Bekomme Hijack

Hallo!
Ich bin wirklich gerade am verzweifeln?
Ich bin infiziert von einem Hijacker, der meinen Windows Editor lahmgelegt hat.
Sobald ich ein neues Textdokument erstellen will, oder ein Dokument mit dem Editor öffne, erscheint ein Icon ?Pleasure Zone? auf meinem Desktop und der IE will die Seite http://www.casinopalazzo.com öffnen. Auch natürlich bei einem Doppelklick auf ?Pleasure Zone? geschieht dies.
Ich habe mich nun ziemlich lange in diversen Foren herumgetrieben und alle Ratschläge befolgt, die ich dort zu diesem Thema gefunden habe. D. h. ich habe auch schon folgende Programme drüberlaufen lassen:
AdAware (full system scan);
SpyBot S&D;
CWShredder;
SpHjfix (von rokop-security)
HijackThis (hier: http://www.hijackthis.de/ automatisch auswerten lassen und ?böse? Einträge gefixt); (LogFile [danach] unten!)
PrcView (2) ausgeführt. (Logfile auch unten!)

All dies hat leider nichts gebracht ? das Problem besteht weiterhin?
Ich wäre euch wirklich unglaublich dankbar, wenn ihr mir helfen könntet! Ich bin am Ende...!!

Mein System:
Betriebssystem: Microsoft Windows XP Professional Service Pack 1
Internet Explorer: 6.0.2800.1106 (IE 6.0 SP1)
CPU Typ: AMD Athlon XP, 1466 MHz (5.5 x 267) 1700+
Motherboard Name: Asus A7N8X Deluxe (5 PCI, 1 AGP Pro, 3 DIMM, Audio, Dual LAN, IEEE-1394)
Motherboard Chipsatz: nVIDIA nForce2 SPP
Arbeitsspeicher: 768 MB (DDR SDRAM)
BIOS Typ: Award (12/05/03)
Grafikkarte: NVIDIA GeForce4 MX 440 with AGP8X (64 MB)

Mein HijackThis LogFile:

Logfile of HijackThis v1.98.0
Scan saved at 12:23:13, on 20.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Executive Software\DiskeeperWorkstation\DKService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\Downloads\Hijacking\hijackthis2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Surfin´ Schloofer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/016ee6e37a5472968305/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{197CCDE4-47B1-4181-8222-1B47A15D5E05}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{38DF7A43-2FC2-4DCB-B249-B1F7EC8A94C0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{197CCDE4-47B1-4181-8222-1B47A15D5E05}: NameServer = 217.237.150.33 194.25.2.129



PrcView Logfiles (runme.bat 2 und return)

Module information for 'iexplore.exe'
MODULE BASE SIZE PATH
iexplore.exe 400000 102400 C:\Programme\Internet Explorer\iexplore.exe 6.00.2800.1106 (xpsp1.020828-1920) Internet Explorer
ntdll.dll 77f40000 712704 C:\WINDOWS\System32\ntdll.dll 5.1.2600.1217 (xpsp2.030429-2131) DLL für NT-Layer
kernel32.dll 77e40000 1015808 C:\WINDOWS\system32\kernel32.dll 5.1.2600.1106 (xpsp1.020828-1920) Client-DLL für Windows NT-Basis-API
msvcrt.dll 77be0000 339968 C:\WINDOWS\system32\msvcrt.dll 7.0.2600.1106 (xpsp1.020828-1920) Windows NT CRT DLL
USER32.dll 77d10000 573440 C:\WINDOWS\system32\USER32.dll 5.1.2600.1255 (xpsp2.030804-1745) Client-DLL für Windows XP USER-API
GDI32.dll 7e180000 266240 C:\WINDOWS\system32\GDI32.dll 5.1.2600.1346 (xpsp2.040109-1800) GDI Client DLL
ADVAPI32.dll 77da0000 638976 C:\WINDOWS\system32\ADVAPI32.dll 5.1.2600.1106 (xpsp1.020828-1920) Erweitertes Windows 32 Base-API
RPCRT4.dll 78000000 548864 C:\WINDOWS\system32\RPCRT4.dll 5.1.2600.1254 (xpsp2.030801-1834) Remote Procedure Call Runtime
SHLWAPI.dll 70a70000 413696 C:\WINDOWS\system32\SHLWAPI.dll 6.00.2800.1400 Shell Light-weight Utility Library
SHDOCVW.dll 71700000 1347584 C:\WINDOWS\System32\SHDOCVW.dll 6.00.2800.1400 Bibliothek für Shell-Dokumente und -Steuerelemente
comctl32.dll 78090000 933888 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll 6.0 (xpsp1.020828-1920) User Experience Controls Library
SHELL32.dll 773a0000 8372224 C:\WINDOWS\system32\SHELL32.dll 6.00.2800.1233 (xpsp2.030604-1804) Allgemeine Windows-Shell-DLL
comctl32.dll 77310000 569344 C:\WINDOWS\system32\comctl32.dll 5.82 (xpsp1.020828-1920) Common Controls Library
ole32.dll 7ccc0000 1183744 C:\WINDOWS\system32\ole32.dll 5.1.2600.1263 (xpsp2.030819-2129) Microsoft OLE für Windows
uxtheme.dll 5b0f0000 212992 C:\WINDOWS\System32\uxtheme.dll 6.00.2800.1106 (xpsp1.020828-1920) Microsoft UxTheme-Bibliothek
MSCTF.dll 746a0000 278528 C:\WINDOWS\System32\MSCTF.dll 5.1.2600.1106 (xpsp1.020828-1920) MSCTF-Server-DLL
LgWndHk.dll 10000000 28672 C:\Programme\Logitech\MouseWare\System\LgWndHk.dll 9.76.046 Logitech Call Window Hook Library
BROWSEUI.dll 71500000 1036288 C:\WINDOWS\System32\BROWSEUI.dll 6.00.2800.1400 Shell Browser UI-Bibliothek
browselc.dll 723c0000 77824 C:\WINDOWS\System32\browselc.dll 6.00.2800.1106 (xpsp1.020828-1920) Shell Browser UI-Bbibliothek
appHelp.dll 75ee0000 126976 C:\WINDOWS\system32\appHelp.dll 5.1.2600.1106 (xpsp1.020828-1920) Application Compatibility Client Library
CLBCATQ.DLL 76f90000 491520 C:\WINDOWS\System32\CLBCATQ.DLL 2001.12.4414.42
OLEAUT32.dll 770f0000 569344 C:\WINDOWS\system32\OLEAUT32.dll 3.

 

Hallo nochmal!
Habe die Lösung eben in einem Forum gefunden (bei mir hats so funktioniert)

Lexi schrieb:

Es handelt sich wohl um einen neuen Trojaner, der sich QAZ nennt. TROJ_QAZ erstellt nach dem öffnen einer Infizierten Datei eine Notepad.exe und und benennt die originale Notepad.exe in note.com um. (bei mir ine notepad.exe.bat). Hier eine Beschreibung der Trojaners mit Aleitung zum Beheben des Fehlers:

What is QAZ Trojan Program?
This new backdoor Trojan allows hackers to access and control an infected system. TROJ_QAZ was initially distributed as "Notepad.exe" but might also appear with different filenames. Once an infected file is executed, TROJ_QAZ modifies the Windows registry so that it becomes active every time Windows is started. TROJ_QAZ also renames the original "notepad.exe" file to "note.com" and then copies itself as "notepad.exe" to the Windows folder. This way, the Trojan is also launched every time a user runs Notepad. TROJ_QAZ also attempts to spread itself to other shared drives on local networks. This Trojan does not mass email itself out to lists in the users address book however.

How to Clean/Delete the QAZ trojan?

The registry needs to edited to delete this Trojan

Click START, RUN
Type REGEDIT and hit ENTER key
In the left panel, click the "+" to the left of the following:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
In the right panel, search for any of the registry key that contains the data value of startIE=XXXX\Notepad.exe.
In the right window, highlight the registry key that loads the file and press the DELETE key. Answer YES to delete the entry.
Exit the registry.
Click START,SHUTDOWN. Choose "Restart" and click OK.
Use the Find Tool under the Start Menu to find and rename Note.com to Notepad.exe.

Werde das jetzt mal probieren und poste dann ob es geklappt hat.

Später:

Also, Problem erkannt, Problem gebannt

Nachdem ich in der Registry keinerlei dieser Einträge gefunden habe, habe ich die notepad exe gelöscht und die notepad.exe.bak zu notepad exe umbenannt.

Textdateien lassen sich jetzt auch nach einem Neustart wieder ganz normal öffnen und ich hoffe, dass das auch so bleibt. Sollte sich wider Erwarten wieder etwas ändern, poste ich das hier.

Hier auch noch einmal die Beschreibung des Wurms:

home.arcor.de/sigurdpistor/viren/info/w32-qaz-worm.html

Nochml die Abweichung bei mir:
Umbenennung erfolgte nicht in note.com sondern in notepad.exe.bak.
Ich habe keinen Registry-Eintrag gefunden.
Die Dateigröße war identisch mit der von der originalen notepad.exe.

Ich hoffe, ich habe mit diesem Posting wenigstens auch anderen geholfen..!

Danke nochmal für die evtl. Mühe!

Tom

 

@ Belgarion

Allen Respekt, sehr schön das du dein Problem gelöst hast und hier gleich ne Lösung postest.:hoch:

 

Full Ack.
Leider gint es noch lange nicht genug von dieser Art User, die in der Lage sind, selbst anzupacken!

Also: Dickes Lob!