Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: ... und wieder casinopalazzo

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.06.2004, 22:35   #1
ross
 
... und wieder casinopalazzo - Beitrag

... und wieder casinopalazzo



Alles schon bekannt

- Ikon auf Desktop
- Webseite casinopalazzo wird automatisch aufgerufen
- ohne dass man im Intenet ist
- steht der Computer eingeschaltet findet man nach 2 Stunden x-mal die Seite von casinipalazzo.com geöffnet
- man wird zu einem Download aufgefordet "index.php"
- die Startseite wird auf easy-search.biz fixiert
- die eingestellte LAN Verbindung wird auf einen Proxyserver 127.0.01 - Port 8080 umgestellt


Logfile of HijackThis v1.97.7
Scan saved at 16:12:48, on 16.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\DJSNETCN.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\CMMPU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\WININET32.EXE
C:\PROGRAMME\DIAMOND\INCONTROL TOOLS 99\DMHKEY.EXE
C:\WINDOWS\WININET32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\NMAIN.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\MSHTA.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\SPAYBOOT\HJT.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\KGCLKA.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\winh.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O4 - Startup: InControl Desktop Manager.lnk = C:\Programme\Diamond\InControl Tools 99\DMHKEY.EXE
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...154.1250694444
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.25.2.129

Muss mich ganz viel ärgern, da ich recht hilflos dem gegenüber stehe.

Bitte um Hilfe - dankede Grüße von ross.

[ 19. Juni 2004, 13:13: Beitrag editiert von: ross ]

Alt 18.06.2004, 11:23   #2
rock
 
... und wieder casinopalazzo - Beitrag

... und wieder casinopalazzo



Diese einträge fixen! (fix checked)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\KGCLKA.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

kannst du diese sachen mal prüfen:
http://www.kaspersky.com/de/remoteviruschk.html
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\WININET32.EXE
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe

den eintrag mit F1 kenn ich nicht. (leider)

Browser schliesen und
temp.internetfiles incl.offlineinhalte löschen, Ordner TEMP leeren!! papierkorb leeren!

PC neustarten in den abgesicherten modus
anschliesend mit norton fullscan!

dann wieder melden, werd aber schon schlafen
(sorry)
hoffe es wird wer vorbeischauen können.

gruss
rock [img]smile.gif[/img]

[ 18. Juni 2004, 00:29: Beitrag editiert von: rock' ]
__________________


Alt 18.06.2004, 21:32   #3
ross
 
... und wieder casinopalazzo - Beitrag

... und wieder casinopalazzo



Hi rock - und alle

vielen Dank für Deine Hilfe.

Hab alles wie beschrieben gemacht - kein Erfolg!

Nachdem die Zeilen entsprechend gefixt wurden und die weiteren Temp... geleert wurden ist der Logfile wieder wie vorher mit all seinen Einträgen. Also wenn ich am Ende Deiner Punkte bin,ist der Anfang wieder der "Alte".

Kasparsky hat die Dateien "runwin32.exe" und "wininet32.exe" als schädlich definiert - die Dateien lassen sich aber nicht löschen. [img]graemlins/heulen.gif[/img]

Im Verzeichnis Temporary Internet File wird immer ein Unterordner "Content.IE5" erstellt. Wollte dessen Inhalt mit Kaspersky prüfen, doch in dessem Fenster ist der Unterordner gar nicht existent.

Vermutlich sind die Dateien runwin32.exe und wininet32.exe verantwortlich - aber wie löschen wenn dies nicht geht?

"dialup.exe" ein Target Dialer wird trotz Löschens immer wieder unter C:\windows\dialup.exe installiert und ist auch wahrscheinlich für das Icon auf dem Desktop verantwortlich.

Mit dem ClearProg Programm 1.4.1 Beta 1 von Sven Hoffmann werden alle "Spuren" aus einer Internetsitzung gelöscht, trotz mehrmaliger Anwendung hintereinander sind immer wieder Dateien im "Cache IE" zu löschen!

Bitte um Hilfe - Danke.

Grüße von ross
__________________

Alt 18.06.2004, 21:56   #4
Lutz
 

... und wieder casinopalazzo - Beitrag

... und wieder casinopalazzo



Hallo ross,

hast Du schon mal die neueste Version 1.59.0 vom CWShredder benutzt? Der sollte diese Variante mittlerweile entfernen können.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 19.06.2004, 00:19   #5
rock
 
... und wieder casinopalazzo - Beitrag

... und wieder casinopalazzo



hey ross,

browser schliesen.
mit rechtsklick auf dein blaues Explorersymbol am desktop klicken, dann eigenschaften, da öffnet sich ein fenster - in der mitte kannst du daten löschen licken. da öffnet sich ein weiteres fenster was dich fragt ob du die offlineinhalte auch löschen willst. da auch JA/OK klicken! denn was du da dann löscht, ist das was in den IE unterordnern Content IE5 liegt! (die ordner sind schon okey, die gehören da hin) bei der gelegenheit gleich cookis und verlauf mitlöschen!! (musst dich hier halt dann nochmals einloggen)

also mit norton im abgesichertem modus wird wirklich NICHTS gefunden???
das wäre blöd, weil die beiden dateien die kaspersky bemängelt werden wahrscheinlich backdoors sein nehm ich mal an - sofern's mit dem/n dialer/n nix zu tun haben...
und die sind aktiv, daher so nicht löschbar...
was meldete denn kaspersky überhaupt bei den beiden exen??? (wenn norton echt die beiden nicht erkennt, haben wir ein weiteres trouble...

schau mal in den taskmanager ob du da drin diese anwendungen siehst, dann beende sie.
runwin32.exe
wininet32.exe

und diesen eintrag doch fixen! das könnte der dialer sein!
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

dann dafür das tool welches dir lutz vorschlägt auch anwenden.

besten gruss
rock

edit: windows update!

[ 19. Juni 2004, 01:36: Beitrag editiert von: rock' ]


Alt 19.06.2004, 12:12   #6
ross
 
... und wieder casinopalazzo - Beitrag

... und wieder casinopalazzo



Jetzt geht nichts mehr!

Habe den CWShredder 1.59.0 laufen lassen - hat das Problem nicht behoben.

Habe dann Updates von MS abgeholt. Jetzt stürzt beim Hochfahren das System ab.

Es erscheint C:\windows\wininit.exe und danach ist Feierabend!

Habe versucht über die DOS Ebene wininit.exe zu löschen - die Datei wird gar nicht angezeigt oder sie wird erst beim hochfahren erzeugt!

Hilfe - was kann ich noch machen [img]graemlins/headbang.gif[/img]

Danke und Grüsse von ross

[ 19. Juni 2004, 18:11: Beitrag editiert von: ross ]

Alt 22.06.2004, 18:08   #7
ross
 
... und wieder casinopalazzo - Beitrag

... und wieder casinopalazzo



Alles wieder IO [img]graemlins/heilig.gif[/img]

Habe W98 darüber gefahren, Updates geholt und das Problem ist gelöst

ca. 3/4 Std. Arbeit die sich lohnt.

Also an alle Helfer - Vielen Dank.

Grüsse von ross

Antwort

Themen zu ... und wieder casinopalazzo
ad-aware, adobe, antivirus, bho, computer, desktop, download, explorer, hijack, hijackthis, hilfe, hilflos, index.php, internet, internet explorer, lan, microsoft, obfuscated, object, port, port 80, programme, registry, rundll, shockwave, software, symantec, system, windows



Ähnliche Themen: ... und wieder casinopalazzo


  1. Leider wieder mal was bzw. schon wieder eingefangen
    Plagegeister aller Art und deren Bekämpfung - 06.04.2015 (9)
  2. your phone is infected install antivirus to delete - Nachricht erscheint wieder und wieder mit Weiterleitung in den play store
    Smartphone, Tablet & Handy Security - 12.03.2015 (9)
  3. Windows 7: Avira meldet immer wieder ADWARE/Adware.Gen4 bzw. .Gen7, zudem taucht Optimizer Pro immer wieder auf
    Log-Analyse und Auswertung - 14.12.2014 (9)
  4. Pc wieder sehr langsam, Firefox stürzt immer wieder ab.
    Log-Analyse und Auswertung - 21.08.2013 (9)
  5. PC fährt immer wieder von alleine runter und wieder hoch
    Plagegeister aller Art und deren Bekämpfung - 04.07.2013 (13)
  6. Internet immer wieder langsam, dann wieder normal usw.
    Log-Analyse und Auswertung - 20.10.2010 (1)
  7. IE öffnet immer wieder werbefenster sowie geht immer wieder der ton aus
    Plagegeister aller Art und deren Bekämpfung - 15.07.2010 (2)
  8. Windows Vista startet nicht, fährt sofort wieder runter und gleich wieder hoch...
    Alles rund um Windows - 03.04.2010 (3)
  9. externe festplatte wieder unter xp wieder herstellen
    Alles rund um Windows - 15.01.2009 (3)
  10. Mal wieder CID
    Log-Analyse und Auswertung - 13.01.2008 (1)
  11. trojaner meldet sich wieder und wieder
    Plagegeister aller Art und deren Bekämpfung - 27.06.2007 (4)
  12. Imer wieder Trojan.small hin und wieder werbe pop-ups..
    Log-Analyse und Auswertung - 30.05.2006 (4)
  13. wininet32.exe und casinopalazzo
    Plagegeister aller Art und deren Bekämpfung - 02.07.2004 (2)
  14. casinopalazzo
    Log-Analyse und Auswertung - 18.06.2004 (8)
  15. http://www.casinopalazzo.com
    Log-Analyse und Auswertung - 18.06.2004 (6)
  16. Casinopalazzo
    Log-Analyse und Auswertung - 16.06.2004 (6)
  17. hijack logfile: casinopalazzo
    Log-Analyse und Auswertung - 16.06.2004 (1)

Zum Thema ... und wieder casinopalazzo - Alles schon bekannt - Ikon auf Desktop - Webseite casinopalazzo wird automatisch aufgerufen - ohne dass man im Intenet ist - steht der Computer eingeschaltet findet man nach 2 Stunden - ... und wieder casinopalazzo...
Archiv
Du betrachtest: ... und wieder casinopalazzo auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.