypeItIn\TypeItIn.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FD060C2-3449-426E-83F1-33E9F878BACC}: NameServer = 217.237.150.225 194.25.2.129
Seitenanfang Seitenende
30.06.2004, 22:51
Moderator

Beiträge: 7805
#4 Da hat es dich beim ersten Online gehen wohl gleich erwischt:

O4 - HKLM\..\Run: [0utlook Express] qgmmv.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe

Also Firewall erst anschalten und dann ins Internet, nicht anders herum!;)

Auch wenn du es nicht hoeren magst, setz deinen Rechner das 5te und letzte mal neu auf.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.06.2004, 22:53
...neu hier

Themenstarter

Beiträge: 6
#5 anders krieg ich das nicht weg?????

wenn ich das mit hijackthis fixe, kommt es wieder?

greetz
batida444
Seitenanfang Seitenende
30.06.2004, 22:57
Moderator

Beiträge: 7805
#6 Doch, alle Eintraege in denen pdsched.exe und qgmmv.exe vorkommen fixen und die Dateien loeschen. Ich sehe auch keine AV-Schutz. Aber neu aufsetzen ist auch nicht falsch!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.06.2004, 23:05
...neu hier

Themenstarter

Beiträge: 6
#7 also die pdsched.exe und qgmmv.exe von der platte löschen. ok
könntest du mir sagen, in welchem verzeichnis ich die finde ? denn meine windows-suche funktioniert ja nich :-S

virenscanner nutz ich normalerweise NAV2004

greetz
batida444

edit:
jetzt noch folgendes:

habe mit hijackthis diese beiden einträge entfernt. habe es mehrmals hintereinander gemacht, bis sie weg waren.
dann hab ich jetzt mal von hand gesucht und beide dateien nicht gefunden

rechner dann im abgesicherten modus hochgefahren und folgendes bekommen:

beim scan mit adaware

Zitat

Hersteller:possible Browser Hijack attempt
Kategorie;)ata Miner
Objekt Typ:Reg.Daten
Grösse:-
Ort:Software\Microsoft\Internet Explorer\Main "Start Page" ("about:blank")
War geladen:01.07.2004
Gefährdung:Mittel
Kommentar:Möglicher Browser-Hijack Versuch
Beschreibung:possible attempt to control\redirect the browser. This object referrs to a "blacklisted" site.
beim scan mit S&D (da war noch mehr, aber alles grün markiert):

Zitat

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1454471165-507921405-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
beim scan mit hijackthis:

Zitat

Logfile of HijackThis v1.98.0
Scan saved at 00:45:26, on 01.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Downloads\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [PowerStrip] g:\steam\powerstrip\pstrip.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - Startup: TrayIt!.lnk = C:\Programme\trayit\trayit!.exe
O4 - Startup: TypeItIn.lnk = C:\Programme\TypeItIn\TypeItIn.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
was kann ich denn noch machen? im hijackthis werden die beiden dateien nicht mehr angezeigt, aber funzen tut es immer noch nicht.
die startseite wird auch noch weiterhin auf

Zitat

http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&pver=6.0&ar=home
umgewandelt, die suche funzt auch noch nicht, die links auch nicht...... also eben das gleiche wie vorher

please help....

greetz
batida444

edit2:
habe grade festgestellt, dass im windows-explorer über F3 die suche funzt. mit rechtsklick > suchen allerdings nicht

edit3:
ich brech zusammen. das lag am picture publisher 10 .....
da gibt es einen regfix für.... >>> http://www.misitio.ch/dateien/ieregfix.zip

jetzt geht wieder alles *jubel*
Dieser Beitrag wurde am 01.07.2004 um 01:20 Uhr von batida444 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: