Ich bin sicher nicht mehr der Juengste unter den Anwendern und kenne mich leider in der "Computerei" lediglich auf der "Gebrauchsseite" aus. Aehnlich wie beim Autofahren - Ich kann fahren, tanken und die Inspektionstermine ueberwachen... Mein Problem ist folgendes: Seit einigen Tagen erscheint regelmaessig eine Meldung des AntiVir Guard von AVIRA: C:\Windows\System32\rnr2032.dll Is the TR/Dldr.Tracur.B.12 Trojan
Die Meldung kann weggeklickt werden, erscheint dann nach ca. 5 bis 10 Minuten erneut. Beim Start eines jeden Programmes, wird auch diese Meldung provoziert - praktisch bei jeder Aktion kommt zuerst die Meldung.
Sobald der Explorer geoeffnet wird, erscheint als Erstes diese Meldung. Sobald diese weggeklickt wird, startet der Explorer und dann erscheint ca. 1 Sekunde nach dem Wegklicken immer wieder die gleiche Meldung. Das Loeschen der bezeichneten Datei in Sys 32, ist nicht moeglich. Es ist unglaublich nervig, permanent die Meldung zu erhalten. Ich faende es hervorragend, wenn ich aus dieser Runde, einen fuer mich verstaendlichen und umsetzbaren Tip erhielte (... fahren mit dem Auto ja .... reparieren eher nein). Gelesen habe ich, dass ein "HiJackThis Log-File" von Nutzen ist und "gepostet" werden soll. Damit ist vermutlich gemeint, dass diese Datei hier verschickt werden soll. Dies soll dann auch so geschehen und ich freue mich auf baldige Antwort.

HI also , laut dem was ich hier sehe hast du ,
mehrere schädliche sachen auf deinem pc

- C:\Program Files\Search Settings\SearchSettings.exe
- R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
- O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
- O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
-Unbekannt
O16 - DPF: {dc6febc5-0a2d-458a-a01b-5db15eec4305} (IlosoftImageUploadCtl Class) - http://webc.mpi-energie.cz/auth/controls/IlosoftImageUpload.dll
-Unbekannt
O16 - DPF: {dc6febc5-0a2d-458a-a01b-5db15eec4305} (IlosoftImageUploadCtl Class) - http://webc.mpi-energie.cz/auth/controls/IlosoftImageUpload.dll
-O20 - AppInit_DLLs: C:\WINDOWS\System32\rnr2032.dll


ich würde dir erstmal , empfehlen, nach dem scan mit hijack , O4 O3 O2 O16 R3

zu fixxen, ansonsten evtl. noch mal mbam drüberlaufen lassen, ich denke mal der solte löschbar sein und , wegen der Sache mit "O2" da gibts hier irgend wo einen eintrag , hab das vorhin irgendwo gelesen, müsstes du mal im Forum suchen.

ansonsten kleiner tipp noch, lad dir avast,ccleaner,mbam
Firefox 3.5 und die addons : Wot,Noscript,adblock Plus runter.

lg

Herzlichen Dank fuer die prompte Reaktion. Die Ratschlaege werde ich nun umsetzen, auch wenn ich nicht genau weiss, was dann passiert. Auf alle Faelle werde ich Dich informieren, was aus meinem Rechenknecht geworden ist.
Bezueglich des Vermerkes "O2", kann ich nicht nachvollziehen, was Du in dem Eintrag siehst. Vielleicht kannst Du mir einen Tip geben. Fuer mich ist dies ein Eintrag, mit dem ich nichts weiter anfangen kann, als dass ich erkenne wo ich den Eintrag finde. Eine Bewertung ist fuer mich unmoeglich.
beste Gruesse

Zitat:

Zitat von jokosor

Herzlichen Dank fuer die prompte Reaktion. Die Ratschlaege werde ich nun umsetzen, auch wenn ich nicht genau weiss, was dann passiert. Auf alle Faelle werde ich Dich informieren, was aus meinem Rechenknecht geworden ist.
Bezueglich des Vermerkes "O2", kann ich nicht nachvollziehen, was Du in dem Eintrag siehst. Vielleicht kannst Du mir einen Tip geben. Fuer mich ist dies ein Eintrag, mit dem ich nichts weiter anfangen kann, als dass ich erkenne wo ich den Eintrag finde. Eine Bewertung ist fuer mich unmoeglich.
beste Gruesse

O2 is die .dll zu O4 demnach anywhere in ur system^^

Zitat:

ich würde dir erstmal , empfehlen, nach dem scan mit hijack , O4 O3 O2 O16 R3

zu fixxen,

Und was willst Du damit bewirken?
Ausser das der Rechner wahrscheinlich kein AVP mehr startet


jokosor

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

Code: Alles auswählenAufklappen

ATTFilter

deine Logfile
         

schritt 1

Wende bitte Malwarebytes nach Anleitung an.


schritt 2

• Lade Random's System Information Tool (RSIT) herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

Auf keinen Fall will ich es "beschreien" aber seit etwa 30 Minuten habe ich keine nervigen Meldungen. Wenn ihr nun erwartet, dass ich genau sagen kann was getan werden muss... Fehlanzeige. Es gab ja einige Tips im Forum. Was sollte ich also tun. Eine ganz eindeutige Anweisung gab es m.E. nicht. Aus diesem Grund habe ich mich entschieden, von jedem Angebot ein wenig umzusetzen, um dann zu sehen, ob sich etwas getan hat.
Vorgehen:
1. von "Deiti" habe ich 04 und 03 gefixt. - hab keine Begruendung dafuer :-))
2. von "Larusso" habe ich "Malwarebytes" ausgefuehrt und eine ganze Menge "netter" Eintraege gesehen. Diese wurden dann geloescht und der Rechenknecht wurde neu gestartet.
Das erste Ergebnis war niederschmetternd. Es gelang mir als erstes den Taskmanger zu starten und dann gings auch schon los. Insgesamt kamen mehr als 60 (i.W. sechszig) Meldungen von AVIRA-Guard. Mit jedem Prozess der gestartet wurde, erhielt ich eine neue Meldung.
Nachdem alle Prozesse hochgefahren waren, kamen keine neuen Meldungen. Nun habe ich "Malwarebytes" erneut gestartet und nach Moeglichkeiten gesucht. Meine Vermutung war, dass die in der Meldung stehende Datei, der Boesewicht war und keinesfalls geloescht war.
Unter Programme findet man ein Programm "Fileassassin", das in der Lage sein soll, gesperrte Dateien vom Rechner zu entfernen. Das Programm bedient sich sehr einfach: Starten - zu loeschende Datei suchen - ausfuehren. In diesem Fall waren es 3 Dateien: C:\Windows\Sxstem32\rnr2032.dll; C:\Windows\Sxstem32\rnr2032. und C:\Windows\Sxstem32\rnr2032.VIR
Nachdem die Dateien geloescht waren (nur nach Neustart), war ich die Plagegeister los.

Vielen Dank fuer die Unterstuetzung!!!


Der Vollstaendigkeit halber hier noch das Protokoll:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2563
Windows 5.1.2600 Service Pack 3

5.8.2009 16:50:21
mbam-log-2009-08-05 (16-50-21).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 223459
Laufzeit: 59 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 2
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ACM.dll (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86 (Worm.Archive) -> Quarantined and deleted successfully.

Infizierte Dateien:
D:\RECYCLER\S-1-5-21-3045565549-2897180478-45634998-1006\Dd8.exe (Trojan.Tracur) -> Quarantined and deleted successfully.
D:\RECYCLER\S-1-5-21-3045565549-2897180478-45634998-1006\Dd6\keygen_by_SSG.exe (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\Learn More About WhenU Save.url (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\Learn More About WhenU SaveNow.url (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\WhenU.com Website.url (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\Uninstall Instructions.lnk (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jobe\Nabídka Start\Programy\WhenU\Customer Support.lnk (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\237.crack.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\238.keygen.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\239.serial.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\240.setup.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\241.music.au.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\242.music2.au.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\243.music3.au.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\244.music.snd.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\237.crack.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\238.keygen.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\239.serial.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\240.setup.zip (Worm.Archive) -> Quarantined and deleted successfully.

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\SystemX86\237.crack.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\238.keygen.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\239.serial.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SystemX86\240.setup.zip (Worm.Archive) -> Quarantined and deleted successfully.
         

Dateien, die crack.exe, keygen.exe oder patch.exe enthalten, sind zu 99,9% gefährliche Schädlinge, mit denen man nicht Spaßen sollte.
Ausserdem sind diese illegal und somit beschränkt sich der Support auf
Anleitung zum Neu aufsetzten

Du bist entlassen und ich bin raus