Programm "XY" hat Problem festgestellt u. muss beendet werden??!!! |
||
---|---|---|
#0
| ||
28.02.2004, 17:41
Member
Beiträge: 12 |
||
|
||
28.02.2004, 18:06
Member
Beiträge: 1095 |
#2
Hi Adrian
Deaktiviere bitte mal die Systemwiederherstellung auf deinem Rechner und starte neu. http://www.vnunet.de/testticker/personal/article.asp?ArticleID=6665&Page=2&Ref=testticker Lade dir dann bitte HiJackThis herunter http://www.wintotal.de/softw/?id=2022 http://www.chip.de/downloads/c_downloads_11353576.html Starte dann deinen Rechner im "Abgesicherter Modus" und lass den Virenscanner laufen. http://www.winexperts.de/tweaks/display_topic_threads.asp?ForumID=45&TopicID=540 Starte HiJackThis Poste das Logfile von HiJackThis __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
28.02.2004, 19:18
Member
Themenstarter Beiträge: 12 |
#3
@ paff ich hab die hijackfile jetzt hier und in den dazu vorgesehenen Tread im Forum gepostet - bitte schreib mir was daran falsch ist und wie ich das beheben kann!!
C:\WINDOWS\System32\rundll32.exe D:\Benutzer\ADRIAN\Eigene Dateien\Virtual CD, v4\System\VCDTray.exe D:\Benutzer\ADRIAN\Eigene Dateien\Kazaa Lite\kazaalite.kpp C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Benutzer\ADRIAN\TEMP\Temporary Internet Files\Content.IE5\XF3FX9WE\HijackThis[1].exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/9SGLDPBiyAUPdAOKE-oO2AL/content/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Benutzer\ADRIAN\Eigene Dateien\verschiedene,unzuordbare Dokumente\Quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] D:\Benutzer\ADRIAN\Eigene Dateien\ICQ Lite\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [VCDPlayer] D:\Benutzer\ADRIAN\EIGENE~3\VIRTUA~2\System\VCDPlay.exe O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm O9 - Extra button: NetAnts (HKLM) O9 - Extra 'Tools' menuitem: &NetAnts (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VARGA.DE O17 - HKLM\Software\..\Telephony: DomainName = VARGA.DE O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 62.225.251.16 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VARGA.DE O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VARGA.DE |
|
|
||
28.02.2004, 19:53
Member
Beiträge: 1095 |
#4
Hi Adrian
Lade dir bitte CWShredder Download Seiten für CWShredder http://www.chip.de/downloads/c_downloads_11353799.html http://www.wintotal.de/softw/index.php?id=1935 http://www.computercops.biz/zx/phoenix22/cws.zip dann ausführen. Dann wenn noch vorhanden dies fixen R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx Dies kann, muß aber nicht gefixt werden O4 - HKLM\..\Run: [QuickTime Task] "D:\Benutzer\ADRIAN\Eigene Dateien\verschiedene,unzuordbare Dokumente\Quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - Global Startup: CAPIControl.lnk = ? O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe Poste danach nochmal dein logfile Viel Erfolg paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 29.02.2004 um 13:38 Uhr von paff editiert.
|
|
|
||
28.02.2004, 20:16
Member
Themenstarter Beiträge: 12 |
#5
@ paff
hier der jetztige Log - was habe ich eigentlich damit angestellt?? Logfile of HijackThis v1.97.7 Scan saved at 20:11:53, on 28.02.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe D:\Benutzer\ADRIAN\Eigene Dateien\Virtual CD, v4\System\vcdsecs.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Benutzer\ADRIAN\Eigene Dateien\Zips und Setups\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm O9 - Extra button: NetAnts (HKLM) O9 - Extra 'Tools' menuitem: &NetAnts (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VARGA.DE O17 - HKLM\Software\..\Telephony: DomainName = VARGA.DE O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 62.225.251.16 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VARGA.DE O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VARGA.DE Schreib zurück - bin suf deine Hilfe angewiesen!!!!!!!!!!!!!! |
|
|
||
28.02.2004, 20:34
Moderator
Beiträge: 7805 |
#6
Damit hast du den Coolwebsearch hijacker gekillt, der auf deinem Rechner war!
Das solltest du auch noch "fix"en: O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx Und natuerlich ist es extrem wichtig dein System via www.windowsupdate.com zu aktualisieren. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
28.02.2004, 20:58
Member
Themenstarter Beiträge: 12 |
#7
Was ist der Colwebsearch??
Was macht der?? ich würde mein System ja gerne aktualisieren, aber immer wenn ich eine heruntergeladene ~.exe Datei installieren oder ausführen will, kommt "das Programm XY hat ein Problem festgestellt und muss beendet werden" Woran liegt das?? Welche Lösungswege gibt es??? |
|
|
||
28.02.2004, 21:36
Member
Beiträge: 1122 |
||
|
||
Folgende Viren habe ich auf meinem PC entdeckt
-W32/Parite.b wurde bis auf die infizierten Dateien im System Volume
Information entfernt
-VBS/Newlove.A die infizierte ~.dll Datei wurde am 28.2.´04 entfernt
-W 95 Bumble die infizierte Datei im TEMP-Ordner wurde entfernt
Kann einer dieser Viren für die Meldung verantwortlich sein?
Wenn ja welcher?
Wie kann ich diese Viren entgültig entfernen?
Vielen Dank, ich warte auf eure Posts