Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe!

Schloofer · 20.07.2004, 12:24

Hallo!
Ich bin wirklich gerade am verzweifeln…
Ich bin infiziert von einem Hijacker, der meinen Windows Editor lahmgelegt hat.
Sobald ich ein neues Textdokument erstellen will, oder ein Dokument mit dem Editor öffne, erscheint ein Icon „Pleasure Zone“ auf meinem Desktop und der IE will die Seite http://www.casinopalazzo.com öffnen. Auch natürlich bei einem Doppelklick auf „Pleasure Zone“ geschieht dies.
Ich habe mich nun ziemlich lange in diversen Foren herumgetrieben und alle Ratschläge befolgt, die ich dort zu diesem Thema gefunden habe. D. h. ich habe auch schon folgende Programme drüberlaufen lassen:
AdAware (full system scan);
SpyBot S&D;
CWShredder;
SpHjfix (von rokop-security)
HijackThis (hier: http://www.hijackthis.de/ automatisch auswerten lassen und “böse” Einträge gefixt); (LogFile [danach] unten!)

All dies hat leider nichts gebracht – das Problem besteht weiterhin…
Ich wäre euch wirklich unglaublich dankbar, wenn ihr mir helfen könntet! Ich bin am Ende...!!

Mein System:
Betriebssystem: Microsoft Windows XP Professional Service Pack 1
Internet Explorer: 6.0.2800.1106 (IE 6.0 SP1)
CPU Typ: AMD Athlon XP, 1466 MHz (5.5 x 267) 1700+
Motherboard Name: Asus A7N8X Deluxe (5 PCI, 1 AGP Pro, 3 DIMM, Audio, Dual LAN, IEEE-1394)
Motherboard Chipsatz: nVIDIA nForce2 SPP
Arbeitsspeicher: 768 MB (DDR SDRAM)
BIOS Typ: Award (12/05/03)
Grafikkarte: NVIDIA GeForce4 MX 440 with AGP8X (64 MB)

Mein HijackThis LogFile:

Logfile of HijackThis v1.98.0
Scan saved at 12:23:13, on 20.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Executive Software\DiskeeperWorkstation\DKService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\Downloads\Hijacking\hijackthis2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Surfin´ Schloofer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/016ee6e3...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{197CCDE4-47B1-4181-8222-1B47A15D5E05}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{38DF7A43-2FC2-4DCB-B249-B1F7EC8A94C0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{197CCDE4-47B1-4181-8222-1B47A15D5E05}: NameServer = 217.237.150.33 194.25.2.129

Würde mich furchtbar freuen, wenn mir jemand helfen könnte..!!!

Tom

Schloofer · 20.07.2004, 13:20

Hallo nochmal!
Habe die Lösung eben in einem Forum gefunden (bei mir hats so funktioniert)

Lexi schrieb:

Es handelt sich wohl um einen neuen Trojaner, der sich QAZ nennt. TROJ_QAZ erstellt nach dem öffnen einer Infizierten Datei eine Notepad.exe und und benennt die originale Notepad.exe in note.com um. (bei mir ine notepad.exe.bat). Hier eine Beschreibung der Trojaners mit Aleitung zum Beheben des Fehlers:

What is QAZ Trojan Program?
This new backdoor Trojan allows hackers to access and control an infected system. TROJ_QAZ was initially distributed as "Notepad.exe" but might also appear with different filenames. Once an infected file is executed, TROJ_QAZ modifies the Windows registry so that it becomes active every time Windows is started. TROJ_QAZ also renames the original "notepad.exe" file to "note.com" and then copies itself as "notepad.exe" to the Windows folder. This way, the Trojan is also launched every time a user runs Notepad. TROJ_QAZ also attempts to spread itself to other shared drives on local networks. This Trojan does not mass email itself out to lists in the users address book however.

How to Clean/Delete the QAZ trojan?

The registry needs to edited to delete this Trojan

Click START, RUN
Type REGEDIT and hit ENTER key
In the left panel, click the "+" to the left of the following:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
In the right panel, search for any of the registry key that contains the data value of startIE=XXXX\Notepad.exe.
In the right window, highlight the registry key that loads the file and press the DELETE key. Answer YES to delete the entry.
Exit the registry.
Click START,SHUTDOWN. Choose "Restart" and click OK.
Use the Find Tool under the Start Menu to find and rename Note.com to Notepad.exe.

Werde das jetzt mal probieren und poste dann ob es geklappt hat.

Später:

Also, Problem erkannt, Problem gebannt

Nachdem ich in der Registry keinerlei dieser Einträge gefunden habe, habe ich die notepad exe gelöscht und die notepad.exe.bak zu notepad exe umbenannt.

Textdateien lassen sich jetzt auch nach einem Neustart wieder ganz normal öffnen und ich hoffe, dass das auch so bleibt. Sollte sich wider Erwarten wieder etwas ändern, poste ich das hier.

Hier auch noch einmal die Beschreibung des Wurms:

home.arcor.de/sigurdpistor/viren/info/w32-qaz-worm.html

Nochml die Abweichung bei mir:
Umbenennung erfolgte nicht in note.com sondern in notepad.exe.bak.
Ich habe keinen Registry-Eintrag gefunden.
Die Dateigröße war identisch mit der von der originalen notepad.exe.

Ich hoffe, ich habe mit diesem Posting wenigstens auch anderen geholfen..!

Danke nochmal für die evtl. Mühe!

Tom

Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe!

Log-Analyse und Auswertung: Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe!

Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe!

Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe!

Ähnliche Themen: Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe!