|
Log-Analyse und Auswertung: Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.07.2004, 12:24 | #1 |
| Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe! Hallo! Ich bin wirklich gerade am verzweifeln… Ich bin infiziert von einem Hijacker, der meinen Windows Editor lahmgelegt hat. Sobald ich ein neues Textdokument erstellen will, oder ein Dokument mit dem Editor öffne, erscheint ein Icon „Pleasure Zone“ auf meinem Desktop und der IE will die Seite http://www.casinopalazzo.com öffnen. Auch natürlich bei einem Doppelklick auf „Pleasure Zone“ geschieht dies. Ich habe mich nun ziemlich lange in diversen Foren herumgetrieben und alle Ratschläge befolgt, die ich dort zu diesem Thema gefunden habe. D. h. ich habe auch schon folgende Programme drüberlaufen lassen: AdAware (full system scan); SpyBot S&D; CWShredder; SpHjfix (von rokop-security) HijackThis (hier: http://www.hijackthis.de/ automatisch auswerten lassen und “böse” Einträge gefixt); (LogFile [danach] unten!) All dies hat leider nichts gebracht – das Problem besteht weiterhin… Ich wäre euch wirklich unglaublich dankbar, wenn ihr mir helfen könntet! Ich bin am Ende...!! Mein System: Betriebssystem: Microsoft Windows XP Professional Service Pack 1 Internet Explorer: 6.0.2800.1106 (IE 6.0 SP1) CPU Typ: AMD Athlon XP, 1466 MHz (5.5 x 267) 1700+ Motherboard Name: Asus A7N8X Deluxe (5 PCI, 1 AGP Pro, 3 DIMM, Audio, Dual LAN, IEEE-1394) Motherboard Chipsatz: nVIDIA nForce2 SPP Arbeitsspeicher: 768 MB (DDR SDRAM) BIOS Typ: Award (12/05/03) Grafikkarte: NVIDIA GeForce4 MX 440 with AGP8X (64 MB) Mein HijackThis LogFile: Logfile of HijackThis v1.98.0 Scan saved at 12:23:13, on 20.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Executive Software\DiskeeperWorkstation\DKService.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\sstray.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\Programme\Zone Labs\ZoneAlarm\zapro.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Internet Explorer\iexplore.exe D:\Downloads\Hijacking\hijackthis2\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Surfin´ Schloofer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/016ee6e3...dxIE601_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{197CCDE4-47B1-4181-8222-1B47A15D5E05}: NameServer = 217.237.150.33 194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{38DF7A43-2FC2-4DCB-B249-B1F7EC8A94C0}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{197CCDE4-47B1-4181-8222-1B47A15D5E05}: NameServer = 217.237.150.33 194.25.2.129 Würde mich furchtbar freuen, wenn mir jemand helfen könnte..!!! Tom |
20.07.2004, 13:20 | #2 |
| Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe! Hallo nochmal!
__________________Habe die Lösung eben in einem Forum gefunden (bei mir hats so funktioniert) Lexi schrieb: Es handelt sich wohl um einen neuen Trojaner, der sich QAZ nennt. TROJ_QAZ erstellt nach dem öffnen einer Infizierten Datei eine Notepad.exe und und benennt die originale Notepad.exe in note.com um. (bei mir ine notepad.exe.bat). Hier eine Beschreibung der Trojaners mit Aleitung zum Beheben des Fehlers: What is QAZ Trojan Program? This new backdoor Trojan allows hackers to access and control an infected system. TROJ_QAZ was initially distributed as "Notepad.exe" but might also appear with different filenames. Once an infected file is executed, TROJ_QAZ modifies the Windows registry so that it becomes active every time Windows is started. TROJ_QAZ also renames the original "notepad.exe" file to "note.com" and then copies itself as "notepad.exe" to the Windows folder. This way, the Trojan is also launched every time a user runs Notepad. TROJ_QAZ also attempts to spread itself to other shared drives on local networks. This Trojan does not mass email itself out to lists in the users address book however. How to Clean/Delete the QAZ trojan? The registry needs to edited to delete this Trojan Click START, RUN Type REGEDIT and hit ENTER key In the left panel, click the "+" to the left of the following: HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run In the right panel, search for any of the registry key that contains the data value of startIE=XXXX\Notepad.exe. In the right window, highlight the registry key that loads the file and press the DELETE key. Answer YES to delete the entry. Exit the registry. Click START,SHUTDOWN. Choose "Restart" and click OK. Use the Find Tool under the Start Menu to find and rename Note.com to Notepad.exe. Werde das jetzt mal probieren und poste dann ob es geklappt hat. Später: Also, Problem erkannt, Problem gebannt Nachdem ich in der Registry keinerlei dieser Einträge gefunden habe, habe ich die notepad exe gelöscht und die notepad.exe.bak zu notepad exe umbenannt. Textdateien lassen sich jetzt auch nach einem Neustart wieder ganz normal öffnen und ich hoffe, dass das auch so bleibt. Sollte sich wider Erwarten wieder etwas ändern, poste ich das hier. Hier auch noch einmal die Beschreibung des Wurms: home.arcor.de/sigurdpistor/viren/info/w32-qaz-worm.html Nochml die Abweichung bei mir: Umbenennung erfolgte nicht in note.com sondern in notepad.exe.bak. Ich habe keinen Registry-Eintrag gefunden. Die Dateigröße war identisch mit der von der originalen notepad.exe. Ich hoffe, ich habe mit diesem Posting wenigstens auch anderen geholfen..! Danke nochmal für die evtl. Mühe! Tom |
Themen zu Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe! |
adobe, agp8x, antivirus, auswerten, bho, canon, desktop, dll, excel, explorer, geforce, helfen, hijack, hijackthis logfile, hilfe, infiziert, logfile, meinem, nvcpl.dll, nvidia, pdf, problem, programme, rundll, scan, software, symantec, system, tcpip, träge, windows, windows xp |