| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.10.2010, 19:44
| #1 | |
 |  30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe Hallo Liebe Helfer! Vor paar Tagen hab ich festgestellt, dass der 30Tan-Deutsche-Bank Trojaner auch auf unseren Vista-Medion-Rechner gelangt ist. Da Antivir nichts feststellen konnte, hab ich es mit Ad-Aware versucht, welcher auch 4 Quarantänen vorgenommen hat und somit die Tan-Abfrage beseitigen konnte. Nun erscheint jedoch bei jedem hochfahren des Rechners eine Meldung durch die "rundll32.exe": "Fehler beim Laden von: C:\Users\***\AppData\Local\Temp\hdwwicpl.dll Das angegebene Modul wurde nicht gefunden." Da sich diese .dll in einem Temp-Ordner befinden soll und die Meldung erst aufgetaucht ist, nachdem Ad-Aware diese File unter Quaratäne gesetzt hat, geh ich mal davon aus, dass noch Teile des Trojaners aktiv sind und wahrscheinlich die rundll32.exe aufrufen um mir diese angeblich fehlende .dll mitzuteilen. Die .dll ist "tatsächlich" vorhanden und zwar im Ordner "C:\ProgramData\Lavasoft\Ad-Aware\Quarantine". Hier mal der Inhalt dieses Ordners: Zitat:
Nun weiß ich natürlich nicht, ob die Meldung "dll fehlt" überhaupt mit dem 30Tan-Trojaner zu tun hat oder von einer anderen Infizierung stammt, in jedem Fall aber hab ich mir mal eure Standard-Anleitung vorgeknöpft und bin sehr gewissenhaft jeden Schritt genau nach Anweisung durchgegangen, um dann hier die Log-Files zu posten und euere Bewertung abzuwarten. Die Log-Files, die ich habe, werd ich auch gleich noch posten. Das Problem ist nur, dass als gmer.exe lief, ist der Rechner mit einem Bluescreen abgestürtzt. Ich hab unter Garantie während des Scans keine Arbeiten am Rechner ausgeführt, es waren sämtliche Programme beendet, inklusive Ad-Aware und Antivir und auch die Inet-Verbindung war gekappt, IAT/EAT war enthackt, es war nur C:\ ausgewählt und "Show all" war ebenfalls enthackt, genau wie in der Anweisung beschrieben. Also dass ich mich nicht an die Anweisung Wort für Wort gehalten hätte, können wir als Fehlerursache schonmal auf jeden Fall ausschließen, da bin ich mir zu 100% sicher. Um so mehr lässt mich das ganze jetzt natürlich ziemlich ratlos und mit nem unguten Gefühl zurück. Von alleine will ich dieses Programm auf jeden Fall nicht mehr starten. Ich hoffe ihr könnt uns nun aber doch noch bei der Beiseitigung des "Rest"-Problems helfen und vorallem wüsst ich gern, wann ich wieder die Treiber für die CD-Images aktivieren kann! ^^ Mit freundlichen Gruß! Stefa-N Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4770
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943
07.10.2010 19:46:52
mbam-log-2010-10-07 (19-46-52).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 138562
Laufzeit: 4 Minute(n), 39 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{9a91dc2a-a55c-367f-5a56-dda51668dbbd} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:51 on 07/10/2010 (***)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)
-=E.O.F=-
Also das sind die Logfiles. Wie man sehen kann, hat Malwarebytes noch einen Trojaner gefunden und "behandelt"... Ach und was mir grad noch einfällt... die "gmer.exe" muss sich doch direkt auf dem Desktop befinden oder? Ich fand das nämlich etwas uneindeutig in der Anweisung... das Entpacken mit winrar hat dazu geführt, dass ein Ordner GMER auf dem Desktop erzeugt wurde, welcher die gmer.exe enthielt, aber in der Anleitung steht "Gmer.exe muss sich am Desktop befinden." Ich vermute mal "am" soll "auf dem" heißen und daher hab ich die gmer.exe also auch auf den Desktop verschoben... ansonsten wüsste ich nicht, was "am" Desktop für eine Ortsangabe sein soll. Okay, dass war´s dann also an Infos. Ich hoffe ich hab nichts wesentliches vergessen, falls doch reiche ich die Infos natürlich sehr gerne nach! |
| Themen zu 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe |
| 100%, ad-aware, aktiv, antivir, aufrufe, autostart, bluescreen, dateien, desktop, dll, explorer, fehler, festgestellt, file, local\temp, log-files, malwarebytes, microsoft, modul, problem, programdata, programme, ratlos, required, rojaner gefunden, rundll, rundll32.exe, software, temp, temp-ordner, treiber, trojan.zbotr.gen, trojaner, trojaner gefunden |
Baum-Darstellung