Hallo,

habe seit etwa 2 Wochen nun das Problem, dass sich etwa alle 3-5 Minuten ein Errorfenster mit der Beschriftung "RunDll - Problem beim Starten von - falscher Parameter", geöffnet wird.
Bisher habe ich es gekonnt ignoriert, aber mittlerweile geht es wirklich unfassbar auf die Nerven, zumal ich selbst keine Ursache finden konnte.

Hoffentlich kann mir hier jemand weiterhelfen.


Mfg Luca

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.

Schritt 1
Die folgenden Programme sind veraltet, stören die Bereinigung oder es handelt sich um Werbesoftware bzw. unerwünschte Software (Adware, PUP) und müssen entfernt werden.

• Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
  • TotalAV
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallationen
• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Danke schon mal für die schnelle Rückmeldung.

Zu den einzelnen Schritten:
- Die Deinstallation von TotalAV hat ohne Probleme funktioniert.
- Seit der Installation von Malwarebytes bekomme ich die RunDll Fehlermeldung nicht mehr, stattdessen allerdings in regelmäßigen Abständen eine Meldung die ich auch in die Anhänge gepackt habe. Außerdem ist mein Laptop nach dem Neustart nach dem Scan von Malwarebytes im Neustartscreen gefreezed und ich musste ihn per On-/Offtaste abschalten
- Der Neustart nach dem Scan von AdwCleaner hat wieder ohne Probleme funktioniert.

Kontrolle mit FRST:

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Hier die 2 neuen Logdateien.

Und weiter gehts...








Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  CloseProcesses:
  HKU\S-1-5-21-2572994970-3659432436-2520546957-1001\...\Run: [tibqanobatib] => C:\Users\lucab\tibqanobatib.exe
  HKU\S-1-5-21-2572994970-3659432436-2520546957-1001\...\Run: [Regedit32] => C:\WINDOWS\system32\regedit.exe
  File: C:\WINDOWS\system32\regedit.exe
  VirusTotal: C:\WINDOWS\system32\regedit.exe
  C:\Users\lucab\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartClock.lnk
  C:\Users\lucab\AppData\Roaming\Smart Clock
  GroupPolicy: Beschränkung ? <==== ACHTUNG
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
  HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
  Task: {7173DE2F-87CD-4C0A-BDB9-C455312EC0EE} - System32\Tasks\DispleyService => C:\ProgramData\mTJYM5xceGdq0qn\DispleyService.exe [423936 2020-11-03] () [Datei ist nicht signiert]
  C:\ProgramData\mTJYM5xceGdq0qn
  Task: {8A2E6C86-BCCE-4069-BB3F-BA35EE8F4AE1} - System32\Tasks\NvNgxUpdateCheckDaily_{A6B397E0-97E0-97E0-97E0-A6B397E097E0} => C:\Users\lucab\AppData\Roaming\vaeedet.exe <==== ACHTUNG
  C:\Users\lucab\AppData\Roaming\vaeedet.exe
  R2 AMSProtectedService; C:\Program Files (x86)\TotalAV\savapi\elam_ppl\amsprotectedservice.exe [639304 2019-12-09] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) <==== ACHTUNG
  R2 SecurityService; C:\Program Files (x86)\TotalAV\SecurityService.exe [5472168 2020-06-24] (Protected Antivirus Limited -> TotalAV) <==== ACHTUNG
  R2 SecurityServiceMonitor; C:\Program Files (x86)\TotalAV\SecurityService.exe [5472168 2020-06-24] (Protected Antivirus Limited -> TotalAV) <==== ACHTUNG
  S2 SystemServices; C:\Program Files\qemu\SystemServices.exe [122368 2020-01-08] () [Datei ist nicht signiert]
  C:\Program Files\qemu
  R2 VBoxVmService; C:\vms\VBoxVmService64.exe [127488 2017-10-19] () [Datei ist nicht signiert]
  C:\vms
  R1 webshieldfilter; C:\WINDOWS\System32\drivers\webshieldfilter.sys [96264 2020-05-29] (Microsoft Windows Hardware Compatibility Publisher -> Windows (R) Win 7 DDK provider)
  C:\WINDOWS\System32\drivers\webshieldfilter.sys
  C:\ProgramData\SecuritySuite
  C:\ProgramData\mTJYM5xceGdq0qn
  C:\ProgramData\ayNIdkFdzL7re
  C:\ProgramData\LQP47IZqUwT35
  C:\ProgramData\2y2G4IK2Ixpwct7
  C:\ProgramData\Windows Host
  C:\ProgramData\984201.bat
  C:\ProgramData\420462.bat
  C:\Users\lucab\OneDrive\Dokumente\VlcpVideoV1.0.1
  C:\ProgramData\sib
  C:\Program Files (x86)\dz7d9shn0mvi
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
  C:\Program Files\Oracle\VirtualBox
  Folder: C:\Users\lucab\AppData\Roaming\sys00_1
  CHR StartupUrls: Default -> "hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxp://google.de/"
  CMD: ipconfig /flushdns
  CMD: netsh winsock reset
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: Bitsadmin /Reset /Allusers
  Hosts:
  RemoveProxy:
  SystemRestore: On 
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Wow. Also alle Meldungen sind weg. Danke

Wir führen noch ein paar Kontrollen durch. Das war doch eine größere Infektion.





Schritt 1
Google Chrome ist mit Malware infiziert und muss komplett entfernen werden.

• Deinstalliere über Start > Einstellungen > Apps bzw. Start > Systemsteuerung > Programme deinstallieren die folgenden Programme:
  • Google Chrome
• Setze bei der Deinstallation auch einen Haken vor Auch die Browserdaten löschen.
• Starte den Rechner im Anschluss neu auf.
• Gib eine kurze Rückmeldung, ob die Deinstallation erfolgreich war.
• Installiere Google Chrome neu (falls benötigt). Vorerst keine Erweiterungen/Plugins installieren und nicht mit einem evtl. vorhandenen Konto verbinden/synchronisieren.

Schritt 2
Führe Emsisoft Emergency Kit (EEK) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.






Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallation
• die Logdatei von EEK
• die Logdatei von RogueKiller

Na zum Glück hab ich mich dann doch dazu entschieden, mal auf diesem Forum nach Hilfe zu fragen.

Bei der Deinstallation ist alles gut verlaufen. Außer dass sich nie ein Fenster geöffnet hat bei dem ich - Browserdaten löschen - ankreuzen hätte können. Lediglich ein Bestätigungsfenster für Administratoren hat sich geöffnet.

Zitat:

D:\Downloads\Output\R2R\Output_KeyGen_by_R2R.exe erkannt: Trojan.GenericKD.32388376 (B) [krnl.xmd]

Cracks, Keygens und andere illegale Software

Bitte lesen => Cracks, Keygens und andere illegale Software

Es geht weiter wenn du alles Illegale entfernt hast.

Bei wiederholten Crack/Keygen Verstößen behalte ich es mir vor, den Support einzustellen, d.h. Hilfe nur noch bei der Datensicherung und Neuinstallation des Betriebssystems.

Und wenn ich mir dann ansehe, dass du noch eine veraltete Version von Windows verwendest...

Zitat:

Platform: Windows 10 Home Version 1909 18363.1198 (X64) Sprache: Deutsch (Deutschland)

... solltest du eine saubere Neuinstallation durchführen. Damit wäre dann auch sichergestellt, dass kein illegaler Müll mehr auf dem System ist.
Dadurch hast du nämlich dein System infiziert.



Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.