SPR/RedCap (Cloud)-Programm, Ungültiges Bild - xxx.dll bei Programmstart
 

Hallo zusammen,

ich bitte um eure Hilfe bei eine sowohl privat, als auch gewerblich (2-Mann Handwerksbetrieb) genutzten PC. Ich spende gerne, wenn ich weiß wohin oder an wen!

Problem :
Heute Nachmittag meldete AVIRA ein unerwünschtes Programm: SPR/RedCap (Cloud)-Programm (LOG siehe unten)

Maßnahmen :
AVIRA hat das Programm entfernt bzw. in die Quarantäne verschoben, Anschließend verlangte AVIRA einen Neustart und eine vollständige Systemprüfung, bei der ein weiterer Fund ADWARE/InstallCore.Gen (LOG siehe unten)

Effekt :
Seit dem kommt bei fast allen über den Deskltop-Link aufgerufenen Programmen folgende Fehlermeldung :

P:\PROGRA~3\SearchProtect\SearchProtect\bin\VCloader.dll ist entwder nicht für die Ausführung unter Winows vorgesehen oder enthält einen Fehler. Installieren sie das Progamm …. Erneut oder wenden sie sich an …., um Unterstützung zu erhalten.

Ähnliche Fehlermeldungen kommen auch beim Hochfahren für alle Autostart-Programme.
Weiter Maßnahme :

Windows-Systemwiederherstellung auf den 01.02.2015

Effekt :
keiner

AVIRA-Log SPR/REDCAP :

AVIRA-LOG ADWARE/InstallCore.Gen :

Die LOGs von Defrogger, FRST und gmer folgen umgehend

Herzliche Dank in voraus für jedwede Untzerstützung

Hier nun gemäß der Checkliste die weitern LOGs :

defrogger disable LOG :

FRST Scan LOG :


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

Hi,

Hast du keine Adminrechte an diesem Rechner?

weitere LOGs
 

und hier noch FRST Audition LOG :

und gmer-LOG :

Außerdem:

du nutzt gecrackte Adobe Software gewerblich? :wtf:

Admin-Rechte
 

Guten Abend Cosinus,

ich habe Admin-Rechte.

Wir haben damit mal was ausprobiert, haben es aber dann letztlich von einer Werbeagentur machen lassen, gehört eigentlich gelöscht, da für uns zu kompliziert.

Soll ich es gleich löschen und die Logs nochmal machen ?

Hallo Cosinus,

die Adobe-Software wird gerade deinstalliert.

Ok - weiter dann mit mbar:

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Malwarebytes
 

Hallo Cosinus,

ich habe Malwarebytes gemäß der Anleitung laufen lassen.

Vor dem Programmstart kam folgendes :

Registry value "App_Init.dll" has been found, which may be caused by rootkit activity, ...
Do you want to remove this value and restart the tool ?

Da ich nicht sicher war, habe ich ich auf nein geklickt, ein Neustart und ein Cleanup waren
dann aber nicht erforderlich. Beim erneuten Start von Malwarebytes kommt die gleiche Meldung wieder.

Anbei der LOG :

Adware/Junkware/Toolbars entfernen

(alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!)

1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

3. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Adwcleaner
 

Hallo Cosinus,

adwcleaner hat zwei Einträge gelöscht.

Nach dem Neustart sind die Fehlermeldungen :

P:\PROGRA~3\SearchProtect\SearchProtect\bin\VCloader.dll ist entwder nicht für die Ausführung unter Winows vorgesehen oder enthält einen Fehler. Installieren sie das Progamm …. Erneut oder wenden sie sich an …., um Unterstützung zu erhalten.

nicht mehr aufgetreten :-)

Hier der LOG :

JRT kommt jetzt dran.

Hallo,

nach dem Jrt-scan sind nun alle Lesezeichen und Links aus chrome verschwunden :-(
Das wird sich aber aus einer Sicherung wieder herstellen lassen. :-)

Auch sind die auf dem Desktop gespeicherten Programme (FRST, gmer etc.) und manche Logs
verschwunden !???

jrt-LOG :

Werde nun FRST wieder downloaden und laufen lassen.

Mein Desktop hat sich auch deutlich um mehrere Verküpfungen verkleinert :wtf:


Den von dir zitierten Eintrag : 127.0.0.1 activate.adobe.com kann ich auch als
Admin nicht löschen.

Hier nun der neue FRST-LOG :


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

Nach einem erneutem Neustart sind die Lesezeichen wieder da und auch mein Desktop sieht wieder ganz wie gewohnt aus. :-)

Avira deaktivieren, dann folgenden Fix mit FRST:

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Hallo Cosinus,

schon mal ganz lieben Dank für deine Hilfe !!!

hier der Inhalt des Fixlog :

Du hast die Fixlist falsch geschrieben. Nämlich mit Zeilenumbrüchen. Die drüfen da nicht drin sein. Mach es bitte richtig.

Ok, hatte ich übersehen. Hier nochmal der Fixlog :

Und jetzt bitte nochmal mit deaktiviertem Virenscanner :D

Hm, AVIRA ist gerade immer noch deaktiviert ! -> ?
Also nochmal, dann schalte ich die Firewall auch noch aus.

Gruß Rustikal

Avira komplett deaktivieren!

Der Avira Echtzeitscanner ist deaktiviert (Regenschirm zu)
Die ist Firewall deaktiviert.
Trotzdem läuft unter den Prozessen im Task-Manager :

avgnt.exe ----------- Avira system tray application

Diesen Prozess kann ich nicht beenden, da der Zugriff verweigert wird.

Gibt es einen anderen Weg zum komplett deaktivieren ?

So sollte es reichen

Hallo Cosinus,

jetzt sieht es, glaub ich, besser aus.

Fixlog :

Okay, dann Kontrollscans mit MBAM und ESET bitte:

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Kurz vor dem Neustart nach dem Scan von Mbam, hat Avira den Zugriff auf die Registry blockiert.

Hier der Log :

zu dem ESET vorab die Frage, da es ein Online Scanner ist, wie viel DSL-Ressourcen verbraucht der ungefähr ?

Hier der Eset Logfile.
Nach dem Scan ist der PC "eingefroren". Mit einem Benutzerwechsel ging es wieder.

Avira deaktivieren, MBAM wiederholen

Guten morgen Cosinus,

hier der nochmalige Suchlauf mit MBAM :

Virenscanner jetzt vor dem Fix bitte komplett deaktivieren!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Hier der Fixlog :

Sieht soweit ok aus :daumenhoc

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) empfehle ich die Erweiterung Ghostery, diese verhindert weitgehend Usertracking bzw. das Anzeigen von Werbebannern.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Guten Abend Cosinus,

SUPER !!!:D

Herzlichen Dank für deine Hilfe !
Ich werde Ghostery testen !
Funde gab es bis jetzt keine mehr und das System läuft sehr gut.

Einige Sachen interessieren mich noch:

- Was war das SPR/RedCap Programm eigentlich für ein Schädling, was hätte es "tun" können und woher könnte er gekommen sein ? Wir sind , so denke ich, bewußte Surfer, die nicht überall blindlings draufklicken und schauen uns auch keine "dubiosen" Seiten an.

- Ich denke es macht Sinn, nun vom sauberen System ein Image-Backup zu machen, hast du da eine Backup-Progamm-Empfehlung für mich ? (ich weiß nicht ob ich den Windows-Backup-Funktionen trauen kann)

- Ich hab noch ein kleines Problem mit einer HP Drucker-Software, gibt es ein einfaches (und schnelles) Tool um den Standard-Programmpfad bei Win7 zu wechseln/ändern

- Wie kann ich mich noch für deine Hilfe und deine Zeit und das es dieses Forum gibt, abgesehen von Worten, bedanken (Spende ?)

Herzliche Grüße
rustikal

In den heutigen Zeiten ist im Prinzip nur noch Adware/junkware verbreitet. Auch als PUPs bekannt. Werbekacke halt.

Für dein Druckerproblem bitte gezielt im passenden Subforum hier ein neues Thema eröffnen. Hier ist Malwareanalyse und -bereinigung, das macht keinen Sinn hier zu behandeln.

Als Backup-Imaging-Tool kann ich das sehr einfach gehaltene Drive Snapshot - Download evaluation Software empfehlen. Wenn es dir gefällt ne Lizenz erwerben, der Autor will auch von irgendwas leben, du kannst aber einfach immer ne neu snapshot.exe runterladen, die auch wieder ein neues Ablaufdatum hat.


Dann wären wir durch! :daumenhoc


Falls du noch Lob oder Kritik loswerden möchtest => Lob, Kritik und Wünsche - Trojaner-Board

Die Programme, die hier zum Einsatz kamen, können alle deinstalliert werden. Es empfiehlt sich Malwarebytes Anti-Malware zu behalten und damit wöchentlich nach Malware zu scannen.

Helfen kann dir dabei delfix:


Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Bitte abschließend noch die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.