http://www.casinopalazzo.com

Mithrandir · 06.06.2004, 21:07

Hallo,

ständig öffnet sich folgende Seite: http://www.casinopalazzo.com

Hab alle Programme, die von Euch zur Entfernung des Hijackers empfohlen werden, ausprobiert - aber ohne Erfolg.

Vielleicht kann ir jemand weiterhelfen.

Hier die Log-Datei von HijackThis:

Logfile of HijackThis v1.97.7
Scan saved at 21:58:52, on 06.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Norton Internet Security\NISUM.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\FRITZ!DSL\Awatch.exe
D:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
D:\Programme\Saitek\Software\Profiler.exe
D:\WINDOWS\System32\SCardSvr.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Saitek\Software\SaiSmart.exe
D:\WINDOWS\System32\CTHELPER.EXE
D:\Programme\PTBSync\PTBSync.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Winamp\winampa.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\LAB1.de\YAAC\YAAC.exe
D:\Programme\a2\a2guard.exe
D:\Programme\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
D:\WINDOWS\system32\RAMASST.exe
D:\WINDOWS\System32\alg.exe
D:\Programme\Norton Internet Security\ccPxySvc.exe
D:\WINDOWS\System32\cisvc.exe
D:\WINDOWS\System32\DVDRAMSV.exe
D:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
D:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
D:\WINDOWS\system32\srvany.exe
D:\WINDOWS\system32\resetservice.exe
D:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\SCARDS32.EXE
D:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
D:\Programme\FRITZ!DSL\FritzDsl.exe
D:\Programme\Outlook Express\msimn.exe
D:\WINDOWS\System32\cidaemon.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
C:\HijackThis\HijackThis.exe
D:\Programme\Browser Hijack Blaster\bhblaster.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - D:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [AWatch] D:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [WinDVR SchSvr] "D:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AcctMgr] D:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [QD FastAndSafe] D:\Programme\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /scheduler
O4 - HKLM\..\Run: [PinnacleDriverCheck] D:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Profiler] D:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] D:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [PTBSync] D:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAAC] D:\Programme\LAB1.de\YAAC\YAAC.exe /AUTOSTART
O4 - HKCU\..\Run: [a²] "D:\Programme\a2\a2guard.exe"
O4 - Global Startup: Norton System Doctor.lnk = D:\Programme\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: RAMASST.lnk = D:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Preispiraten 2.1 (HKLM)
O9 - Extra button: eBay Homepage (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O9 - Extra button: Add bid (HKCU)
O9 - Extra 'Tools' menuitem: Add bid (HKCU)
O15 - Trusted Zone: www.quelle.de
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...006.6443634259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17F6AEED-C0B4-47E4-82A6-DCC74AD16DB0}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{258B847B-8FA6-468E-923D-0FF031B10789}: NameServer = 192.168.120.252,192.168.120.253

Lutz · 06.06.2004, 21:28

Hallo Mithrandir und Willkommen an Board,

dem Log ist so auf Anhieb nichts zu entnehmen.
Dies hier fand ich eben in einem englischsprachigen Forum:

<blockquote>Zitat:<hr />This shortcut icon (looks like a big yellow X) named "default" added to my desktop. Its target is ""C:\Program Files\Internet Explorer\IEXPLORE.EXE" h**p://www.casinopalazzo.com/index.php?sourceid=101969".[/QUOTE]Hast Du entsprechend ebenfalls ein neues Icon auf Deinem Desktop?
Mit dem Löschen der Verknüpfung ist es leider nicht getan. Versuchen kannst Du es ja trotzdem.

Durchsuch doch mal die Registry nach diesem Wert: casinopalazzo und sage uns, ob und wenn ja, wo Du fündig wirst.

Ansonsten solltest Du diesen Beitrag mal im Auge behalten: http://www.wilderssecurity.com/showthread.php?t=35313

Nachtrag:
Was mir nicht wirklich gefällt sind diese Einträge:
<blockquote>Zitat:<hr /> O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)[/QUOTE]Fixe diese. Starte den Rechner neu und erstelle ein neues Log.

[ 06. Juni 2004, 22:37: Beitrag editiert von: Lutz ]

Mithrandir · 06.06.2004, 22:02

Hallo,

danke für Deine schnelle Antwort. Ich hab zwar mit regedit etwas gefunden, wusste aber nicht wie ich es posten soll. Hab alle Einträge gelöscht.

Eine Verknüpfung wird auch auf meinem Desktop erstellt, ausserdem schliessen sich IE-Fenster selbstständig.

Hier nun das "gefixte" Log:

Logfile of HijackThis v1.97.7
Scan saved at 23:01:49, on 06.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Norton Internet Security\NISUM.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\System32\SCardSvr.exe
D:\WINDOWS\System32\alg.exe
D:\Programme\Norton Internet Security\ccPxySvc.exe
D:\WINDOWS\System32\cisvc.exe
D:\WINDOWS\System32\DVDRAMSV.exe
D:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
D:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
D:\WINDOWS\system32\srvany.exe
D:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
D:\WINDOWS\system32\resetservice.exe
D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\SCARDS32.EXE
D:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\FRITZ!DSL\Awatch.exe
D:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
D:\Programme\Saitek\Software\Profiler.exe
D:\Programme\Saitek\Software\SaiSmart.exe
D:\WINDOWS\System32\CTHELPER.EXE
D:\Programme\PTBSync\PTBSync.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Winamp\winampa.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\LAB1.de\YAAC\YAAC.exe
D:\Programme\a2\a2guard.exe
D:\Programme\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
D:\WINDOWS\system32\RAMASST.exe
D:\Programme\FRITZ!DSL\FritzDsl.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - D:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [AWatch] D:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [WinDVR SchSvr] "D:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AcctMgr] D:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [QD FastAndSafe] D:\Programme\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /scheduler
O4 - HKLM\..\Run: [PinnacleDriverCheck] D:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Profiler] D:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] D:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [PTBSync] D:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAAC] D:\Programme\LAB1.de\YAAC\YAAC.exe /AUTOSTART
O4 - HKCU\..\Run: [a²] "D:\Programme\a2\a2guard.exe"
O4 - Global Startup: Norton System Doctor.lnk = D:\Programme\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: RAMASST.lnk = D:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Preispiraten 2.1 (HKLM)
O9 - Extra button: eBay Homepage (HKLM)
O9 - Extra button: Add bid (HKCU)
O9 - Extra 'Tools' menuitem: Add bid (HKCU)
O15 - Trusted Zone: www.quelle.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{17F6AEED-C0B4-47E4-82A6-DCC74AD16DB0}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{258B847B-8FA6-468E-923D-0FF031B10789}: NameServer = 192.168.120.252,192.168.120.253

Was ist das für ein Eintrag?

HKLM\System\CCS\Services\Tcpip\..\{258B847B-8FA6-468E-923D-0FF031B10789}: NameServer = 192.168.120.252,192.168.120.253

Lutz@Work · 07.06.2004, 08:34

Hat das 'Fix'en und das Löschen in der Registry etwas gebracht, oder besteht das Problen weiterhin??

Mithrandir · 07.06.2004, 11:49

Hallo Lutz,

bis jetzt gabs keine Probleme, möchte aber mit einer endgültigen Aussage noch etwas warten, muss jetzt leider in die Firma.

Schönen Tag noch

Mithrandir · 09.06.2004, 07:09

Auch bis heute keine Probleme mehr. Ich denke es sieht sehr gut aus.

Danke nochmal.

Hide-X- · 18.06.2004, 14:12

Hallo Alle Miteinander.

Um diese Art des Virus wegzubekommen kann ich nur einen Weg empfehlen, da der Trojaner trotz CWShredder, Hijack This und anderer Proggies immer wieder kam...

Antivir downladen und installieren. Internetupdate mit installieren. Internetupdate durchführen!

Nun Antivir Hauptprogramm starten und unter OPTIONEN - KONFIGURATIONSMENÜ - HEURISTIK die Häckchen "Makrovierenheuristik aktivieren" und "Win32 Dateiheuristik aktivieren" setzen.

Ebenso sollten IMMER alle Dateien duchsucht werden, auch gepackte, und die Priorität auf Hoch gesetzt werden.

Wenn nun gescannt wird, sollte Antivir zB den Trojaner Heuristik.W32.Downloader oder vergleichbare Troj´s finden.

Danach müsste das System wieder frei sein.

Wenn IE danach nicht funtkioniert, kann es sein, das unter Internetoptionen ein Proxi eingetragen ist, der nicht zum rechner gehört ( zB 127.0.0.1 ) Dieser muss gelöscht werden.

Ebenso empfehle ich danach Hijack This und CWShredder nochmal durchlaufen zu lassen, damit man ggfls alte Einträge entfernen kann.

Ebenfalls ist hier RegClean ganz gut. Denn hier kann man Dinge aus dem Autostart löschen ( wenn der Trojaner Dateien laden wollte wie wininet32.exe oder runwin32.exe ) und nicht einfach nur deaktivieren wie mit MSCONGIG.

Ich hoffe mein reply bringt einigen was, die mit diesem Casinoplazzo probs haben.

GL!

Wem die Info hilft, der Möge mich empfehlen, oder mir kurz nen reply zu iiborgii@hotmail.com senden, unter dem Betreff "PSY" damit die email net im Spamfilter versumpft =P

http://www.casinopalazzo.com

Log-Analyse und Auswertung: http://www.casinopalazzo.com