Programm "XY" hat Problem festgestellt u. muss beendet werden??!!!

#1 Diese Meldung kommt bei allen ~.exe Dateien die ich downloade und einigen di ich schon auf meinem Computer habe
Folgende Viren habe ich auf meinem PC entdeckt

-W32/Parite.b wurde bis auf die infizierten Dateien im System Volume
Information entfernt

-VBS/Newlove.A die infizierte ~.dll Datei wurde am 28.2.´04 entfernt

-W 95 Bumble die infizierte Datei im TEMP-Ordner wurde entfernt


Kann einer dieser Viren für die Meldung verantwortlich sein?
Wenn ja welcher?
Wie kann ich diese Viren entgültig entfernen?

Vielen Dank, ich warte auf eure Posts

#2 Hi Adrian

Deaktiviere bitte mal die Systemwiederherstellung auf deinem Rechner und starte neu.
http://www.vnunet.de/testticker/personal/article.asp?ArticleID=6665&Page=2&Ref=testticker

Lade dir dann bitte HiJackThis herunter
http://www.wintotal.de/softw/?id=2022
http://www.chip.de/downloads/c_downloads_11353576.html

Starte dann deinen Rechner im "Abgesicherter Modus" und lass den Virenscanner laufen.
http://www.winexperts.de/tweaks/display_topic_threads.asp?ForumID=45&TopicID=540

Starte HiJackThis
Poste das Logfile von HiJackThis
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 @ paff ich hab die hijackfile jetzt hier und in den dazu vorgesehenen Tread im Forum gepostet - bitte schreib mir was daran falsch ist und wie ich das beheben kann!!


C:\WINDOWS\System32\rundll32.exe
D:\Benutzer\ADRIAN\Eigene Dateien\Virtual CD, v4\System\VCDTray.exe
D:\Benutzer\ADRIAN\Eigene Dateien\Kazaa Lite\kazaalite.kpp
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Benutzer\ADRIAN\TEMP\Temporary Internet Files\Content.IE5\XF3FX9WE\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/9SGLDPBiyAUPdAOKE-oO2AL/content/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Benutzer\ADRIAN\Eigene Dateien\verschiedene,unzuordbare Dokumente\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] D:\Benutzer\ADRIAN\Eigene Dateien\ICQ Lite\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [VCDPlayer] D:\Benutzer\ADRIAN\EIGENE~3\VIRTUA~2\System\VCDPlay.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O9 - Extra button: NetAnts (HKLM)
O9 - Extra 'Tools' menuitem: &NetAnts (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VARGA.DE
O17 - HKLM\Software\..\Telephony: DomainName = VARGA.DE
O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 62.225.251.16 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VARGA.DE
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VARGA.DE

#4 Hi Adrian

Lade dir bitte CWShredder
Download Seiten für CWShredder
http://www.chip.de/downloads/c_downloads_11353799.html
http://www.wintotal.de/softw/index.php?id=1935
http://www.computercops.biz/zx/phoenix22/cws.zip

dann ausführen.


Dann wenn noch vorhanden dies fixen
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s

O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx

Dies kann, muß aber nicht gefixt werden
O4 - HKLM\..\Run: [QuickTime Task] "D:\Benutzer\ADRIAN\Eigene Dateien\verschiedene,unzuordbare Dokumente\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - Global Startup: CAPIControl.lnk = ?
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

Poste danach nochmal dein logfile
Viel Erfolg
paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#5 @ paff
hier der jetztige Log - was habe ich eigentlich damit angestellt??


Logfile of HijackThis v1.97.7
Scan saved at 20:11:53, on 28.02.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Benutzer\ADRIAN\Eigene Dateien\Virtual CD, v4\System\vcdsecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Benutzer\ADRIAN\Eigene Dateien\Zips und Setups\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O9 - Extra button: NetAnts (HKLM)
O9 - Extra 'Tools' menuitem: &NetAnts (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VARGA.DE
O17 - HKLM\Software\..\Telephony: DomainName = VARGA.DE
O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 62.225.251.16 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VARGA.DE
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VARGA.DE


Schreib zurück - bin suf deine Hilfe angewiesen!!!!!!!!!!!!!!

#6 Damit hast du den Coolwebsearch hijacker gekillt, der auf deinem Rechner war!
Das solltest du auch noch "fix"en:
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx

Und natuerlich ist es extrem wichtig dein System via www.windowsupdate.com zu aktualisieren.
__________
MfG Ralf
SEO-Spam Hunter

#7 Was ist der Colwebsearch??
Was macht der??
ich würde mein System ja gerne aktualisieren, aber immer wenn ich eine heruntergeladene ~.exe Datei installieren oder ausführen will, kommt "das Programm XY hat ein Problem festgestellt und muss beendet werden"

Woran liegt das??
Welche Lösungswege gibt es???

#8 Ich denke am besten wäre es dein System neu aufzuspielen.
MFG
DAFRA