[Viren/Trojaner] www_quickpromotion_com startpage

[taradao]

Hallo!

Ich versuche schon seit einem Monat eine Plage von meinem Computer zu entfernen, jedoch ohne erfolg. Vielleicht kommt das auch dadurch dass ich schon mehrere Dateien manuell entfernt habe und deshalb vielleicht nicht genug daten übrig geblieben sind um CWShredder, Spybot, Avast Antivirus, RegClean usw. aufmerksam zu machen. Nur hijackthis entdeckt die Startpage als solches, die ich jedes mal manuell entfernen muss weil die Änderung nicht entgültig ist, d.h., jedes mal wenn ich den Computer neu starte ist diese Seite wieder da.

Darum habe ich mir mal die Freiheit genommen den Log von Hijackthis hier mal aufzukleben. Vieleicht kann mir hier jemand helfen. (Entschuldigt bitte mein deutsch. Ich bin brasilianer.)

Also:

Logfile of HijackThis v1.97.7
Scan saved at 15:27:55, on 18.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\Messenger Plus! 3\MsgPlus.exe
C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
C:\Arquivos de programas\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\AntiPop-up UOL\ubphost.exe
C:\Documents and Settings\Administrador\Desktop\Downloads\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.quickpromotion.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = K L A U S R Ö T H I G
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AntiPop-up UOL - {5BBFC00A-312C-4777-A5DF-DDA65C67120C} - C:\Arquivos de programas\AntiPop-up UOL\ubp.dll
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: BitmapEx (HKLM)
O9 - Extra 'Tools' menuitem: &BitmapEx (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2e529727a6ef04/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38064.623287037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4360/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = jvr.com.br
O17 - HKLM\Software\..\Telephony: DomainName = jvr.com.br
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FF97FE3-A8A2-483B-B0DE-6271871EA884}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = jvr.com.br

[JensusUT]

Original geschrieben von taradao
Hallo!
(Entschuldigt bitte mein deutsch. Ich bin brasilianer.)

Echt? Dafür ist dein Deutsch aber besser als von manch' Deutschem

Ich habe eben mal gegoogelt, und anscheinend ist das Problem momentan wirklich noch auf brasilianische Seiten beschränkt. Eine Lösung gibt es vielleicht hier: http://adelaflor.com/chs-bin/msboard...aFlor&msg=7359
Sogar in deiner Landessprache
Das Log sieht mir nicht ungewöhnlich aus... Ändere mal
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww.quickpromotion. com
in
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
Vielleicht bringts was!

Viel Glück und Grüße nach Brasilien,

Jensus

PS Erste Hilfe bei Hijackern, leider deutsch, solltest du aber verstehen

[taradao]

Hallo, hallo Jensus.
Danke für deine Antwort. Grüsse aus Brasilien! Tja, ich bin zwar brasilianer, aber meine Eltern sind deutsche und wir haben immer die deutsche sprache zuhause gepflegt. Somit kann ich zwar recht gut sprechen, aber beim Schreiben kommen zu oft mal Fehler und ich fühle mich etwas unwohl dabei. Also, ok, zum Thema:

Ja, die Adelaflor seite hatte ich auch schon gesehen, aber sie haben auch keine lösung gefunden. "By the way", in Brasilien spricht man portuguiesisch, und die Seite ist auf spanisch. Sie sind aus Cádiz - Spanien, und deswegen glaube ich das diese quickpromotion doch etwas mehr verbreitet ist als du vermutest.

Auch die Register änderung habe ich schon vorgenommen, aber jedes mal wenn die Maschine neu gestartet wird, ändert sich das Register zurück, obwohl ich auch schon... hm wie heisst denn das jetzt auf deutsch?: "although I already deactivated system restore." (Right click "My computer" > properties > check "deactivate system restore" - Auch hier können fehler sein da mein Windows auf portuguiesisch ist :-))))

Da ich schon zu viel rumgefummelt habe, kann ich mir vorstellen dass ich vielleicht einige Dateien ausradiert habe (heisst das so?) die vielleicht wichtig waren um einen Trojaner oder einen Virus zu identifizieren.

Ich werde auf jeden fall weiter suchen. Falls einer von euch etwas findet, sagt mir bitte bescheit. Auch ich tue es gegebenenfalls so.

Grüsse!!!!!

[Franz]

Hallo,

system restore = Systemwiederherstellung

Für dein Problem habe ich auf diesem Forum (engl.) einmal ein Post abgesetzt.
Zwar konnte ein User den Hijacker entfernen, erklärt aber leider nicht wie.
Dafür gibt es eine recht ausführliche Anleitung, wie der Redirector von quickpromotion zu entfernen ist.

Zusätzlich würde ich dir empfehlen, zu Opera oder Firefox zu wechseln.
Beide Browser sind relativ resistent gegen Hijacker (noch).

Falls es auf dem obg. Board Neuigkeiten gibt, poste ich diese natürlich.

Grüße
arcanoa

[taradao]

Hallo arcanoa, hallo Jensus und alle anderen.

Ich habe vor kurzem versucht hier nochmal zu antworten, aber ich habe es aus irgend einem Grund nicht geschaft. Heute habe ich erst gelernt warum Ich wollte mich eigentlich für eure Unterstützung bedanken und euch allen versprechen dass ich die Resultate veröffentliche, auch falls ich die Lösung irgendwo anders finden sollte.

Grüsse aus Brasilien

[taradao]

Hallo.

Ich habe nun solange rumgefummelt und dateien entfernt, dass ich jetz wirklich nicht mehr genau weiss was ich getan habe. Aber die sache ist entfernt. Also, wie immer habe ich im "safety mode" CWShredder, Spybot und Ad-Aware eingesetzt. Noch im safety mode habe ich die laufenden Prozesse gelogt und das nachher mit dem normalen Zustand verglichen. Die letzte dateien die ich entfernt habe hiessen systemp.exe und systemp.dll.Systemp.exe hatte ich schonmal entfernt, aber die datei war wieder da, und gleichzeitig ihre .dll, was ich vorher nicht gemacht hatte. Und zuletzt habe ich nochmal regclean laufen lassen. Als ich wieder um normalen Zustand gestarted have, kam diese startpage quickpromotion nicht mehr. Ich hoffe das hilft auch bei den Nächsten die hier hilfe suchen.

Ich stelle mich auch zur Verfügung um weiter zu helfen, mit dem was ich aus eigener Erfahrung gelernt habe.

Grü

[Franz]

Hallo taradao,

Schön, daß es doch noch geklappt hat.
Mein Post in obg. Forum blieb bis heute leider unbeantwortet.
Jensus' Post ebenso.

Irgendwo hatte ich in einem anderen Securityboard gelesen,
daß quickpromotion auch mit .dll - Dateien arbeitet, es wurde allerdings nicht gesagt, welche.
Aber zumindest würde das die systemp.dll erklären.

Um dich vor weiteren Schäden und Herzattacken zu bewahren,
würde ich dir gerne nochmal einen Browserwechsel vorschlagen.
Jensus und ich empfehlen immer wieder sehr gerne Opera und Firefox, nein,
Firefox und Opera, oder doch andersherum?

Grüße
arcanoa

[JensusUT]

Ja, auch von mir einen Herzlichen
Wenn ich "meinen" Beitrag bei Rokop suche, muss ich auf Seite 6(!) nachsehen, innerhalb von 10 Tagen!!
Dieses Hijacking ist wirklich eine Seuche, mindestens genau so lästig wie ein Virus.

Im Übrigen: O, dann F

[Peter]

Hello,

sorry - but I will write in English.

My friend also has a problem with QuickPromotion.com Hijack.

Because I can't find any solution on this (on web or adware detection software)
I start searching and found this:

Solving it is very simple:
I found two versions of this: SYSTEMS.DLL or SYSTEMSP.DLL + SYSSP.DAT
It is registered in unusual startup key:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad