![]() |
flacor.dat Fehlermeldung (RUNDLL) bei Windows-Start - kritisch? Hallo, ich habe seit längerem bei jedem Windowsstart (WinXP SP3) die Fehlermeldung "RUNDLL - Fehler beim Laden von C:\Dokumente und Einstellungen\mr\Anwendungsdaten\Adobe\Update\flacor.dat - %1 ist keine zulässige Win32-Anwendung." Sie tauchte auf, nachdem Avira AntiVir einen Trojaner gefunden und gelöscht hatte (genaueres kann ich dazu leider nicht mehr sagen). Ich ging aber davon aus, daß diese Meldung nicht kritisch ist (der Virus war ja gelöscht). Ich habe mich der Sache nun nochmal angenommen und bin durch die Suchergebnisse hier im Board und auch sonst etwas verunsichert und würde mich freuen, wenn Ihr mir sagen könnt, ob eine Gefährung besteht und wie ich sie ggf. beseitigen kann. Folgenden Thread zum wohl gleichen Thema habe ich zwar gelesen, muß aber gestehen, daß ich ab einem gewissen Punkt nicht mehr folgen konnte und auch glaube, daß das Problem am Ende in eine andere Richtung ging. http://www.trojaner-board.de/86138-f...t-malware.html Im Anhang sind die Protokolle von: 1. OTL (mit Extras) 2. Gmer 3. SystemLook von jpshortstuff regfind: flacor (weil im o.g. Thread darum gebeten wurde (#22)) und mir das als möglicherweise nützlich erschien. 4. Avira AntiVir Scan Falls Ihr noch etwas braucht wird gerne nachgeliefert. Schon mal vielen Dank im Voraus und frohe Ostern Markus |
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. |
Hallo Arne, an älteren Protokollen kann ich nur welche von Avira AntiVir anbieten... Malwarebytes war bisher nicht installiert. (Hatte ich unterlassen, weil es im "Für alle Hilfesuchenden"-Thread als Alternative zu load.exe genannt war. Sorry.) Habe die Installation nun nachgeholt. Beim ersten Suchlauf fand Malwarebytes u.a. flacor.dat und ich habe sie löschen lassen. Nach dem Neustart tauchte die Windows-Fehlermeldung nicht mehr auf, die Datei flacor.dat ist nicht mehr im Verzeichnis und beim erneuten Malwarebytes-Suchlauf wurde nichts gefunden. Wäre ja zu schön, wenn damit schon alles gut wäre... Die beiden Malwarebytes-Protokolldateien von heute sind angehängt. VG Markus |
Zitat:
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
Aktueller Vollscan - ältere gibt es wie gesagt leider nicht.. Malwarebytes' Anti-Malware 1.50.1.1100 |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTL Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
All processes killed |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Zugriff auf "Eigene Dateien" ist kein Problem. Der TDSSKiller hat auch nichts gefunden, was hätte gelöscht werden können. Hier das Protokoll: 2011/04/26 18:44:01.0970 3552 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28 |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Combofix Logfile: Code: ComboFix 11-04-25.03 - mr 26.04.2011 20:38:09.1.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
GMER Logfile: Code: GMER 1.0.15.15570 - hxxp://www.gmer.net OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x000007fc Kernel Drivers (total 132): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806E6000 \WINDOWS\system32\hal.dll 0xF7A90000 \WINDOWS\system32\KDCOM.DLL 0xF79A0000 \WINDOWS\system32\BOOTVID.dll 0xF7460000 ACPI.sys 0xF7A92000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF744F000 pci.sys 0xF7590000 isapnp.sys 0xF75A0000 ohci1394.sys 0xF75B0000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF7B58000 pciide.sys 0xF7810000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7A94000 viaide.sys 0xF75C0000 MountMgr.sys 0xF7430000 ftdisk.sys 0xF7A96000 dmload.sys 0xF740A000 dmio.sys 0xF7818000 PartMgr.sys 0xF7820000 videX32.sys 0xF75D0000 VolSnap.sys 0xF73F2000 atapi.sys 0xF75E0000 disk.sys 0xF75F0000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF73D2000 fltmgr.sys 0xF73C0000 sr.sys 0xF7828000 xfilt.sys 0xF7600000 PxHelp20.sys 0xF73A9000 KSecDD.sys 0xF731C000 Ntfs.sys 0xF72EF000 NDIS.sys 0xF7610000 uagp35.sys 0xF72D5000 Mup.sys 0xF6B40000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF641A000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xF6406000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF6B30000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF7A84000 \SystemRoot\system32\drivers\iviaspi.sys 0xF7640000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF7650000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF63E3000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7920000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF63BF000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF7928000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF7660000 \SystemRoot\system32\DRIVERS\fetnd5bv.sys 0xF6397000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF6289000 \SystemRoot\system32\DRIVERS\3xHybrid.sys 0xF72B1000 \SystemRoot\system32\DRIVERS\BdaSup.SYS 0xF7930000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF7670000 \SystemRoot\system32\DRIVERS\serial.sys 0xF72AD000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF6275000 \SystemRoot\system32\DRIVERS\parport.sys 0xF7680000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7938000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7940000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF7ADC000 \SystemRoot\System32\Drivers\x10hid.sys 0xF7690000 \SystemRoot\System32\Drivers\HIDCLASS.SYS 0xF7948000 \SystemRoot\System32\Drivers\HIDPARSE.SYS 0xF7CC2000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF76A0000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF72A9000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF625E000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF76B0000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF76C0000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF7950000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF7958000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF7960000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF6206000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF76D0000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7ADE000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF61A8000 \SystemRoot\system32\DRIVERS\update.sys 0xF7291000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF728D000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0xF7700000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF7710000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7AEA000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF3C2C000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xF3C08000 \SystemRoot\system32\drivers\portcls.sys 0xF7720000 \SystemRoot\system32\drivers\drmk.sys 0xF7AEE000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7B76000 \SystemRoot\System32\Drivers\Null.SYS 0xF7AF0000 \SystemRoot\System32\Drivers\Beep.SYS 0xF7980000 \SystemRoot\System32\drivers\vga.sys 0xF7AF2000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7AF4000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF7988000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF7990000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF6256000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xF3B85000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xF7740000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF3B2C000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xF3B04000 \SystemRoot\system32\DRIVERS\netbt.sys 0xF3ADE000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF7750000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF3ABC000 \SystemRoot\System32\drivers\afd.sys 0xF7760000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF7998000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xF3AAA000 \??\C:\WINDOWS\system32\drivers\Sleen15.sys 0xF3A7F000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xF3A0F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF7770000 \SystemRoot\System32\Drivers\Fips.SYS 0xF39E9000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7B04000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF399D000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xF7870000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xF7878000 \SystemRoot\System32\Drivers\x10ufx2.sys 0xF6E5E000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xF3985000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF7A9A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF61A4000 \SystemRoot\System32\drivers\Dxapi.sys 0xF7888000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7CA1000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBA6D3000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xF78F0000 \SystemRoot\system32\DRIVERS\AegisP.sys 0xBA6C3000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xBA44E000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xBA3BD000 \SystemRoot\System32\Drivers\HTTP.sys 0xBA275000 \SystemRoot\system32\DRIVERS\srv.sys 0xB9B5D000 \SystemRoot\system32\drivers\wdmaud.sys 0xBA05A000 \SystemRoot\system32\drivers\sysaudio.sys 0xF7B40000 \SystemRoot\system32\drivers\MSPQM.sys 0xBF593000 \SystemRoot\System32\ATMFD.DLL 0xF7918000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xB9578000 \SystemRoot\system32\DRIVERS\usbscan.sys 0xF78A8000 \SystemRoot\system32\DRIVERS\usbprint.sys 0xF78B8000 \SystemRoot\system32\DRIVERS\HPZius12.sys 0xB91E8000 \SystemRoot\system32\DRIVERS\HPZid412.sys 0xB9574000 \SystemRoot\system32\DRIVERS\HPZipr12.sys 0xB8815000 \??\C:\DOKUME~1\mr\LOKALE~1\Temp\fgtdypow.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 63): 0 System Idle Process 4 System 420 C:\WINDOWS\system32\smss.exe 480 csrss.exe 504 C:\WINDOWS\system32\winlogon.exe 548 C:\WINDOWS\system32\services.exe 560 C:\WINDOWS\system32\lsass.exe 748 C:\WINDOWS\system32\svchost.exe 800 svchost.exe 868 C:\WINDOWS\system32\svchost.exe 964 svchost.exe 1096 svchost.exe 1184 C:\WINDOWS\system32\spoolsv.exe 1276 svchost.exe 1364 C:\WINDOWS\ehome\ehrecvr.exe 1380 C:\WINDOWS\ehome\ehSched.exe 1456 C:\WINDOWS\system32\svchost.exe 1504 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe 1556 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE 1696 C:\WINDOWS\system32\nvsvc32.exe 1772 C:\WINDOWS\system32\HPZipm12.exe 1828 C:\Programme\CyberLink\Shared Files\RichVideo.exe 1896 C:\Programme\Sceneo\Bonavista\Services\PVR\pvrservice.exe 696 svchost.exe 852 C:\WINDOWS\system32\svchost.exe 916 C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe 1056 C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe 1352 C:\Programme\Common Files\X10\Common\X10nets.exe 1868 mcrdsvc.exe 2004 wmpnetwk.exe 2140 C:\Programme\Canon\CAL\CALMAIN.exe 2528 C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe 2924 C:\WINDOWS\explorer.exe 3068 C:\WINDOWS\system32\dllhost.exe 3368 alg.exe 3736 C:\WINDOWS\ehome\ehtray.exe 3748 C:\WINDOWS\RTHDCPL.exe 3772 C:\WINDOWS\ehome\ehmsas.exe 3884 C:\WINDOWS\system32\rundll32.exe 3940 C:\Programme\SMSC\SetIcon.exe 4016 C:\Programme\Home Cinema\TV Enhance\TVEService.exe 356 C:\Programme\ScanSoft\OmniPageSE4.0\OpWareSE4.exe 368 C:\Programme\Steganos Safe Home\SteganosHotKeyService.exe 1408 C:\WINDOWS\system32\rundll32.exe 2300 C:\Programme\HP\HP Software Update\hpwuSchd2.exe 2324 C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCApp.exe 2312 C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe 2072 C:\Programme\Windows Media Player\wmpnscfg.exe 2124 C:\Programme\Microsoft ActiveSync\wcescomm.exe 2136 C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe 2712 C:\PROGRA~1\MI3AA1~1\rapimgr.exe 2992 C:\Programme\OpenOffice.org 2.0\program\soffice.exe 3076 C:\Programme\OpenOffice.org 2.0\program\soffice.bin 3140 C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe 2892 C:\Programme\HP\Digital Imaging\bin\hpqste08.exe 4004 C:\Programme\Mozilla Firefox\firefox.exe 4068 C:\Programme\Mozilla Firefox\plugin-container.exe 2352 C:\Programme\Avira\AntiVir Desktop\avguard.exe 2336 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 4076 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 3680 C:\Programme\Avira\AntiVir Desktop\sched.exe 2620 C:\Dokumente und Einstellungen\mr\Desktop\osam_autorun_manager_5_0_portable\osam.exe 3400 C:\Dokumente und Einstellungen\mr\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000045`a3811400 (FAT32) \\.\J: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (FAT32) PhysicalDrive0 Model Number: ST3320820AS, Rev: 3.AAC PhysicalDrive1 Model Number: ST3500820AS, Rev: SD45 Size Device Name MBR Status -------------------------------------------- 298 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 37A7DEC0F491D819C35BCE1B3E4CD6BC5576EDC4 465 GB \\.\PhysicalDrive1 Unknown MBR code SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Done! |
Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: registry keys to delete: 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken |
Hi Arne, ich hab den Avenger zweimal ausgeführt, weil ich beim ersten mal den Haken bei "Automatically disable any rootkits found" vergessen hatte. Leider war danach das Logfile vom erstenmal mit dem neuen überschrieben. Sorry. Im ersten stand aber, daß er den HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8} erfolgreich gelöscht hat. Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}" not found! Deletion of registry key "HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Backupfiles (zuerst die neue, dann die vom ersten mal) hxxp://www.file-upload.net/download-3390028/backup.zip.html hxxp://www.file-upload.net/download-3390059/backup-27.04.2011-15.10.04-89.zip.html |
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board