Kann keine .exe Dateien mehr öffnen

Dieses Thema im Forum "Windows XP / Server 2003/2008 / Vista" wurde erstellt von Blackmunk, 14. Juli 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Blackmunk

    Blackmunk ROM

    Registriert seit:
    23. Februar 2004
    Beiträge:
    4
    Hallo,

    ich habe ein sehr großes Problem mit meinem PC bzw. mit XP.
    Jedesmal wenn ich eine .exe Datei öffnen will, kommt die Meldung "Das Programm konnte nicht gefunden werden. Stellen sie sicher, dass sie den Namen richtig eingegeben haben... usw."
    Nun hatte ich den Virus "Backdoor.Mosuck" auf dem PC. Den hab ich manuell, mit hilfe der anleitung von symantec.com, entfernt. Das Problem trat direkt nach dem Entfernen auf, also muss es irgendwie damit zusammenhängen. Hier die Sachen die ich gelöscht habe:

    1.In Windows > System32 habe ich den Ordner "Oo32" gelöscht (der laut norton komplett befallen war)
    2. In Windows > Prefetch die Datei SMSSSRV.EXE (ein prozess, der bisher nie gestartet wurde -> stammte vom Virus)
    3. In der Registry, die Einträge des Viruses (nur die!) in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
    und HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce

    Das war auch alles...

    Jetzt habe ich es über ein Hintertürchen geschafft, wichtige Programme doch starten zu können (z.B. T-Online oder Internet Explorer). Und zwar nehme ich eine Videodatei, gehe auf "Öffnen Mit", und wähle dort das Programm aus, was ich öffnen will (z.B. T-Online). UND SIEHE DA: DAS PROGRAMM ÖFFNET SICH OHNE PROBLEME
    Leider funktioniert das nicht bei allem, da ich immer den genauen Pfad der Anwendung benötige (z.B. um die "Anzeige-Einstellungen" zu öffnen, wenn da jemand den Pfad von kennt, bitte hier reinposten, das selbe für die regedit, die man über ausführen auch net mehr öffnen kann).

    Ich habe bereits versucht:

    -Systemwiederherstellung
    -im Abgesicherten Modus starten
    -Virenscan mit The Cleaner

    Was kann ich noch machen? Ich möchte unbedingt eine Formatierung oder Windowsneuinstallation umgehen, sofern es irgendwie möglich ist.
    Danke im voraus an alle,
    beste Grüße,
    Blackmunk
     
  2. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Bist du dir da ganz sicher, das du diesen Backdoor.Mosuck restlos entfernt hast, ich denke nicht.
    Info:
    http://securityresponse.symantec.com/avcenter/venc/data/backdoor.mosuck.html
    http://www.pctip.ch/helpdesk/kummerkasten/archiv/viren/27238.asp

    Du weißt hoffentlich, das diese Trojaner mit Backdoor Funktionen deine Daten und Passwörter ausschnüffeln bzw. Daten manipulieren oder du dein System als Virenschleuder zur Verfüngung stellst. Desweiteren konnte jederzeit weitere Malware nachgeladen werden, ohne das du (oder dein Virenscanner) es bemerkt hast.
    D.h. alle deine Daten, Dateien und Paswörter sind als bekannt anzusehen und somit nicht mehr vertrauenswürdig.
    Info:
    http://oschad.de/wiki/index.php/Kompromittierung
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

    Daher meine Empfehlung:
    Setzte dein System neu auf!

    Arbeite danach folgende Punkte ab:
    1. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
    2. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
    3. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
    4. Deine Passwörter ändern
    5. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
    oder Browserwechsel wie z.B. Mozilla oder Firefox
    6. Image deiner Systempartition erstellen
    7. Surfverhalten überdenken

    Ps.
    Aus Interesse könntest du ein Log-File mit HiJackThis erstellen und hier rein posten.



     
  3. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Geht das denn, wenn er keine exe-Dateien mehr öffnen kann?

    Doch höchstens nur, wenn er HijackThis.exe in HijackThis.com umbenennt, oder?

    Gruß
    Nevok
     
  4. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ Nevok

    Gut das du drübergeschaut hast, hätt ich glatt vergessen:hoch:
    In den meisten Fällen funktioniert das auch mit der HiJackThis.com, aber seit Rbot Welle könnte auch dieses vom Trojaner gesperrt werden.
    Siehe http://www.pcwelt.de/index.cfm?pid=18&sid=44183&fa=120&bid=241&tid=957537

    @ Blackmunk

    Wenn du das Log posten solltest, bitte den Tipp im rot markierten Kasten ausführen.
     
  5. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Dafür hast du ja mich! :D :D
     
  6. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Na, Gott sei Dank:bet::bet:
     
  7. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    :atomrofl: :atomrofl: :atomrofl: :atomrofl:
     
  8. Blackmunk

    Blackmunk ROM

    Registriert seit:
    23. Februar 2004
    Beiträge:
    4
    Danke erstmal für eure Hilfe. Ich habe mittlerweile einen Weg gefunden, alle .exe Dateien zu öffnen (is aber recht umständlich). Zuerst nehme ich eine Video-Datei und mache "Öffnen mit" -> MS-DOS Eingabeaufforderung. In der Eingabeaufforderung kann ich dann manuell die Pfade eintippen und alle .exe Dateien öffnen... Das hab ich auch mit HijackThis gemacht, hier mein Log:

    Logfile of HijackThis v1.98.0
    Scan saved at 12:34:05, on 15/07/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\PackethSvc.exe
    C:\Programme\AVWin\AVWUPSRV.EXE
    C:\WINDOWS\system32\drivers\KodakCCS.exe
    C:\WINDOWS\runservice.exe
    C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\ScsiAccess.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\taskmgr.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\Programme\Windows Media Player\wmplayer.exe
    C:\Programme\ICQ2\Icq.exe
    C:\Programme\Outlook Express\msimn.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\cmd.exe
    C:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.genickbruch.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = AMD und ATI Board
    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Panicware\Pop-Up Stopper Basic\CCHelper.dll
    O2 - BHO: HTML Source Editor - {85810C93-C14C-11D5-BC4B-0050BA28E4FE} - C:\WINDOWS\System32\popkill.dll
    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
    O3 - Toolbar: Pa&nicware Pop-Up Stopper Basic - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Programme\Panicware\Pop-Up Stopper Basic\popuppro.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
    O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
    O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ2\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ2\ICQ.exe
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O16 - DPF: {13B03B06-C0DF-4522-BDBA-E0B2365C72A5} (Flatcast Viewer 4.7) - http://www.interactiv-plus.de/flatcast/NpFv47.dll
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{73F58368-F33C-41DE-AB17-17BEADC4F4C8}: NameServer = 217.237.150.33 194.25.2.129


    Wie gesagt, ich würde seeeeehr ungerne eine Formatierung bzw. eine Windowsneuinstallation machen, da dies ein sehr großer Aufwand wäre, und ich dann doch lieber über den umständlichen Weg .exe Dateien öffne.
    Allerdings hoffe ich, dass es noch andere Lösungen gibt ^^.
     
  9. Blackmunk

    Blackmunk ROM

    Registriert seit:
    23. Februar 2004
    Beiträge:
    4
    Ich hätte dann noch eine zweite Frage... Gibt es irgendwo eine .exe Datei der "Anzeige" Eigenschaften??? Weil in Systemsteuerung bzw. über den Desktop kann ich sie ja nicht öffnen, nur über die MS-DOS Eingabeaufforderung :/
     
  10. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo Blackmunk,

    das Log-File scheint "sauber" zu sein, was aber nicht´s heißen muß.

    Lade dir bitte eScan die mwav.exe runter und entpacke diese in den Ordner C:\bases, danach die kavupd.exe (Online-Update) ausführen.

    Danach wechsle in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm und scanne mit eScan (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken).

    Poste zur Sicherheit das End-Log von eScan.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen