hallo zusammen,

seit kurzem tritt beim hochfahren meines notebooks immer folgender fehler auf.

Fehler beim laden von C:/Windows/System32/bridge.dll
Das angegebene Modul nicht gefunden.

weiß jemand viell. was das bedeutet oder woher es kommt und vorallem wie ichs abstellen kann.

mfg
sabrina

Hallo sabrina,

Dein Problem wurde hier im Board bereits behandelt.

Gruß
CMD

Hallo CMD,

diese Lösung hatte ich auch schon gefunden jedoch wenn ich bei mir unter Ausführen regedit eingebe erscheint nur ein kleines DOS-Fenster ( kleines Fenster mit schwarzem Grund, DOS???) indem man aber nichts schreiben kann.
Diese Fenster lässt sich dann auch nur über den Button "Sofort Beenden" schließen.

Kann ich vielleicht auch auf anderem Wege auf das Registery zugreifen oder hast du ne Idee worans liegen könnte??


Danke!!

Sabrina

Hallo Sabrina,
ich glaube, das mit dem fehlenden "bridge.dll" ist möglicherweise nur die Spitze eines Eisberges; mit anderen Worten : da stimmt noch anderes nicht. Spätestens jetzt wird es Zeit für HiJackThis.
Richte Dich bitte genau nach der Anleitung, damit Deine Privatsphäre gewahrt wird, bevor Du das Ergebnis hier postest.-

"Regedit.exe" befindet sich im Windows-Ordner (meist "C:\Windows"). Prüfe dies und schaue, wie groß die Datei ist (über Eigenschaften; bei mir 153 600 Byte) und welche Version vorliegt. Wenn sie eine andere Erweiterung als "EXE" hat, ist das auch wichtig.

Gruß
CMD

Ich habe mal gegoogelt und so wie weit ich rausfinden konnte ist das tatsächlich nur die spitze des eisbergs. In vielen foren wurde diese datei als trojaner identifiziert
Aber ich denke ersteinmal wird das HijackThis-logfile weiterhelfen, wie CMD schon sagte...

Hallo,

toll Eisberge sind bekanntlich tief ;P .

Jetzt aber mal gute Nachrichten, habe die regedit.exe unter C:\Windows\ gefunden und konnte diese auch öffnen, bin wie im Link von CMD beschrieben vorgegangen und jetzt wird die Fehlermeldung auch nicht mehr angezeigt.

Zur regedit.exe: 153 600 Byte, Version: 5.1.2600.2180

Eigenartig ist jetzt das ich noch zwei weitere DOS-Anwendungen (REGEDIT, R.COM) in dem Ordner gefunden hab durch die ich ebenfalls durch dopppelklick in den Registrierungseditor gelange.
Könnte hier nicht das Problem liegen? Eine falsche Verknüpfung des Befehls regedit oder so???
Unter Eigenschaften der R.COM kann ich auch ne Menge einstellen.
Schaut doch mal nach ob ihr diese Dateien auch besitzt!

Jetzt noch dieses HijackThis-Ding:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:52:29, on 04.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143713999287
O17 - HKLM\System\CCS\Services\Tcpip\..\{C635F595-83C5-4EF6-B9EE-D31960C5EF07}: NameServer = ***.***.*.*
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Windows DLL Loader (RunDll32) - Unknown owner - C:\WINDOWS\dll\rundll32.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 4272 bytes

Vielen Dank nochmal!!

Gruß

Sabrina

Hallo Sabrina,

es gibt schon noch ein paar Sachen, die auffallen. Echte "COM"-Dateien, also "Anwendungen für MS-DOS" (mit einer Größenbeschränkung auf 64kB) gibt es im Windows-Ordner normalerweise nicht. Sind sie größer, können es auch umbenannte "EXE" - Dateien sein, auf jeden Fall höchst suspekt ("COM" startet vor "EXE", wenn man die Erweiterung wegläßt)! Bei "Regedit" ohne Erweiterung könnte es sich um einen Link handeln (die Endung "LNK" ist immer ausgeblendet, aber als "Typ" erscheint natürlich Verknüpfung und der Pfeil im Symbol). Wichtig ist der Blick in die Eigenschaften. Interessant ist das Ziel : steht hier nicht "C:\Windows\Regedit.exe" müssen die Alarmglocken läuten !

Diese Dateien solltest Du bei VirusTotal prüfen lassen.

Zunächst die vermutlich harmlosen:
Alaunch.exe (gehört zu Acer-Laptops)
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE (gehört zu Acer-Laptops)
C:\WINDOWS\AGRSMMSG.exe (normalerweise ein Modem-Programm)
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE (gehört zu C-Dilla, ein hartnäckiger Kopierschutz, der auch für zeitliche Beschränkungen bei Testversionen sorgt; welches Programm ist oder war bei Dir damit versehen ?)

Höchst verdächtig, diesen Ordner, geschweige denn seinen Inhalt, gibt es normalerweise nicht:
C:\WINDOWS\dll\rundll32.exe

Außerdem fällt auf , dass Du Avira- AntiVir als Schutz verwendest , aber noch Reste von Symantec (Norton) im System hast. Was kannst Du dazu sagen?

Gruß
CMD

PS: Dein Java ist nicht auf aktuellem Stand.

Guten Morgen CMD,

klasse das du dir soviel Mühe machst!

Die Datein habe ich bis auf die rundll32.exe(ist nicht aufzufinden) prüfen lassen ohne Ergebniss.
Weiss nicht wirklich woher C-Dilla kommt, aber hatte mich schon öfters gefragt was es damit aufsicht hat, jetzt weiß ichs.
Wahrscheinlich aus der 1Monatigen Testversion von Norton. Soll ich die 3 Dateien entfernen?

Die REGEDIT.EXE und R.COM sind beide 150kb(153600b) groß. Typ:Anwendung für MS-DOS
Unter Eigenschaften find ich kein Ziel!
Soll ich die beiden Einträge auch löschen (das kann ich gut!)?

Jetzt hab ich noch eine Systemdatei (2kb) im system32 Ordner gefunden, ebenfalls eine regedit DOS-Anwendung, diese reagiert beim öffnen genauso wie die Eingabe des Befehls regedit.
Jetzt hab ich diese Datei malgelöscht ( ;P ) und siehe da ,jetzt funktioniert der Befehl wieder ordnungsgemäß. Kann ich das jetzt so lassen, ist ja eine Systemdatei.

Java ist aktualisiert.

D.h. bleibt nur noch die rundll32.exe .


Vielen, vielen Dank.

Gruß
Sabrina

Hallo Sabrina,

jetzt ist bis auf die ominöse "rundll.exe" (komme ich gleich noch dazu!) eigentlich alles klar. Löschen der mit RUN bzw. Service in der Registry gestarteten Programme geht in folgender Reihenfolge: 1.Löschen des Eintrages in der Registry (wie bei "bridge.dll" beschrieben); 2.Neustart des Systems; 3.Löschen der zugehörigrn Dateien.

Registry-Schlüssel :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Werte :
[ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"

[ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

Registry-Schlüssel :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

Werte :
Windows DLL Loader (RunDll32) "C:\WINDOWS\dll\rundll32.exe"


C-Dilla würde ich lassen, da es Veränderungen im MBR vornimmt, was eventuell Bootprobleme provoziert.

Nun zu der unauffindbaren "C:\WINDOWS\dll\rundll32.exe". Es kann sein, dass sie tatsächlich nicht mehr existiert (file missing !) oder sie ist "unsichtbar". Das geht tatsächlich, ich hatte mal ein ähnliches Phänomen. "Start - Suchen - Dateien und Ordner - Weitere Optionen (Haken bei "Systemordner durchsuchen", "Versteckte Elemente durchsuchen", "Unterordner durchsuchen") hat sie dann doch gefunden. Ich konnte sie bequem im Suchfenster löschen (Achtung : "C:\Windows\system32\rundll32.exe" gehört zu Windows !).

Eine von den großen "Regedit-Clones" - möglichst die richtige Fassung - muss als "Regedit.exe" in "C:\Windows" übrig bleiben (zur Sicherheit alle in ein Backup-Verzeichnis kopieren). Ich würde mal alle über VirusTotal schicken und schauen, ob sich die MD5/SHA1 Werte zwischen ihnen unterscheiden. Wenn nicht, sind sie identisch und nur kopiert / umbenannt (vielleicht die Strategie eines Virenscanners). Die "kleine" Dos-Version in "C:\Windows\system32" ist wahrscheinlich entbehrlich (nicht aber "regedt32.exe", die zu Windows gehört !).

Als Erfolgskontrolle nochmals ein HJT-Scan durchführen (muss hier nicht mehr gepostet werden; vergleiche ihn einfach mit dem alten und achte auf die gelöschten Einträge).


Gruß
CMD

hi cmd,

hab alles ausgeführt wie beschrieben und mein system scheint wieder sauber zu sein. hab zwar jetzt kleinere probleme mit dem wlan aber nicht der rede wert.

vielen vielen dank für deine hilfe!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

gruß

sabrina