Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.07.2004, 12:24   #1
Schloofer
 
Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe! - Standard

Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe!



Hallo!
Ich bin wirklich gerade am verzweifeln…
Ich bin infiziert von einem Hijacker, der meinen Windows Editor lahmgelegt hat.
Sobald ich ein neues Textdokument erstellen will, oder ein Dokument mit dem Editor öffne, erscheint ein Icon „Pleasure Zone“ auf meinem Desktop und der IE will die Seite http://www.casinopalazzo.com öffnen. Auch natürlich bei einem Doppelklick auf „Pleasure Zone“ geschieht dies.
Ich habe mich nun ziemlich lange in diversen Foren herumgetrieben und alle Ratschläge befolgt, die ich dort zu diesem Thema gefunden habe. D. h. ich habe auch schon folgende Programme drüberlaufen lassen:
AdAware (full system scan);
SpyBot S&D;
CWShredder;
SpHjfix (von rokop-security)
HijackThis (hier: http://www.hijackthis.de/ automatisch auswerten lassen und “böse” Einträge gefixt); (LogFile [danach] unten!)

All dies hat leider nichts gebracht – das Problem besteht weiterhin…
Ich wäre euch wirklich unglaublich dankbar, wenn ihr mir helfen könntet! Ich bin am Ende...!!

Mein System:
Betriebssystem: Microsoft Windows XP Professional Service Pack 1
Internet Explorer: 6.0.2800.1106 (IE 6.0 SP1)
CPU Typ: AMD Athlon XP, 1466 MHz (5.5 x 267) 1700+
Motherboard Name: Asus A7N8X Deluxe (5 PCI, 1 AGP Pro, 3 DIMM, Audio, Dual LAN, IEEE-1394)
Motherboard Chipsatz: nVIDIA nForce2 SPP
Arbeitsspeicher: 768 MB (DDR SDRAM)
BIOS Typ: Award (12/05/03)
Grafikkarte: NVIDIA GeForce4 MX 440 with AGP8X (64 MB)

Mein HijackThis LogFile:

Logfile of HijackThis v1.98.0
Scan saved at 12:23:13, on 20.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Executive Software\DiskeeperWorkstation\DKService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\Downloads\Hijacking\hijackthis2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Surfin´ Schloofer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/016ee6e3...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{197CCDE4-47B1-4181-8222-1B47A15D5E05}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{38DF7A43-2FC2-4DCB-B249-B1F7EC8A94C0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{197CCDE4-47B1-4181-8222-1B47A15D5E05}: NameServer = 217.237.150.33 194.25.2.129


Würde mich furchtbar freuen, wenn mir jemand helfen könnte..!!!

Tom

Alt 20.07.2004, 13:20   #2
Schloofer
 
Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe! - Standard

Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe!



Hallo nochmal!
Habe die Lösung eben in einem Forum gefunden (bei mir hats so funktioniert)

Lexi schrieb:

Es handelt sich wohl um einen neuen Trojaner, der sich QAZ nennt. TROJ_QAZ erstellt nach dem öffnen einer Infizierten Datei eine Notepad.exe und und benennt die originale Notepad.exe in note.com um. (bei mir ine notepad.exe.bat). Hier eine Beschreibung der Trojaners mit Aleitung zum Beheben des Fehlers:

What is QAZ Trojan Program?
This new backdoor Trojan allows hackers to access and control an infected system. TROJ_QAZ was initially distributed as "Notepad.exe" but might also appear with different filenames. Once an infected file is executed, TROJ_QAZ modifies the Windows registry so that it becomes active every time Windows is started. TROJ_QAZ also renames the original "notepad.exe" file to "note.com" and then copies itself as "notepad.exe" to the Windows folder. This way, the Trojan is also launched every time a user runs Notepad. TROJ_QAZ also attempts to spread itself to other shared drives on local networks. This Trojan does not mass email itself out to lists in the users address book however.

How to Clean/Delete the QAZ trojan?

The registry needs to edited to delete this Trojan

Click START, RUN
Type REGEDIT and hit ENTER key
In the left panel, click the "+" to the left of the following:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
In the right panel, search for any of the registry key that contains the data value of startIE=XXXX\Notepad.exe.
In the right window, highlight the registry key that loads the file and press the DELETE key. Answer YES to delete the entry.
Exit the registry.
Click START,SHUTDOWN. Choose "Restart" and click OK.
Use the Find Tool under the Start Menu to find and rename Note.com to Notepad.exe.

Werde das jetzt mal probieren und poste dann ob es geklappt hat.

Später:

Also, Problem erkannt, Problem gebannt

Nachdem ich in der Registry keinerlei dieser Einträge gefunden habe, habe ich die notepad exe gelöscht und die notepad.exe.bak zu notepad exe umbenannt.

Textdateien lassen sich jetzt auch nach einem Neustart wieder ganz normal öffnen und ich hoffe, dass das auch so bleibt. Sollte sich wider Erwarten wieder etwas ändern, poste ich das hier.

Hier auch noch einmal die Beschreibung des Wurms:

home.arcor.de/sigurdpistor/viren/info/w32-qaz-worm.html

Nochml die Abweichung bei mir:
Umbenennung erfolgte nicht in note.com sondern in notepad.exe.bak.
Ich habe keinen Registry-Eintrag gefunden.
Die Dateigröße war identisch mit der von der originalen notepad.exe.

Ich hoffe, ich habe mit diesem Posting wenigstens auch anderen geholfen..!

Danke nochmal für die evtl. Mühe!

Tom
__________________


Antwort

Themen zu Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe!
adobe, agp8x, antivirus, auswerten, bho, canon, desktop, dll, excel, explorer, geforce, helfen, hijack, hijackthis logfile, hilfe, infiziert, logfile, meinem, nvcpl.dll, nvidia, pdf, problem, programme, rundll, scan, software, symantec, system, tcpip, träge, windows, windows xp




Ähnliche Themen: Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe!


  1. Ich bekomme "positive finds ads" nicht von meinem Rechner
    Plagegeister aller Art und deren Bekämpfung - 03.03.2015 (7)
  2. es bleibt eine Maske " Driver restore " stehen, die bekomme ich nicht wieder weg.
    Log-Analyse und Auswertung - 13.02.2015 (1)
  3. Ich bekomme "Click to continue - smartshopping" nicht runter vom PC
    Log-Analyse und Auswertung - 06.11.2014 (1)
  4. Bekomme "search.gadgetbox" nicht weg
    Log-Analyse und Auswertung - 12.09.2014 (9)
  5. Ich habe jetzt auch "Browse to Save" Werbebanner und bekomme diese nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 04.02.2013 (20)
  6. Bekomme "Trojan-gameThief.win32.magania.bevf" nicht gebändigt
    Plagegeister aller Art und deren Bekämpfung - 21.10.2012 (1)
  7. Bekomme "Trojan-gameThief.win32.magania.bevf" nicht gebändigt
    Plagegeister aller Art und deren Bekämpfung - 16.10.2012 (29)
  8. Bekomme Meldung "Troj/JSRedir-HZ" und "MW:JS:JJ677"
    Plagegeister aller Art und deren Bekämpfung - 15.10.2012 (42)
  9. Bekomme "Trojan-gameThief.win32.magania.bevf" nicht gebändigt
    Alles rund um Windows - 19.08.2012 (2)
  10. Alle Dateien versteckt - Befall mit "trojan.fasagent" und "PUM.Hijack.StartMenu"
    Log-Analyse und Auswertung - 09.07.2012 (29)
  11. bekomme Virus "TR/Crypt.ZPACK.Gen" nicht los
    Plagegeister aller Art und deren Bekämpfung - 04.05.2010 (10)
  12. Bekomme "Your Computer is infected" nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 26.04.2009 (10)
  13. Kann nichts mehr runterladen, auch nicht "HiJack This"! ("Your Computer is infected")
    Plagegeister aller Art und deren Bekämpfung - 21.10.2008 (9)
  14. "" HiJack Log File "" brauche Hilfe !!
    Log-Analyse und Auswertung - 22.06.2006 (6)
  15. Bekomme "http://default.home/" und "ACCESS BLOCKED - VIRUS WARNING" nicht mehr los
    Log-Analyse und Auswertung - 16.01.2005 (5)
  16. Casino Palazzo Pleasure Zone: wie krieg ich den Müll weg
    Log-Analyse und Auswertung - 12.08.2004 (2)
  17. HILFE!: hijack nach "United-Domains"
    Plagegeister aller Art und deren Bekämpfung - 31.03.2004 (8)

Zum Thema Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe! - Hallo! Ich bin wirklich gerade am verzweifeln… Ich bin infiziert von einem Hijacker, der meinen Windows Editor lahmgelegt hat. Sobald ich ein neues Textdokument erstellen will, oder ein Dokument mit - Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe!...
Archiv
Du betrachtest: Bekomme Hijack"Pleasure Zone" nicht weg! Hilfe! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.