Oh, hatte vergessen zu erwähnen, das ich qbqtx.dll/sp.html#29126 in der Regedit schon gelöscht habe!


Hallo ,

es scheint, als wenn uns mal wieder ein Hijacker erwischt hätte.
Sende mal die Hijackthis.log mit:
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\scagent.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\EzButton System V2.1\EzButton.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Works\MSWorks.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qbqtx.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qbqtx.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qbqtx.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qbqtx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qbqtx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qbqtx.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qbqtx.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
O2 - BHO: (no name) - {3EB92E28-EE9A-43B7-6D25-F4D8822B3138} - C:\WINDOWS\sysox32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [javaxc.exe] C:\WINDOWS\system32\javaxc.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [netam.exe] C:\WINDOWS\system32\netam.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [winig32.exe] C:\WINDOWS\winig32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab

Kann mir da jemand weiterhelfen. Wenn wir ad-aware und hijacker drüberlaufen lassen sagt er uns immer, das ntuser\\ nícht gelöscht werden können? Die finden immer noch 1 infizierte Datei, die nicht gelöscht werden kann.

Wo versteckt sich noch einer?

Vertraue auf Eure Hilfe, da kein Computerspezialist! Danke im voraus!

@ElfeSandy
poste bitte die systeminfos mit
chaosman

Hallo ElfeSandy,

warum bist du nur so lernresistent?!
MK postete dir bereits vor einigen Monaten Massnahmen gegen einen erneuten Hijacker Befall.

Zitat:

Zitat von MountainKing

Grundsätzlich für die Zukunft: empfehlenswert wäre ein Browserwechsel weg vom IE (evtl.auch von Outlook), zu Firefox oder Opera (gibt es jetzt mit IE-Setup, daher leichterer Umstieg), Deaktivierung von Active-X (falls du den IE unbedingt behalten willst) sowie Java-Script, außer für definitiv vertrauenswürdige Seiten. Vertrauenswürdig ist das nächste Stichwort, immer kritisch bleiben und NIE etwas von zweifelhaften Seiten herunterladen, entsprechendes gilt für mails mit Anhängen, die du nicht erwartest >> sofort und ohne Überlegen löschen.

http://www.trojaner-board.de/showthread.php?t=6451

An Cidre,

wie wahr, wie wahr!
Aber wenn die besser Hälfte so gegen alle Neuerungen ist und schon beim IE häufig überfordert, dann ist es schwierig, Opera oder Firefox an den Mann ( im wahrsten Sinne des Wortes) zu bekommen. Zumal er noch den T-Online Messenger benutzt!

Dann lege deiner besseren Hälfte eingeschränktes Benutzerkonto an. Somit sollte das Problem gelöst sein und die meiste Malware kann sich so nicht mehr in deinem System festsetzen. http://freenet.meome.de/app/fn/artco...sp?catId=79426

an cidre,

bist wohl nicht gebunden, was?
Das Laptop von meinem Göttergatten macht die Probleme, und da hat er natürlich uneingeschränkten Zugriff!
Er geht damit im www auch auf vielen Seiten bzgl. seines Hobbys gucken,bis nach Japan, USa etc und ich vermute, auf diesen Seiten sind so manche versteckte Programme.
Mein PC ist sicher!
Bisher - man soll ja nicht den Tag vor dem Abend....
Bin bisher hier mit PSS von Telekom super gut gefahren. Nur kriegen wir den irgendwie nicht auf´s Laptop!
Naja, muss ja auch eine ander Möglichkeit geben, das mein Mann "safer" ins Netz kommt!

ElfeSandy

@ElfeSandy
hier kannst du ein paar sachen nachlesen
http://www.ntsvcfg.de/linkblock.html

du hast aber immer noch keine systeminfos gepostet

chaosman

Hi Chaosman,

hab ich dir schon so gegen 14:00 Uhr heute gesandt.
Hab bestimmt was falsch gemacht:
hab dich angeklickt und dir dann eine Nachricht mit dem Log gesandt.
War falsch?!
Dann sag mir Doofi doch bitte, wie ich´s machen muss!
Danke

@ElfeSandy
habe keine PM bekommen
chaosman

Hallo ElfeSandy,

die System-Info gehört zum Logfile und damit hier ins Forum. Niemand von uns mag Logfiles oder System-Info in der PN-Box, die damit verstopft wird. Ausserdem beantworten wir alle (soweit ich weiss) keine Logfile-Anfragen in der PN-Box.

MfG
SD

habe ein problem: zeilen sind mit 5874 zu lang, sende deshalb in 2 schritten!
Das erste müsste jetzt da sein!

Hilfe?
Was ist denn nun bitte eine PM?
PN vermute ich mal private nachricht!?
Und wenn chaosman schreibt, ich sollte ihm die Log mal senden, heißt dann was?
Bin wohl zu blond!!!!!

Zitat:

Zitat von chaosman

@ElfeSandy
poste bitte die systeminfos mit
chaosman

Zitat:

Zitat von ElfeSandy

Und wenn chaosman schreibt, ich sollte ihm die Log mal senden, heißt dann was?

schreiben wir vom gleichen?

SD

Hallo Shadowdance,
hatte mich ja auch schon gewundert, aber da Chaosman das heute morgen geschrieben hat....
hab wahrscheinlich was missverstanden!

?????
Habe heute gegen 13:00 Uhr das komplette " Dokument" von Hijacker hier mit Bitte um Hilfe ins Forum gestellt.
Jetzt ist meine Verwirrung komplett!
Was fehlt?