qqccbgao.dll mit Trojan StartPage entfernen

#1 Hi @ all,

Ich habe über die Suchfunktion schon Themen zum Trojaner gefunden, jedoch noch keines der ein ähnliches Problem hat.

Seit kurzer Zeit meldet Norton AntiVirus einen Trojaner in der Datei c:\Windows\System32\qqccbgao.dll.
Diese Datei wird von irgendeinem Programm benutzt und kann somit in Windows selbst sowie im abgesicherten Modus nicht verändert werden.

Soll heißen, Norton findet die Datei, kann sie aber nicht reparieren bzw löschen. Wenn ich einen Full scan mache passiert logischerweise das selbe.

Nun die Frage, wie bekomme ich die Datei wieder clean ohne größere Systemwiederherstellungen vornehmen zu müssen?

Ich habe zum scannen auch schon viele andere Programme durchlaufen lassen die aber die Datei gar nicht als infiziert erkennen.
Auswahl der Programme war: AntiVir; Stinger; Ants2.1; SpyBot


Als weitere Information noch ein Hijackthis Log file :

Logfile of HijackThis v1.98.2
Scan saved at 01:51:27, on 01.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\BeClean\BeCleanA.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\Creative\SBLive2k\Launcher\CTLauncher.exe
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\kdx\KHost.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Norton Personal Firewall\ATRACK.EXE
D:\programme\steam\steam.exe
C:\Programme\Creative\SBLive2k\Launcher\TaskGuide\updtray.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
E:\Download\hijackthis_198\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BeClean Agent] C:\Programme\BeClean\BeCleanA.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Creative Launcher] C:\Programme\Creative\SBLive2k\Launcher\CTLauncher.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - http://ccon.futuremark.com/global/msc34.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D50DE94-B860-4E36-AE2E-4C5E2BF87776}: NameServer = 192.168.0.1


Nun bitte um (schnelle) Hilfe

#2 Hallo @waxweazle

Fixe mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

neustarten

#.FindnFix:
http://www10.brinkster.com/expl0iter/freeatlast/FNF/
1. Entpacken
2. !LOG!.BAT anklicken
3. Log(log.txt) abkopieren und posten
(poste aber keine Admin-Angaben vom PC)

____________________________________________________

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus)

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

#Start<Ausfuehren<cmd (reinkopieren)
regsvr32 /u c:\system32\qqccbgao.dll
<enter<

Start<Ausfuehren<cmd (reinkopieren)
attrib -h %systemroot%\system32\qqccbgao.dll & ren %systemroot%\system32\qqccbgao.dll Badfile.bad
<enter<

< PC neustarten (in den abgesicherten Modus gehen)

<die "qqccbgao.dll" im abgesicherten Modus umbenennen in "qqccbgao.dl"
und loeschen.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 so hier der log file vom FindnFix:


Fri 01 Oct 04 11:15:32

»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»

*System:
Microsoft Windows XP Professional 5.1 Service Pack 1 (Build 2600)
*IE version:
6.0.2800.1106 SP1-Q330994-Q823802-Q824145-Q824463-Q826940-Q827057-Q831167-Q832894



MS-DOS Version 5.00.500

*command.com test passed!

__________________________________
!!*Creating backups...!!

The operation completed successfully
11:15:32,43 01.10.2004
__________________________________

*Local time:
Freitag, 1. Oktober 2004 (01.10.2004)
11:15, Westeuropäische Sommerzeit
*Uptime:
11:15:33 up 0 days, 0:03:15

*Path:
C:\FINDnFIX
----------------------------------------------------
»»Member of...: ("ADMIN" logon + group match required!)





!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!




Running in WORKSTATION MODE.

SystemDrive is C:
SystemRoot is C:\WINDOWS




»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder

______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________

......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

»»»»» (*1*) »»»»» .........
»»Read access error(s)...

C:\WINDOWS\SYSTEM32\QQCCBGAO.DLL +++ File read error
\\?\C:\WINDOWS\System32\QQCCBGAO.DLL +++ File read error

»»»»» (*2*) »»»»»........
QQCCBGAO.DLL Can't Open!

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»
¯ Access denied ® ..................... QQCCBGAO.DLL .....68096 17.09.2004

»»»»»(*6*)»»»»»
fgrep: can't open input C:\WINDOWS\SYSTEM32\QQCCBGAO.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL


____________________________________________________________________________
*By size and date...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»


BHO search and other files...

fgrep: can't open input C:\WINDOWS\SYSTEM32\QQCCBGAO.DLL


No matches found.

No matches found.

--*sp.html in temp folder was NOT FOUND!--

*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)

--(*text/html Subkey was NOT FOUND!)--

REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)

--(*text/plain Subkey was NOT FOUND!)--

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!

Value Matches
________________________________

»»Comparing *saved* key with *original*...

REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)

Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).

No differences found.

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs =
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710

»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read VORDEFINIERT\Benutzer
(IO) ALLOW Read VORDEFINIERT\Benutzer
(NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access VORDEFINIERT\Administratoren
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Read VORDEFINIERT\Hauptbenutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM



»»Performing string scan....
00001150: ?
00001190: vk f AppInit_
000011D0LLs G vk UDeviceNotSelectedTimeout
00001210: 1 5 _ 9 0 x, vk ' zGDIProce
00001250:ssHandleQuota" vk Spooler2 y e s h
00001290: 0 ` vk =pswapdisk vk
000012D0: R TransmissionRetryTimeout 0 `
00001310: vk ' USERProcessHandleQuota
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:

---------- WIN.TXT
fùAppInit_DLLsÖ�æG
--------------
--------------
$011C8: AppInit_DLLs
$011F7: UDeviceNotSelectedTimeout
$01247: zGDIProcessHandleQuota
$012E0: TransmissionRetryTimeout
$01330: USERProcessHandleQuota
--------------
--------------
No strings found.

--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

.............
A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : ""
0000 00 00 | ..
-----------------------

»»»»»»Backups list...»»»»»»
11:16:49 up 0 days, 0:04:30
-----------------------
Fri 01 Oct 04 11:16:49


C:\FINDNFIX\
keyback.hiv Fri 1 Oct 2004 11:15:34 A.... 8.192 8,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 8.192 bytes 8,00 K

C:\FINDNFIX\KEYS1\
winkey.reg Fri 1 Oct 2004 11:15:34 A.... 287 0,28 K

1 item found: 1 file, 0 directories.
Total of file sizes: 287 bytes 0,28 K

*Temp backups...

"C:\Dokumente und Einstellungen\RTC\Lokale Einstellungen\Temp\Backs2\"
keyback2.hi_ 1 Oct 2004 8192 "keyback2.hi_"
winkey2.re_ 1 Oct 2004 287 "winkey2.re_"

2 items found: 2 files, 0 directories.
Total of file sizes: 8.479 bytes 8,28 K
-D---- JUNKXXX 00000000 11:15.34 01/10/2004
A----- STARTIT .BAT 00000060 11:15.34 01/10/2004

________________________________________________________________________________
***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)'
AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS!
MINIMAL REQUIREMENTS INCLUDE:
_________XP HOME/PRO; SP1; IE6/SP1
_________2K/SP4; IE6/SP1
________________________________________________________________________________
»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»
-----END------
Fri 01 Oct 04 11:16:50



So kleine Zusammenfassung der Ereignisse:

Fixe mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

neustarten

erledigt

#.FindnFix:
logfile siehe oben

# AboutBuster & #CWShredder 1.59
Scans ergaben keine Funde

#Start<Ausfuehren<cmd (reinkopieren)
regsvr32 /u c:\windows\system32\qqccbgao.dll
<enter<

Start<Ausfuehren<cmd (reinkopieren)
attrib -h %systemroot%\system32\qqccbgao.dll & ren %systemroot%\system32\qqccbgao.dll Badfile.bad
<enter<
beidesmal wurde mir der zugriff verweigert

<die "qqccbgao.dll" im abgesicherten Modus umbenennen in "qqccbgao.dl"
und loeschen.
ich kann die Datei zwar umbenennen, jedoch erscheint bei jedem umbenennen wieder eine neue qqccbgao.dll Datei

#4 Hallo @waxweazle

Ja, es ist wirklich die C:\WINDOWS\SYSTEM32\QQCCBGAO.DLL
Arbeite nun die anderen Punkte ab

#Start<Ausfuehren<cmd (reinkopieren)
regsvr32 /u c:\system32\qqccbgao.dll
<enter<

Start<Ausfuehren<cmd (reinkopieren)
attrib -h %systemroot%\system32\qqccbgao.dll & ren %systemroot%\system32\qqccbgao.dll Badfile.bad
<enter<

< PC neustarten (in den abgesicherten Modus gehen)

<die "qqccbgao.dll" im abgesicherten Modus umbenennen in "qqccbgao.dl"
und loeschen.
________________________________________________________________

Dann berichte.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 siehe ende letzter post

im cmd fenster wird mir der zugriff verweigert
und beim umbenennen im abgesicherten Modus entsteht jedesmal eine neue "qqccbgao.dll" Datei

#6 Versuche es bitte damit und schaue,ob das den Virus beseitigen kann. Wenn nicht, schicke bitte die qqccbgao.dll (oder die umbenannte an virus@protecus.de
__________
MfG Ralf
SEO-Spam Hunter

#7 nein das hat auch nich geklappt... habe dir eine mail geschickt

#8 Hallo @waxweazle

Entschuldige bitte, aber ich hatte deinen Thread nicht bis zu Ende gelesen...
Versuche folgendes:

#Gehe mal bitte in die Registry
Start<Ausfuehren<regedit:

--««navegiere zu folgendem Schluessel:
#[HKEY_LOCAL_MACHINE/Software/Classes/CLSIDClick
Edit
Find--«««Find what" box
dort muesste nun die <qqccbgao.dll< des Backdoors eingegeben werden

nun musste die <qqccbgao.dll < unter folgenden Schlussel erscheinen:

#HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{<zufaellige clsid>}\InProcServer32

Jetzt, wo du in der Registry die "clsid" , die zu <qqccbgao.dll< gehoert kennst, kannst du alle Eintraege suchen und loeschen

zum Beispiel:

#HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{<zufaellige clsid>}

#HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion
\Explorer/Browser Helper Objects/{<zufaellige clsid>}

#HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
Explorer/ShellIconOverlayIdentifiers/qqccbgao

.....
...
..
.

schliesse die Registry und starte den PC neu.

Dann versuche noch einmal die dll umzubenennen und zu loeschen (im abges.Modus)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#9 also wenn ich in der Registry nach der qqccbgao.dll Datei suche findert regedit Einträge in folgenden Schlüsseln:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\pnpsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\pnpsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pnpsvc\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\pnpsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pnpsvc\Parameters

HKEY_USERS\S-1-5-21-436374069-823518204-682003330-1003\Software\Microsoft\SearchAssistant\ACMru\5603

Wenn ich in der Suchmaske nur Schlüssel anklicke findet er keinen Eintrag zu der Datei.

Also wie nun weiter ???

PS: schon mal vielen Dank für die Mühe die Ihr euch macht !!!

#10 Lade :Reglite
http://www.resplendence.com/reglite

kopiere in die:
address bar:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pnpsvc\Parameters\\ServiceDll

Double Click ServiceDll on the Right Hand side section
In the Value field---ist es die "qqccbgao.dll" (?)

_______________________________________________________________________________________

1.Variante:
Versuch mal den Dienst (Systemsteuerung/Verwaltung/Dienste)
Oder Start ausführen/services.msc
pnpsvc zu finden
Stellt dann mal auf deaktiviert und starte den Rechner neu.
Schau ob der Dienst gestartet wurde. Wenn nicht ist alles OK dann sollest du die DLL löschen können

#loesche auchnpsvc.inf (pnpsvc.inf)

Variante2:
Leider habe ich die weiteren Anweisungen nur in Englisch:

Download and save to Desktop pnpfix.zip
http://www.mytechsupport.ca/support/topic.asp?TOPIC_ID=5231
(lade diese pnpfix.zip direkt von der Site)
Extract the contents to desktop, but DON'T run in yet

Open Hijackthis>>>Config>>>Misc Tools>>>Delete File on Reboot
Copy and Paste
c:\windows\system32\qqccbgao.dll
into the file name field and press the open button

RESTART your computer into Safe Mode

When you restart, ensure that qqccbgao.dll no longer exists
If it's been removed

Double click on pnpfix.reg, when asked to merge say yes

Open RegLite (oder direkt:Start<Ausfuehren<cmd < regedt32)

Copy and paste each of the bolded lines into the Address field

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PNPSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PNPSVC

At each location delete the highlighted LEGACY_PNPSVC. Do not delete any other entries

If you have trouble deleting an entry
Right-click the key and select Properties, click Take Ownership then click Permissions and select Full Control against Everyone. Apply and OK your way out, then right-click the key again and try and delete it.

Exit out of Registrar lite and Restart back in Normal mode

mfg
Sabina

http://www.mytechsupport.ca/support/topic.asp?TOPIC_ID=5231
http://board.protecus.de/t11469-3.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#11 zwar gingen die key einträge nicht zu löschen jedoch ist die Datei weg und NAV nervt nicht mehr rum...

vielen dank für die Hilfe...

ich denke das einzig wichtige war nur, das Hijackthis die Datei beim starten löscht...

grüße