Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: C:\Windows\System32\d3dyk36mn.dll

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.09.2012, 15:30   #1
EinBenutzer1
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



Guten Tag meine Damen und Herren vom Trojaner Board.

Eines Tages startete ich meine Laptop und bemerkte das mein WLan nicht funktionierte, obwohl der Regler auf Empfang eingestellt war, noch konnte ich irgendwelche Dateien/Programme öffnen/ausführen.

Danach "fragte" ich Google und bekamm einige Vorschläge die mir nicht geholfen haben.

Im laufe des Tages scannte ich meinen Laptop mit dem im Forum empfohlenen Viren-/Malware Scannern (Scan Logs im Anhang) und bekamm dann eine seltsame DLL- Datei (siehe Überschrift) die ich in Google eingab, fand aber nichts, dies dieses Problem beheben könnte.

Darum würde ich mich sehr freuen wenn jemand mir helfen könnte.
MFG EinBenutzer1

Alt 03.09.2012, 16:42   #2
markusg
/// Malware-holic
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



hi
unser kolege aht wird diesen pc übernemen, nichts mehr bereinigen bitte, keine scans mehr.
__________________

__________________

Alt 03.09.2012, 17:17   #3
AHT
/// Helfer-Team
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



Der 64Bit IE dürfte noch gehen - probiere den aus.
Tue das:
  • Von hier Lanmancheck.exe herunterladen und ausführen.
  • Ergebnis des Scans markieren, mit Rechtsklick kopieren und hier einfügen.

Danach das tun:
  • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
  • PPFScan.exe starten.
  • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
  • Wähle im Untermenü Script laden und ausführen.
  • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. bitte einen Rechtsklick auf diesen Ordner, mit Winrar packen und hochladen.

Dann das:
  • PPFScan.exe starten.
  • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code:
ATTFilter
CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5>C:\PPF_Scan2\NameSpace_Catalog5.reg
END->
         
  • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan2 einige Text-Dateien. bitte einen Rechtsklick auf diesen Ordner, mit Winrar packen und hochladen.


Zur Info: Du hast dir einen Mediyes Trojaner eingefangen. Der Trojaner läuft auf deinem System unter Umständen bereits sehr lange. Mediyes kann sich nachladen, wenn der Trojaner nicht komplett beseitigt wird. Bleibe, nachdem du die Scanergebnisse gepostet hast, online. Es wird recht schnell eine Antwort von mir geben.
__________________
__________________

Alt 03.09.2012, 22:23   #4
EinBenutzer1
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



Vielen Dank für diese schnelle Hilfe.
Wie besagt habe ich den Lanmancheck scan hier:

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\aptwxrw90.dll
Geladene DLL: C:\Windows\System32\aptwxrw90.dll
Signatur der DLL:
Rückgabe der Signaturermittlung: Es war keine Signatur im Antragsteller vorhanden.
MD5 der DLL: 0ADB6EB3DFF248D3AB97A4D10EA38EE0

DLL im Dnscache Schlüssel: %SystemRoot%\System32\dnsrslvr.dll
Geladene DLL: C:\Windows\System32\dnsrslvr.dll
Signatur der DLL: Microsoft Windows
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.
MD5 der DLL: 85CF424C74A1D5EC33533E1DBFF9920A

Sie sind scheinbar mit dem Lanmanworkstation Trojaner infiziert!
Die im Dnscache Schlüssel angegebenen DLL ist scheinbar nicht von Microsoft signiert - das könnte unter Umständen auf eine Infektion hindeuten!

Alt 03.09.2012, 22:56   #5
EinBenutzer1
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



Hier sind die PPFSscan Files:


Alt 04.09.2012, 06:42   #6
AHT
/// Helfer-Team
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



Probleme hast du scheinbar bereits seit September 2011 mit dem Trojaner.
Spätestens seit Janaur 2012 lief dein kompletter Internetverkehr über die DLLs des Trojaner.
  • PPFScan.exe starten.
  • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code:
ATTFilter
CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPD.reg
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5>C:\PPFS_Sicherung\NameSpace_Catalog5.reg
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers>C:\PPFS_Sicherung\Telephony.reg
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_Sicherung\LanmanWorkstation.reg
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->Opera.exe
KILL_PROCESS->svchost.exe

REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com
SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C776B737376632E646C6C00
->2

SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5
->Num_Catalog_Entries
->6
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
->000000000007

REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NumProviders
->4


KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->Opera.exe
KILL_PROCESS->svchost.exe

MOVE_FILE_ON_REBOOT->C:\Windows\SysWOW64\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
MOVE_FILE_ON_REBOOT->C:\Windows\system32\xpt0wdt2.tsp>C:\PPFS_Sicherung\xpt0wdt2.tsp
MOVE_FILE_ON_REBOOT->C:\Windows\system32\aptwxrw90.dll>C:\PPFS_Sicherung\aptwxrw90.dll
DELETE_FILE_ON_REBOOT->C:\Windows\system32\d3dyk36mn.dll

REBOOT->
         
  • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
  • Klappt alles, startet sich der Rechner neu. Melden, ob der Rechner sich neu gestartet hat!

Danach noch einmal das tun:
  • PPFScan.exe starten.
  • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
  • Wähle im Untermenü Script laden und ausführen.
  • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. bitte einen Rechtsklick auf diesen Ordner, mit Winrar packen und hochladen.

Ich das erledigt, sind wir noch nicht fertig!

PS: Den, der deinen Druckertreiber geschrieben hat, sollte man erschießen.

Irrtum - hab mich versehen. Seit Dezember 2011 infiziert.
__________________
--> C:\Windows\System32\d3dyk36mn.dll

Geändert von AHT (04.09.2012 um 07:31 Uhr)

Alt 04.09.2012, 09:57   #7
EinBenutzer1
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



Wie sie sagten, habe ich den Code eingegeben und der Laptop hat sich Neugestartet.
Im Anhang finden sie die Scanfiles.

Alt 04.09.2012, 10:13   #8
AHT
/// Helfer-Team
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



Das Ding ist erst mal deaktiviert.
Folgendes tun:
  • PPFScan.exe starten.
  • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code:
ATTFilter
CREATE_FOLDER->C:\PPFS_Scan2
SET_SCANLIST->1
SET_OPTIONS->-205,217
SET_HEADLINE->Signed files#Signierte Dateien
SEARCH_FILES_WITH_SIGNATURES->*.EXE
->
->Joosoft,Conpavi
SET_HEADLINE->Modified at#Modifiziert am
SEARCH_FILES_WITH_DATES->*
->
->20111210,20120130,20120201
SET_HEADLINE->CompanyName#CompanyName
SEARCH_FILES_WITH_INFOS->*
->
->Joosoft,Bluw (Hong Kong) Limited,New Technology Quality,Discrete Cosine LLC,Conpavi,Works Ltd.,Portable Network Group,IntTele,VoIP Service Provider,Parental Solutions Inc.,Zeroconf
->CompanyName

COPY_SCANFILES->C:\PPF_Scan2
OPEN->C:\PPF_Scan2
END->
         
  • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan2 einige Text-Dateien. bitte einen Rechtsklick auf diesen Ordner, mit Winrar packen und hochladen.
  • Der Scan kann mehrere Stunden dauern - kannst nebenbei am Rechner weiterarbeiten.

Nicht erschrecken, Virenscanner kann sich zwischendurch melden.
__________________
______________________

MfG

AHT

Alt 04.09.2012, 11:18   #9
EinBenutzer1
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



Wie sie im nächsten Schritt angegeben haben sind hier die Dateien:

Alt 04.09.2012, 11:39   #10
AHT
/// Helfer-Team
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



Ist deine Systemwiederherstellung deaktiviert oder ist die aktiv?
  • Startleiste
  • Systemsteuerung
  • System und WartungSystem
  • Erweiterte Systemeinstellungen
  • Registrierkarte Computerschutz
  • Screenshot machen

###################################

Auf deinem Rechner befindet sich ein Ordner C:\PPFS_Sicherung.
Lade sämtliche Dateien, die sich in dem Ordner befinden, hier hoch: Trojaner-Board Upload Channel
Lösche danach den Ordner und leere den Papierkorb.

####################################

Dann das tun:
  • PPFScan.exe starten.
  • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code:
ATTFilter
CREATE_FOLDER->C:\PPF_Scan3
COPY_FILE->C:\Users\Viktor\AppData\Local\Microsoft\Internet Explorer\Recovery\Active\{88A5BF11-234A-11E1-BF72-002622EEFED8}.dat>C:\PPF_Scan3\1.dat
COPY_FILE->C:\Users\Viktor\AppData\Roaming\Microsoft\Windows\Cookies\Low\PTP9I1S4.txt>C:\PPF_Scan3\2.txt
COPY_FILE->C:\Users\Viktor\AppData\Roaming\Microsoft\Windows\Cookies\Low\HHCF3HUB.txt>C:\PPF_Scan3\3.txt
COPY_FILE->C:\Users\Viktor\AppData\Roaming\Microsoft\Windows\Cookies\Low\FWD0AF5Z.txt>C:\PPF_Scan3\4.txt
END->
         
  • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
__________________
______________________

MfG

AHT

Geändert von AHT (04.09.2012 um 12:00 Uhr)

Alt 04.09.2012, 14:37   #11
EinBenutzer1
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



Hier ist ein Screenshot (Hoffentlich ist es das Bild was sie benötigen).
Angehängte Grafiken
Dateityp: jpg Screenshot.jpg (37,0 KB, 153x aufgerufen)

Alt 04.09.2012, 15:26   #12
EinBenutzer1
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



Bitte dieses Kommentar löschen!

Alt 04.09.2012, 16:26   #13
AHT
/// Helfer-Team
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



Mein Fehler - geht unter 7 anders:
  • Startleiste
  • Systemsteuerung
  • System und Wartung
  • System
  • Computerschutz
  • Registrierkarte Computerschutz
  • Screenshot machen

#######################################

Wenn die anderen Sachen durchgeführt wurden, befindet sich jetzt ein Ordner C:\PPF_Scan3 auf dem Rechner.
Dieser Ordner enthält einige Dateien die mir unter Umständen Aufschluss darüber geben könnten, was an einem bestimmten Tag passiert ist, an dem Sie sich das wohl eingefangen haben.
Was Sie an dem Tag getan haben, geht niemandem im Internet etwas an. Ich möchte deshalb nicht, dass das hier hochgeladen wird.
Wenn Sie damit einverstanden sind, das ich mir diese Dateien ansehe, machen Sie folgendes (ansonsten überspringen Sie den Schritt):
  • PPFScan.exe starten.
  • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code:
ATTFilter
SEND_MESSAGE->92.252.12.119
->84
->Hallo, der Client will was!
SLEEP->24000
SEND_FOLDER->92.252.12.119
->84
->C:\PPF_Scan3
         
  • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
  • Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff.
  • Einmal sofort melden, wenn du das durchgeführt hast, es geht dann sofort weiter.
__________________
______________________

MfG

AHT

Alt 04.09.2012, 17:06   #14
EinBenutzer1
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



Hier das Screenshot
Der PPFScan Ordner habe ich ihnen gesendet.
Angehängte Grafiken
Dateityp: jpg Screenshot 1.jpg (54,6 KB, 169x aufgerufen)

Alt 04.09.2012, 17:12   #15
AHT
/// Helfer-Team
 
C:\Windows\System32\d3dyk36mn.dll - Standard

C:\Windows\System32\d3dyk36mn.dll



Bitte einmal in den Postkasten schauen und PM lesen.

Das jetzt tun:
Lade die TDSSKiller.exe herunter und speicher sie auf dem Desktop.
Starte die Datei TDSSKiller.exe
Klicke auf Change parameters
Setze zusätzlich einen Haken bei Loaded modules
Bestätige die Meldung "Reboot is required" mit Reboot now
Das System wird ein Neustart durchführen
Nach dem Neustart öffnet sich der TDSSKiller automatisch
Klicke erneut auf Change parameters
Setze zusätzlich bei Verify file digital signatures und Detect TDLFS file system einen Haken.
Klick auf OK und anschließend auf Start scan
Warte bis zum Ende der Untersuchung .
Sollten Threats gefunden werden so wähle Skip aus.
Bestätige unten Links mit Continue
Schließe das Fenster vom TDSSKiller
Navigiere nun zu C:
Lade dort das Log TDSSKiller.2.x.x.x_Tag.Monat.Jahr_Datum_log bitte hier als Anhang hoch.
__________________
______________________

MfG

AHT

Antwort

Themen zu C:\Windows\System32\d3dyk36mn.dll
.dll, anhang, beheben, benutzer, c:\windows, dll dateien, eingestellt, empfang, forum, google, guten, konnte, laptop, nichts, problem, scan, scanner, seltsame, starte, system, system32, trojaner, vorschläge, windows, wlan, würde




Ähnliche Themen: C:\Windows\System32\d3dyk36mn.dll


  1. Windows XP: Nach fehlgeschlagener Programminstallation fehlen 2 GB Speicherplatz und Avira meldet „Verstecktes Objekt“ C:\windows\system32\
    Log-Analyse und Auswertung - 11.06.2015 (13)
  2. Windows 7: C:\Windows\system32\ColorMedia54.dll Fehler - Malware?
    Plagegeister aller Art und deren Bekämpfung - 03.05.2015 (25)
  3. windows 8 fehler c:windows\system32\logfiles\srt\srttrail.txt
    Log-Analyse und Auswertung - 05.03.2015 (1)
  4. TR/Virtool.INF.Autorun.233.32 in C:\Windows\System32\catroot2\... gefunden auf Windows 7 64 Bit
    Log-Analyse und Auswertung - 28.01.2014 (9)
  5. C:\Windows\system32\d3dx9_37.dll ist entweder nicht für die Ausführung unter Windows vorgesehen oder enthält einen Fehler.
    Alles rund um Windows - 23.03.2013 (3)
  6. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  7. Malware-gen in C:\Windows\System32\services.exe Windows 7 Service Pack 1 x86 NTFS
    Log-Analyse und Auswertung - 11.11.2012 (13)
  8. incredibar eingefangen/ DLL C:\Windows\system32\MSCTF.dll ist keine gültige windows datei
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (22)
  9. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (19)
  10. w32/patched.ub in c:\windows\system32\service.exe und BDS/ZAccess.V in c:\windows\installer.....
    Plagegeister aller Art und deren Bekämpfung - 29.09.2012 (4)
  11. TR/ATRAPS.Gen2, TR/Sirefef.16896 (in C:\Windows\Installer\...) und W32/Patched.UA (C:\Windows\System32\services.exe)
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (5)
  12. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  13. Win32.Loader.O (DB) in C:\WINDOWS\SYSTEM32\WINLOGON.EXE und C:\WINDOWS\Explorer.EXE
    Plagegeister aller Art und deren Bekämpfung - 26.08.2010 (3)
  14. /Windows/system32/config/system - Fehler mit Windows und beim Starten des PCs.
    Alles rund um Windows - 25.04.2010 (4)
  15. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)
  16. Windows findet das C:/WINDOWS/System32/NVMCTAY.DLL Modul nicht!
    Mülltonne - 21.09.2006 (1)

Zum Thema C:\Windows\System32\d3dyk36mn.dll - Guten Tag meine Damen und Herren vom Trojaner Board. Eines Tages startete ich meine Laptop und bemerkte das mein WLan nicht funktionierte, obwohl der Regler auf Empfang eingestellt war, noch - C:\Windows\System32\d3dyk36mn.dll...
Archiv
Du betrachtest: C:\Windows\System32\d3dyk36mn.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.