|
Windows 7 lässt sich nicht mehr anmelden: dwlgina3.dll Hallo zusammen, mein Windows 7 lässt sich nicht mehr anmelden. Ich möchte meine Daten retten und hoffe, dass mir jemand helfen kann, Windows zumindest kurzfristig wiederzubeleben. Folgendes ist geschehen: Gestern meldete meine Antivirensoftware von Avira Antivir Premium Security Suite 2012 eine Malware beim der Einblendung einer Werbung, bei der gleichzeitig zwei Fenster geöffnet wurden: can not find dwlgina3.dll und angeblich ein Programm: rx5iur6idx Ich klickte auf entfernen, schloss die hartnäckigen Fenster und dachte mir nichts weiter. Als ich heute meinen Windows 7-PC hochfuhr und mich mit dem Kennwort anmeldete wurde statt des Desktops ein schwarzer Bildschirm mit dem Fenster "can not find dwlgina3.dll" angezeigt. Beim Wegklicken blieb er schwarz. Beim manuellen Ausschalten kam die Meldung, dass das "Programm" rx5iur6idx Windows vom Herunterfahren hindert. Ich ließ das Herunterfahren erzingen. Ich versuchte Windows im abgesicherten Modus zu starten, leider auch ohne Erfolg. Es wird ein weißer Bildschirm angezeigt mit der Meldung, dass keine Internetverbindung besteht. Der Forumsnutzer justusklkkjb hat vor einigen Tagen das gleichen Problem geschildert. Ein Bekannter von ihm hat ihm geholfen. Leider fehlt eine Lösungsbeschreibung: http://www.trojaner-board.de/107791-...gina3-dll.html Kann mir jemand helfen? Ich bin euch wirklich dankbar für jede Hilfe, denn ich brauche meine Daten sehr sehr dringend! |
Hi, System mit OTL-PE scannen Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast. Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes. Lege eine leere CD in Deinen Brenner. ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen. Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed". Du kannst nun die Fenster des Brennprogramms schließen. Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast. Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hierInstallation: Wie boote ich Windows von der CD?. Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen. Mache einen Doppelklick auf das OTLPE Icon. Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes. Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes. Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK. OTLpe sollte nun starten. http://image.hijackthis.de/upload/hjt1-034.jpg Drücke Run Scan, um den Scan zu starten. Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet. Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast. Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt in diesen Thread. chris |
Hey Chris! Danke für deine schnelle Antwort. Leider lässt sich Windows 7 nicht mehr richtig hochfahren, sodass ich das das gar nicht installieren/speichern/durchführen kann. Der Desktop wird nicht angezeigt, es gibt kein Starmenü etc. Ich hoffe, dass mir trotzdem geholfen werden kann. LG, mar246 |
Oder kann ich das auch auf einem anderen PC machen und dann as defekte System von dieser bootfähigen CD starten? (sorry für die doofe Frage, ich kenne mich nicht so gut aus...) |
Hallo, ich habe wie beschieben, versucht von der CD zu booten. Zunächst kam ein Schwarzer Bildschirm mit weißer Schrift: Starting Reatogo-X-PE bis der weiße Balken voll war und nach einer Weile wurde der Bildschim schwarz und WindowsXP begann zu starten. Plötzlich wurde das unterbrochen und im Bios kam die Meldung: A problem has been detected and windows has been shut down to prevent damage to your computer. etc. auch beim zweiten Mal kam das Gleiche... was kann ich jetzt tun? |
Hi, die HW ist aber Okay (alle Lüfter funktionieren (CPU, Netzeil, ...), GraKa)? zwei Varianten... a.) Kommst Du in den abgesicherten Modus mit Eingabeaufforderungen? wenn ja: OTL downloaden und auf einen USB-Stick kopieren, dann den Rechner im abgesicherten Modus mit Eingabeaufforderung hochfahren (F8 beim Booten drücken). Kopiere dann die OTL.exe von dem Stick auf den Rechner (copy E:\OTL.EXE .)(wenn E Dein USB-Stick ist). Otl ausführen, Logs zurückkopieren und hier posten... Wichtig:Du musst mit dem verseuchten Konto booten! OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
b.) Wir basteln uns eine Boot-CD und versuchen von der aus zu scannen: Dr. Web-Live-CD Lade Dir das Abbild (Dr.Web CureIt! —) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen... Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt... Weiter Anweisungen: Dr.Web CureIt! — chris |
vielen Dank für deine Hilfe! Die Hardware ist ok. Alles funktioniert. Ich habe es über die Eingabeafforderung im abgesicheten Mods gemacht. Die beiden TXT Dateien sind leer? Habe ich etwas falsch gemacht? |
Hi, hast Du OTL auf den Rechner kopiert und dann gestartet, oder vom USB-Stick aus ausgeführt? Das wäre sehr seltsam... Sind nach dem OTL-Lauf Fenster mit den Logs aufgegangen? Wo hast Du ihn auf der lokalen Platte hinkopiert, die Logs sollte im OTL-Verzeichnis abgelegt sein... chris |
Ich habe den copy Befehl in der Eingabaufforderung durchgeführt und als es hieß, dass eine Datei kopiert wurde, habe ich es ausgeführt nd den Scan gemacht. Danach sind zwei TXT - mit den Namen wie du beschrieben hast - aufgegangen. Die waren beide leer. Wie komme ich in das Verzeichnis? Im Moment läuft die zweite von dir beschriebene Methode auf dem Rechner. Aber nicht wie auf den Bildern unter dem Link, sondern mit einem schwarzen Bildschirm mit weißem Text. Es läuft und läuft schon seit über einer Stunde. Ist das normal? |
Dr. Web lief etwa 3 Stunden und blieb irgendwann stehen. Als ich die Pfeil Tasten drückte (oben) kamen irgendwelche Buchtabenkombinationen (zum Löschen dieser Backspace, wonach noch mehr Buchstabenkombinationen entstanden) bei Enter begann der Scan wieder und ging weiter... Irgendwie hatte ich das Gefühl, dass da was nicht stimmte und habe es dann ausgemacht. Es war kein Betriebssystem, sondern ein schwarzer Hintergrund mit weißer Schrift. War das doch richtig? |
Hi, das sieht so aus, als ob sich die SW mit Deiner HW nicht verträgt... Dr. Web läuft normalerweise sehr lange, einige Stunden.... Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.
Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst. chris |
Hey Chris! Das hat funktioniert und ich konnte Windows wieder hochfahren, um die Daten und Einstellungen zu sichern. Vielen vielen Dank! :bussi: Kann ich Windows jetzt einfach fomatieren, um die Malware loszuwerden? Das wollte ich schon seit ein paar Wochen sowieso machen... :Boogie: Die Shell-Datei enthält folgendes: WIN_7 X64 Service Pack 1 Running from I:\ Modified HKLM shell extension. Current Shell File = C:\Users\MEIN NAME\AppData\Roaming\rx5iur6idx.exe . . File C:\Users\MEIN NAME\AppData\Roaming\rx5iur6idx.exe moved to I:\\infected or not found HKCU\..\Winlogon; Shell not found . [System Process] System smss.exe csrss.exe wininit.exe csrss.exe services.exe lsass.exe lsm.exe winlogon.exe svchost.exe svchost.exe svchost.exe svchost.exe svchost.exe svchost.exe cmd.exe conhost.exe ctfmon.exe srep.exe HKLM\..\Run [] = HKLM\..\Run [PlusService] = C:\Program Files (x86)\Yuna Software\Messenger Plus!\PlusService.exe HKLM\..\Run [CanonSolutionMenuEx] = C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE /logon HKLM\..\Run [GrooveMonitor] = "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" HKLM\..\Run [HPUsageTracking] = C:\Program Files (x86)\HP\HP UT\bin\hppusg.exe "C:\Program Files (x86)\HP\HP UT\" HKLM\..\Run [avgnt] = "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min HKLM\..\Run [APSDaemon] = "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" HKLM\..\Run [iTunesHelper] = "C:\Program Files (x86)\iTunes\iTunesHelper.exe" HKLM\..\Run [Yd92ZRE9ASh2qtG] = C:\Users\MEIN NAME\AppData\Roaming\rx5iur6idx.exe HKCU\..\Run [SalaatTime] = C:\Program Files (x86)\Salaat Time\SalaatTime.exe HKCU\..\Run [msnmsgr] = "C:\Program Files (x86)\Windows Live\Messenger\MsnMsgr.Exe" /background HKCU\..\Run [FreeAC] = C:\Program Files (x86)\FreeAlarmClock\FreeAlarmClock.exe -autorun HKCU\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun HKCU\..\Run [1&1_1&1 Upload-Manager] = "C:\Program Files (x86)\1&1\1&1 Upload-Manager\DAVSRV.EXE" /hide HKCU\..\Run [StrmServer.exe] = C:\Program Files (x86)\Common Files\PCTV Systems\StreamingServer\StrmServer.exe HKCU\..\Run [Yd92ZRE9ASh2qtG] = C:\Users\MEIN NAME\AppData\Roaming\rx5iur6idx.exe HKU\.DEFAULT\..\Winlogon; Shell = HKU\S-1-5-19\..\Winlogon; Shell = HKU\S-1-5-20\..\Winlogon; Shell = HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Winlogon; Shell = C:\Users\MEIN NAME\AppData\Roaming\rx5iur6idx.exe HKU\S-1-5-21-3335673284-2702078080-3435976155-1001_Classes\..\Winlogon; Shell = HKU\S-1-5-18\..\Winlogon; Shell = HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Run [SalaatTime] = C:\Program Files (x86)\Salaat Time\SalaatTime.exe HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Run [msnmsgr] = "C:\Program Files (x86)\Windows Live\Messenger\MsnMsgr.Exe" /background HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Run [FreeAC] = C:\Program Files (x86)\FreeAlarmClock\FreeAlarmClock.exe -autorun HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Run [1&1_1&1 Upload-Manager] = "C:\Program Files (x86)\1&1\1&1 Upload-Manager\DAVSRV.EXE" /hide HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Run [StrmServer.exe] = C:\Program Files (x86)\Common Files\PCTV Systems\StreamingServer\StrmServer.exe HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Run [Yd92ZRE9ASh2qtG] = C:\Users\MEIN NAME\AppData\Roaming\rx5iur6idx.exe x64 HKLMx64\..\Winlogon; Shell = explorer.exe [ 2871808- ] No action taken HKCUx6464\..\Winlogon; Shell = No action taken HKLMx64\..\Winlogon, Shell = explorer.exe HKCUx64\..\Winlogon, Shell = C:\Users\MEIN NAME\AppData\Roaming\rx5iur6idx.exe ==== FINISH 14.01-16.56 ==== |
Hi, ja, dabei bitte die Partitionen prüfen (sollte eine kleine Partition mit nur wenigen MB dabei sein ->loeschen) und Bootblock (MBR) neu schreiben... chris |
Ich kenne mich nur mit Recovery-Formatierungen ein wenig aus. Meinst du die Partitionen prüfen kurz vor der Formatierung und dort mit C löschen? Wie überschreibe ich MBR? Wird das auch angezeigt als Option bei der Recovery-Lösung? Oder sollte ich das anders machen? |
Hallo Chris! Ich habe den Auslieferungszustand mit Cyberlink Power Recover wiederhergestellt. Ist die Malware dadurch schon beseitigt? :confused: Bei der Datenträgervewaltung sind 4 "Volumes" gelistet. Ich habe nie eine Partition oder so etwas erstellt: Recover D - 30 GB - 31% frei Boot C - 1366,17 GB - 97% frei ohne Name - 1GB - 100% frei ohne Name - 100 MB - 71% frei Kann ich die beiden Namenlosen bedenkenlos löschen? Ist eine Bootblock-Überschreibung noch notwendig? Ich habe eine Beschreibung im Netz dafür gefunden und sicherheitshalber gemacht. Kann ja nicht schaden, oder? hxxp://www.techspread.de/808/bootsektor-und-bootloader-von-windows-7-wiederherstellen Grüße, mar246 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board