Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Casinopalazzo

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.06.2004, 10:57   #1
EiziEiz
 
Hilfe! Wer kann mir Helfen

Habe auch diesen casinopalazzo Dialer auf meinem Rechner, der, wenn man seinen Rechner neu hochfährt, einen Desktop-Icon erstellt und die Seite casinopalazzo.com öffnen möchte. Nach dem Löschen des Icons und nach erneutem Hochfahren ist der Icon wieder da. Habe diverse Programme (AdAware, Spybot, ...) scannen lassen, hat aber nix gebracht.

Wer kann mir Helfen?

Hab hier noch meinen Hijackthis-Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 13:39:02, on 14.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe
C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe
C:\Programme\Browser USB MOUSE\mouse32a.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Coolspot\Dialer Control\dc.exe
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\PackethSvc.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\BENNI\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser USB MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [wintktraycontrol] F:\exe\modules\traycontrol.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O4 - HKCU\..\Run: [svch] C:\Program Files\svchost.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...894.0504398148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{75361DB4-E7FB-491A-8539-152958381BB4}: NameServer = 217.237.151.161 194.25.2.129

Alt 16.06.2004, 14:42   #2
Halo007
 
Casinopalazzo - Icon27

Casinopalazzo



habe ebenfalls diesen casino dialer drauf und bekomme ihn auch nicht weg .
das ding macht mir immer auf den desktop ein icon names DEFAULT,einfaches löschen dieser datei bringt nichts,nach ner weile ist das icon wieder da.
antivir erkennt das ich nen dialer drauf habe und löscht den auch,aber auch das hilft nichts,nach ner weile ist das icon wieder da.
werd bald wahnsinnig mit dem ding.
hier mal mein logfile von HijackThis
wäre nett wenn mir mal jemand von den experten sagen könnte was ich fixen muss damit ich ruhe vor dem ding hab.

Logfile of HijackThis v1.97.7
Scan saved at 15:42:25, on 16.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
F:\Gamers.IRC\mirc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Sygate\SPF\smc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
G:\Scannprogramme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] F:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [mfc71] C:\WINDOWS\System32\mfc71.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O13 - FTP Prefix: http://www.myexexex.com/search.php?said=pfxp&qq=
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0529dac5...dxIE601_de.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{538A36D3-EB7D-4715-B4DE-DE7BF088A4E2}: NameServer = 217.237.150.33 194.25.2.129
__________________


Alt 16.06.2004, 17:19   #3
Rene-gad
 
Casinopalazzo - Beitrag

Casinopalazzo



</font><blockquote>Zitat:</font><hr />
Habe ... diesen casinopalazzo Dialer auf meinem Rechner, der, wenn man seinen Rechner neu hochfährt, einen Desktop-Icon erstellt und die Seite casinopalazzo.com öffnen möchte. Nach dem Löschen des Icons und nach erneutem Hochfahren ist der Icon wieder da.
</font>[/QUOTE]...ist kein Wunder: Desktop-Icon ist nur ein Link, Löschen dessen ändert grundsätzlich nichts
</font><blockquote>Zitat:</font><hr />
Habe diverse Programme (AdAware, Spybot, ...) scannen lassen, hat aber nix gebracht.
</font>[/QUOTE]...versuche ganz primitiv vorzugehen: Startmenü-Systemsteuerung-Software und den Eintrag vom Dialer (falls vorhanden, das viele Dialer sich ganz "normal" installieren )auswählen - Deinstallieren.
SpyBot, Adavare -ist schon OK, noch schön wäre, Registry mit JV16 zu putzen - ist leider keine Freeware mehr, es gibt aber Trial 30-Tage Version.
</font><blockquote>Zitat:</font><hr />
C:\Programme\iTunes\iTunesHelper.exe
</font>[/QUOTE]..das kenne ich nicht, ansonsten finde ich dein HJT-Log "sauber". IMHO aber läuft bei dir zu viel Programme und Optionen deren, darauf man verzichten könnte .
__________________

Alt 16.06.2004, 18:43   #4
Lutz
 

Casinopalazzo - Beitrag

Casinopalazzo



Hallo halo,

schau Dich bitte mal in diesem Thread um.

Zusätzlich musst Du noch diesen Eintrag mit HijackThis fixen:
</font><blockquote>Zitat:</font><hr />O13 - FTP Prefix: h*tp://www.myexexex.com/search.php?said=pfxp&qq= </font>[/QUOTE]-Beitrag verschoben nach Trojaner, Viren, Würmer -
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 16.06.2004, 19:23   #5
Rene-gad
 
Casinopalazzo - Beitrag

Casinopalazzo



</font><blockquote>Zitat:</font><hr />
Zusätzlich musst Du noch diesen Eintrag mit HijackThis fixen:
Zitat:
O13 - FTP Prefix: h*tp://www.myexexex.com/search.php?said=pfxp&qq= </font>
...oops, hab mich verguckt [img]graemlins/crazy.gif[/img] .


Alt 16.06.2004, 21:07   #6
Olo
 

Casinopalazzo - Beitrag

Casinopalazzo



</font><blockquote>Zitat:</font><hr /> C:\Programme\iTunes\iTunesHelper.exe </font>[/QUOTE]bestandteil von apples itunes afaik
jedenfalls hab ich das tool und die exe kenn ich
wenn du aber kein iTunes benutzt dann solltest du das teil scannen

der thread den lutz gepostet hat sollte abhilfe schaffen
hat er jedenfalls hier http://www.trojaner-board.de/forum/u...c;f=6;t=005585
__________________
--> Casinopalazzo

Alt 16.06.2004, 21:27   #7
Lutz
 

Casinopalazzo - Beitrag

Casinopalazzo



Der CWShredder in der aktuellen Version 1.59.0 sollte mittlerweile auch in der Lage sein, diesen Hijacker zu entfernen.
Downloadlink über meiner Signatur zu finden

Such bitte auf jeden Fall noch nach folgender Datei (vermutl. unter C:\Windows\System32):
jsconsole.dll
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Antwort

Themen zu Casinopalazzo
adobe, antivirus, bho, browser, dll, drivers, einstellungen, excel, explorer, hijack, hilfe, internet, internet explorer, löschen, meinem, microsoft, neu, nvcpl.dll, object, programme, rundll, scan, shockwave, software, symantec, system, t-online, tcpip, tuneup utilities, urlsearchhook, usb, windows, windows xp



Ähnliche Themen: Casinopalazzo


  1. wininet32.exe und casinopalazzo
    Plagegeister aller Art und deren Bekämpfung - 02.07.2004 (2)
  2. ... und wieder casinopalazzo
    Plagegeister aller Art und deren Bekämpfung - 22.06.2004 (6)
  3. casinopalazzo
    Log-Analyse und Auswertung - 18.06.2004 (8)
  4. http://www.casinopalazzo.com
    Log-Analyse und Auswertung - 18.06.2004 (6)
  5. hijack logfile: casinopalazzo
    Log-Analyse und Auswertung - 16.06.2004 (1)

Zum Thema Casinopalazzo - Hilfe! Wer kann mir Helfen Habe auch diesen casinopalazzo Dialer auf meinem Rechner, der, wenn man seinen Rechner neu hochfährt, einen Desktop-Icon erstellt und die Seite casinopalazzo.com öffnen möchte. Nach - Casinopalazzo...
Archiv
Du betrachtest: Casinopalazzo auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.