Programm "XY" hat Problem festgestellt u. muss beendet werden??!!!

#0
28.02.2004, 17:41
Member

Beiträge: 12
#1 Diese Meldung kommt bei allen ~.exe Dateien die ich downloade und einigen di ich schon auf meinem Computer habe
Folgende Viren habe ich auf meinem PC entdeckt

-W32/Parite.b wurde bis auf die infizierten Dateien im System Volume
Information entfernt

-VBS/Newlove.A die infizierte ~.dll Datei wurde am 28.2.´04 entfernt

-W 95 Bumble die infizierte Datei im TEMP-Ordner wurde entfernt


Kann einer dieser Viren für die Meldung verantwortlich sein?
Wenn ja welcher?
Wie kann ich diese Viren entgültig entfernen?

Vielen Dank, ich warte auf eure Posts
Seitenanfang Seitenende
28.02.2004, 18:06
Member

Beiträge: 1095
#2 Hi Adrian

Deaktiviere bitte mal die Systemwiederherstellung auf deinem Rechner und starte neu.
http://www.vnunet.de/testticker/personal/article.asp?ArticleID=6665&Page=2&Ref=testticker

Lade dir dann bitte HiJackThis herunter
http://www.wintotal.de/softw/?id=2022
http://www.chip.de/downloads/c_downloads_11353576.html

Starte dann deinen Rechner im "Abgesicherter Modus" und lass den Virenscanner laufen.
http://www.winexperts.de/tweaks/display_topic_threads.asp?ForumID=45&TopicID=540

Starte HiJackThis
Poste das Logfile von HiJackThis
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
28.02.2004, 19:18
Member

Themenstarter

Beiträge: 12
#3 @ paff ich hab die hijackfile jetzt hier und in den dazu vorgesehenen Tread im Forum gepostet - bitte schreib mir was daran falsch ist und wie ich das beheben kann!!


C:\WINDOWS\System32\rundll32.exe
D:\Benutzer\ADRIAN\Eigene Dateien\Virtual CD, v4\System\VCDTray.exe
D:\Benutzer\ADRIAN\Eigene Dateien\Kazaa Lite\kazaalite.kpp
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Benutzer\ADRIAN\TEMP\Temporary Internet Files\Content.IE5\XF3FX9WE\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/9SGLDPBiyAUPdAOKE-oO2AL/content/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Benutzer\ADRIAN\Eigene Dateien\verschiedene,unzuordbare Dokumente\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] D:\Benutzer\ADRIAN\Eigene Dateien\ICQ Lite\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [VCDPlayer] D:\Benutzer\ADRIAN\EIGENE~3\VIRTUA~2\System\VCDPlay.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O9 - Extra button: NetAnts (HKLM)
O9 - Extra 'Tools' menuitem: &NetAnts (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VARGA.DE
O17 - HKLM\Software\..\Telephony: DomainName = VARGA.DE
O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 62.225.251.16 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VARGA.DE
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VARGA.DE
Seitenanfang Seitenende
28.02.2004, 19:53
Member

Beiträge: 1095
#4 Hi Adrian

Lade dir bitte CWShredder
Download Seiten für CWShredder
http://www.chip.de/downloads/c_downloads_11353799.html
http://www.wintotal.de/softw/index.php?id=1935
http://www.computercops.biz/zx/phoenix22/cws.zip

dann ausführen.


Dann wenn noch vorhanden dies fixen
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s

O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx

Dies kann, muß aber nicht gefixt werden
O4 - HKLM\..\Run: [QuickTime Task] "D:\Benutzer\ADRIAN\Eigene Dateien\verschiedene,unzuordbare Dokumente\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - Global Startup: CAPIControl.lnk = ?
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

Poste danach nochmal dein logfile
Viel Erfolg
paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 29.02.2004 um 13:38 Uhr von paff editiert.
Seitenanfang Seitenende
28.02.2004, 20:16
Member

Themenstarter

Beiträge: 12
#5 @ paff
hier der jetztige Log - was habe ich eigentlich damit angestellt??


Logfile of HijackThis v1.97.7
Scan saved at 20:11:53, on 28.02.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Benutzer\ADRIAN\Eigene Dateien\Virtual CD, v4\System\vcdsecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Benutzer\ADRIAN\Eigene Dateien\Zips und Setups\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O9 - Extra button: NetAnts (HKLM)
O9 - Extra 'Tools' menuitem: &NetAnts (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VARGA.DE
O17 - HKLM\Software\..\Telephony: DomainName = VARGA.DE
O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 62.225.251.16 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VARGA.DE
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VARGA.DE


Schreib zurück - bin suf deine Hilfe angewiesen!!!!!!!!!!!!!!
Seitenanfang Seitenende
28.02.2004, 20:34
Moderator

Beiträge: 7805
#6 Damit hast du den Coolwebsearch hijacker gekillt, der auf deinem Rechner war!;)
Das solltest du auch noch "fix"en:
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx

Und natuerlich ist es extrem wichtig dein System via www.windowsupdate.com zu aktualisieren.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.02.2004, 20:58
Member

Themenstarter

Beiträge: 12
#7 Was ist der Colwebsearch??
Was macht der??
ich würde mein System ja gerne aktualisieren, aber immer wenn ich eine heruntergeladene ~.exe Datei installieren oder ausführen will, kommt "das Programm XY hat ein Problem festgestellt und muss beendet werden"

Woran liegt das??
Welche Lösungswege gibt es???
Seitenanfang Seitenende
28.02.2004, 21:36
Member
Avatar Dafra

Beiträge: 1122
#8 Ich denke am besten wäre es dein System neu aufzuspielen.
MFG
DAFRA
Seitenanfang Seitenende