Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   problem starting cmstougc.dll (https://www.trojaner-board.de/89274-problem-starting-cmstougc-dll.html)

arsten 08.08.2010 22:25
problem starting cmstougc.dll
 
Hallo!

Mein erstes Thema. Ich fange am besten gleich mit der Beschreibung meines Problems an.

Jedes mal nach Hochfahren des Computers wird eine Fehlermeldung angezeigt,
die wie folgt lautet:

There was a problem starting
C:\Users\***\AppData\Local\Temp\cmstougc.dll
The specified module could not be found

Als erstes habe ich google nach cmstougc.dll befragt, ohne Erfolg. Stattdessen meinte google, ob ich nicht lieber etwas über cmsetac.dll wissen möchte und verwies mich auf folgende Seite
-> h**p://w*w.threatexpert.com/files/cmsetac.dll.html

Dort heißt es, dass von der Datei cmsetac.dll zu 98% eine Bedrohung ausgeht. Da wurde mir dann ein bisschen unheimlich, da die Datei der Fehlermeldung ja ähnlich klingt.

Beim Thema "Rundll Fehler baim Laden..." hier im Forum geht es ja auch um eine dll Datei, weswegen ich die Anweisung, mit OTL.exe ein OTL.Txt und ein
Extras.Txt anzufertigen, auch vorsichtshalber befolgt habe.

Ich hoffe die .txt-Dateien sind jetzt irgendwo im Anhang zu finden.

Ich freue mich über jeden Ratschlag.

Gruß, arsten

cosinus 09.08.2010 10:36
Hallo,

hast Du schon malwarebytes ausgeführt?

arsten 09.08.2010 17:33
So habe Malwarebytes ausgeführt.

Es sind 4 infizierte Dateien gefunden und anschließend entfernt worden.

Und nach dem Neustart auch keine Fehlermeldung mehr.

Ich danke dir cosinus.

Die txt-Datei hänge ich trotzdem mal an, vielleicht interessiert es ja irgendjemanden.

Ansonsten noch einen schönen Tag!!!!

cosinus 09.08.2010 18:50
Ähm, nach welcher Anleitung hast Du OTL ausgeführt? Das sieht sehr nach einem Custom Scan aus. Sowas lese ich eigentlich nur bei Bedarf. Mach bitte einen normalen Durchgang:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

arsten 10.08.2010 12:16
Ich habe nach der Anleitung OTL ausgeführt, wie sie in diesem Thema hier im Forum mal vorgeschlagen war.

http://www.trojaner-board.de/89266-r...aim-laden.html

Hab das jetzt nochmal gemacht. Dürfte im Anhang sein.

Gruß
arsten

cosinus 10.08.2010 13:05
Sieht rel. unauffällig aus. Aber ich würde noch einen Durchgang mit CF vorschlagen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

arsten 11.08.2010 13:05
So habe auch mal combifix ausgeführt. Hier die Ergebnisse:


Combofix Logfile:
Code:
ComboFix 10-08-09.03 - ninja 11.08.2010  13:54:29.1.2 - x86
Microsoft Windows 7 Professional  6.1.7600.0.1252.49.1033.18.2046.1328 [GMT 2:00]
ausgeführt von:: c:\users\ninja\Desktop\cofi.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\pdfforge Toolbar\SearchSettings.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2010-07-11 bis 2010-08-11  ))))))))))))))))))))))))))))))
.

2010-08-11 11:59 . 2010-08-11 11:59        --------        d-----w-        c:\users\ninja\AppData\Local\temp
2010-08-11 11:59 . 2010-08-11 11:59        --------        d-----w-        c:\users\Default\AppData\Local\temp
2010-08-09 15:04 . 2010-08-09 15:04        --------        d-----w-        c:\users\ninja\AppData\Roaming\Malwarebytes
2010-08-09 15:04 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-09 15:04 . 2010-08-09 15:04        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2010-08-09 15:04 . 2010-08-09 15:04        --------        d-----w-        c:\programdata\Malwarebytes
2010-08-09 15:04 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-11 11:59 . 2010-03-14 14:03        --------        d-----w-        c:\program files\pdfforge Toolbar
2010-08-09 22:43 . 2010-03-14 17:56        --------        d-----w-        c:\users\ninja\AppData\Roaming\vlc
2010-08-09 16:09 . 2010-03-16 19:21        --------        d-----w-        c:\program files\Last.fm
2010-08-09 14:59 . 2010-03-14 13:56        --------        d-----w-        c:\users\ninja\AppData\Roaming\Skype
2010-08-09 14:09 . 2010-03-18 15:14        --------        d-----w-        c:\users\ninja\AppData\Roaming\skypePM
2010-07-25 17:48 . 2010-05-24 14:20        1        ----a-w-        c:\users\ninja\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-21 19:32 . 2010-04-04 19:42        --------        d-----w-        c:\users\ninja\AppData\Roaming\dvdcss
2010-07-14 07:37 . 2010-03-14 14:08        --------        d-----w-        c:\programdata\Microsoft Help
2010-07-03 09:04 . 2010-03-14 12:47        --------        d-----w-        c:\program files\Opera
2010-06-27 17:58 . 2010-06-27 17:58        --------        d-----w-        c:\programdata\PC Drivers HeadQuarters
2010-06-26 00:17 . 2010-03-14 14:11        --------        d-----w-        c:\program files\Microsoft.NET
2010-05-27 07:24 . 2010-06-10 05:35        34304        ----a-w-        c:\windows\system32\atmlib.dll
2010-05-27 03:49 . 2010-06-10 05:35        293888        ----a-w-        c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2010-03-14 10:10        221568        ------w-        c:\windows\system32\MpSigStub.exe
2010-05-21 05:18 . 2010-06-10 05:35        977920        ----a-w-        c:\windows\system32\wininet.dll
2009-06-10 21:26 . 2009-07-14 02:04        9633792        --sha-r-        c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42        396800        --sha-w-        c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SearchSettings"="c:\program files\pdfforge Toolbar\SearchSettings.exe" [2010-01-08 974848]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

c:\users\ninja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Screen Clipper and Launcher.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-23 270336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [2010-01-20 14216]
R3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [2010-01-20 8456]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2010-01-07 380928]
S3 DCamUSBGene;Genesys Logic USB2.0 PC Camera;c:\windows\system32\DRIVERS\usbgene.sys [2008-10-02 175360]
S3 netr28;Ralink 802.11n Wireless Driver for Windows Vista;c:\windows\system32\DRIVERS\netr28.sys [2009-07-13 530944]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPService        REG_MULTI_SZ          HPSLPSVC
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
Toolbar-{B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2010-08-11  14:01:25
ComboFix-quarantined-files.txt  2010-08-11 12:01

Vor Suchlauf: 85.396.209.664 bytes free
Nach Suchlauf: 85.312.114.688 bytes free

- - End Of File - - 4654E237EFF385F3E7954EE25E3975E5
--- --- ---

cosinus 11.08.2010 13:18
Sieht ok aus.
Noch Probleme oder weitere Funde in der Zwischenzeit?

arsten 11.08.2010 14:33
Keine weiteren Funde. Computer läuft wie sonst auch.


Großen Dank und vielleicht auf ein anderes mal.

cosinus 11.08.2010 15:22
Gut, dann bitte die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19