|
Plagegeister aller Art und deren Bekämpfung: RunDLL: Fehler bei Start, Explorer.exe: stürzt regelmäßig ab, IE: Pop-Ups, Chrome unverwendbar,VirenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.10.2010, 18:19 | #1 | |
| RunDLL: Fehler bei Start, Explorer.exe: stürzt regelmäßig ab, IE: Pop-Ups, Chrome unverwendbar,Viren Hallo erstmal, ihr lieben Pros, ich bin neu hier^^ anscheinend ist dieser Laptop virenverseucht, da ich mir selbst nicht zu helfen weiß frage ich hier, ich hoffe ihr könnt mir helfen. Beim Betriebssystem handelt es sich um Windows 7. Folgendes: Ich habe den Laptop meines Freundes für eine Weile bekommen und bermerkt, dass kein Virenschutz installiert war - daraufhin AntiVir von meiner Externen aus installiert, einen Scan damit durchgeführt was auch prompt zu einigen Funden geführt hat, die als trojanische Pferde angeführt wurden. Zuerst wählte ich die Aktion 'löschen'(befürchte die Idee war schlecht?), bei den sich danach häufenden Malware-Warnungen 'in Quarantäne verschieben'. (Report unten) Ab da fingen die Probleme an: bei jedem Start mehrere Fehlermeldungen: "RunDLL - Problem beim Starten von C:\\Windows\system32\kh918ttq9c.dll Das angegebene Modul wurde nicht gefunden." weitere Meldungen mit diesen Dateien, gleicher Pfad: \qnqv14b.dll \kh918ttq9c.dll \sshnas21.dll Der Browser Chrome von SRWare lässt sich zwar noch starten, zeigt aber bei jeder weiterren Aktion, außer dem einsehn von html Dateien, einen Anwendungsfehler, eine Neuinstallation änderte nichts. Immer wieder stürzte Explorer.exe ab und startete neu, woraufhin sich alle Fenster schließen. Manchmal trat die Fehlernachricht "Error - Runtime error 216 at 00264FED" auf (Dieses Problem trat nicht mehr auf, nachdem ich die Benutzerrechte von Admin zu normalem Benutzer änderte!) Beim googlen nach diesen Problemen stieß ich vermehrt auf Beiträge dieses Forums und erstellte mal einen log mit HiJackThis. Beim genaueren durchsuchen entschloss ich mich der Anleitung des Forums zu folgen. Nach der Anwendung von Malwarebytes' Anti-Malware änderten sich die Fehlermeldungen beim Start zu: "RunDLL - Problem beim Starten von C:\\Users\***\AppData\Local\ml3245.dll Das angegebene Modul wurde nicht gefunden" und gleiche Meldung mit Datei: C:\\Users\***\AppData\Local\oxejehulalihocim.dll Außerdem fing IE, den ich da Iron nicht verwendbar ist jetzt benutze, nun mit den Werbe-Pop-Ups an, die jederzeit wahllos, und nicht nur beim öffnen einer neuen Page auftauchen. -keine Datei namens defogger die Tutorials für OTL unterschieden sich zwischen Forum und heruntergeladener Datei "Anleitung", ich entschied mich für letzteres, falls das falsch war liefere ich einen neuen Scan nach, den Usernamen habe ich in jedem log durch *** ersetzt.- Anti-Malware log, beide OTL logs und Reporte der 3 fundreichsten Avira AntiVir Scans im Anhang, falls die jemand möchte. report_avira_scan1 war der erste durchgeführte, scan2 der zweite durchgeführte (nach update), und scan 3 einer der letzten vor Posten dieses Threads. Andernfalls, die Namen gefundener Schädlinge: Zitat:
Hier mal noch der HijackThis logfile: ich hoffe der Beitrag ist nicht zu lang geraten, danke fürs Lesen an dieser Stelle. hoffe da kann man überhaupt noch was ohne Neuinstallation des Systems machen^^ Was soll ich mit der Externen Festplatte machen btw, ist diese gefährdet? HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 14:47:43, on 09.10.2010 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe C:\Windows\SysWOW64\rundll32.exe C:\Users\matzipan\AppData\Roaming\Boneu\reylv.exe C:\Users\matzipan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\algdyw32.exe C:\Windows\SysWOW64\svchost.exe C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCtrl.exe C:\Program Files (x86)\Hp\HP Software Update\hpwuschd2.exe C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe C:\Program Files (x86)\pdf24\pdf24.exe C:\Program Files (x86)\iTunes\iTunesHelper.exe C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe C:\Windows\SysWOW64\rundll32.exe C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe C:\Program Files (x86)\Hewlett-Packard\Shared\hpqToaster.exe C:\Windows\SysWOW64\rundll32.exe C:\Program Files (x86)\Avira\AntiVir Desktop\avcenter.exe C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Users\matzipan\AppData\Local\Temp\Mr0.exe C:\Program Files (x86)\Internet Explorer\iexplore.exe F:\schrottnick\prog\°Schädlingsbekämpfung\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/HPNOT/4 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://g.uk.msn.com/HPNOT/4 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/HPNOT/4 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://g.uk.msn.com/HPNOT/4 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe O2 - BHO: C:\Windows\SysWow64\ud56r346q4.dll - {D6BA40A1-A502-59BD-F413-04B03A2C8953} - C:\Windows\SysWow64\ud56r346q4.dll (file missing) O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Gutscheinmieze - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Users\matzipan\AppData\Roaming\Gutscheinmieze\toolbar.dll O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [PDFPrint] C:\Program Files (x86)\pdf24\pdf24.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW O4 - HKLM\..\Run: [uPc+kt0NrPaGuo] rundll32.exe C:\Windows\system32\qnqv14b.dll, SystemServer O4 - HKLM\..\Run: [uPc+kt0NaUOaXms] rundll32.exe C:\Windows\system32\kh918ttq9c.dll, SystemServer O4 - HKLM\..\Run: [Qrarax] rundll32.exe "C:\Users\matzipan\AppData\Local\oxejehulalihocim.dll",Startup O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [uPc+kt0NrPaGuo] rundll32.exe C:\Windows\system32\qnqv14b.dll, SystemServer O4 - HKCU\..\Run: [Metropolis] rundll32.exe C:\Windows\system32\sshnas21.dll,GetHandle O4 - HKCU\..\Run: [uPc+kt0NaUOaXms] rundll32.exe C:\Windows\system32\kh918ttq9c.dll, SystemServer O4 - HKCU\..\Run: [Svavimiqayoqanej] rundll32.exe "C:\Users\matzipan\AppData\Local\ml3245.dll",Startup O4 - HKCU\..\Run: [KOO9RV9K4Z] C:\Users\matzipan\AppData\Local\Temp\Mr0.exe O4 - HKCU\..\Run: [{91AC44F2-F50E-7EFB-08E6-7EC0C6E1A505}] C:\Users\matzipan\AppData\Roaming\Boneu\reylv.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O4 - Startup: algdyw32.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~4\Office12\EXCEL.EXE/3000 O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~4\Office12\REFIEBAR.DLL O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~4\Office12\GRA32A~1.DLL O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b87ff64c8b56b7db\AESTSr64.exe O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\HP Games\HP Game Console\GameConsoleService.exe O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b87ff64c8b56b7db\STacSV64.exe O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 10809 bytes Geändert von STARGATEfan1 (09.10.2010 um 18:34 Uhr) |
09.10.2010, 18:27 | #2 |
| RunDLL: Fehler bei Start, Explorer.exe: stürzt regelmäßig ab, IE: Pop-Ups, Chrome unverwendbar,Viren Entschuldigt den Doppelpost, hier nochmal alle Logs aus dem Anhang in gezippter Form. Ganz vergessen.
__________________ |
Themen zu RunDLL: Fehler bei Start, Explorer.exe: stürzt regelmäßig ab, IE: Pop-Ups, Chrome unverwendbar,Viren |
adobe, antivir, antivir guard, avg, avira, bho, bonjour, browser, desktop, dll -, error, fehler, frage, google, hijack, internet, internet explorer, jusched.exe, launch, local\temp, logfile, rundll, scan, schutz, senden, software, start menu, starten, syswow64, trojanische pferde, unterschiede, viren, windows, {dfefcdee-cf1a-4fc8-88ad-48514e463b27} |