Malwarebytes Anti-Malware Runtime error 372
 

Beim Versuch Anti-Malware zu starten, tritt folgende Fehler Meldung auf:

Run-time error `372´:

Failed to load `vbalGrid´from vbalsgrid6.ocx. Your version of vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provided with your application.

Download kam vom hier im forum gelieferten link und Installationsverzeichnis ist nach Vorgabe. Woran liegts?

Deinstalliere Malwarebytes

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Aktualisierungen), sofern sich das Programm bereits auf dem Rechner befand.
• Aktiviere "Quick-Scan durchführen" => Scannen.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Bei Funden in C:\System Volume Information den Haken entfernen.
  Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
  Er könnte jedoch trotz Malware noch gebraucht werden.
  
• Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Entferne Auswahl".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo :)

ich hatte Anti-Malware bereits wie im FAQ/Anleitungen thread beschrieben, versucht zu installieren und zum laufen zu bringen. Gerade nochmal neuer Versuch. Letzte Installation deinstalliert (mit selber Fehlermeldung! RT error 372, bei der Deinstallation) und nun nochmal. Download auf den desktop, mbam-setup.exe von dort gestartet (WinXP, Doppelklick) und dann nach dem Aufforderungsbildschirm mit den beiden ticks für update und Programmstart gesetzt, gabs wieder 2 mal hintereinander RT error 372 und Abbruch. :(

Edit: Also nach anklicken des "Fertigstellen" Buttons, wo dann wohl update und Programmstart nachfolgen "sollten".

Hy, soviel ich weiß müsste sich eine mbamerror.txt auf deiner Systemplatte ( C: ) befinden. kannst Du mir den Inhalt einmal posten


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo :)

Eine mbamerror.txt wurde offensichtlich nicht erstellt, oder lässt sich nicht auffinden. Eine der vielen "deaktivierten" Systemkomponenten und Dienste, ist leider auch die Suche Funktion im Explorer. :(

Hier nun das OTL log mit dem custom scan. Eine Extra log Datei wurde nicht ausgespuckt (Quickscan??) Programme waren alle beendent, bis auf die üblichen residents von Avira und Spybot (teatimer), ect.

Als Referenz zum Werdegang meines Systemproblems:

http://www.trojaner-board.de/88609-h...e-es-sein.html

OTL logfile created on: 28.07.2010 19:33:49 - Run 7 ???

Drive D: | 149,05 Gb Total Space | 3,64 Gb Free Space | 2,44% Space Free | Partition Type: NTFS
Drive E: | 278,79 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF

Was sind das für Partitionen?
AUf jedenfall dringends aufräumen. Alles unter 15% freier Speicher ist zu voll

Teatimer abstellen

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.


Schritt 2

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Entferne rechts den Haken bei
  
  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Run 7: Denke, es ist der 7. Durchlauf, seitdem ich OTL vor 2 Tagen installiert hatte. Bislang habe ich aber mit keinem der tools etwas "gefixt", sondern nur Analyse Funktionen verwendet (Scan/Quickscan).

Drive C: System HD
Drive D: Daten HD
Drive E: DVD RAM Laufwerk

Hier nun der log text aus dem "fix" zu Schritt 2:


Ergebnisse aus Schritt 3 poste ich hier in Kürze.

Hier schonmal Danke für deine Hilfe! :)

Edit:

PS: Eine Datenträgerbereinigung kann ich vorerst nicht machen, da ich diese Daten backuppen, oder auf DVD brennen müsste, was mir aber z.Z verwehrt ist.

So, nun der Log aus Schritt 3:



Diese ugliikob.sys war mir bereits aufgefallen und hatte sie schon gelöscht (...geglaubt). :eek:

Hast du den Temptreiber von Gmer gelöscht.

Bitte tu dir einen gefallen, lösche nichts wenn ich es dir nicht sage.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button http://img695.imageshack.us/img695/1599/eset1l.jpg drücken.
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

....hatte mir schon so was in der Art gedacht. Der ist mir zumindest vor kurzem mal aufgefallen. :balla:

Hier also das ESET log. Leider wohl unergiebig.

Glaube nicht, das der offizielle game patch von der Hersteller page, tatsächlich einen Virus enthält. Soweit ich mich erinnere, hat Avira auch in der aggressiven Einstellung da nichts "verdächtigt". Nunja...

Beim scannen mit anderen tools, ist mir immer wieder vor allem in der registry ein user "S-1-5-19", "S-1-5-20" und "S-1-5-21-682003330-764733703-854245398-1003", aufgefallen.

In der Systemsteuerung --> Verwaltung --> Lokale Sicherheitseinstellungen --> Lokale Richtlinien --> Zuweisen von Benutzerrechten, scheint dieser user "S-1-5-21-682003330-764733703-854245398-1003" sogar die alleinige Kotrolle über bestimmte Sicherheitseinstellungen zu haben. Vor kurzem gab es da auch noch ein Benutzerkonto, das ich nur über "control userpasswords2" sehen konnte und dann sofort gelöscht habe. Hatte wohl irgendwas mit ASP.NET state service zu tun, aber bin mir nicht sicher.

Am Tag bevor die unerwünschte "Systemübernahme" auftrat, änderte ich mit dem "CMIA Security & Privacy Complete" die Einstellungen für "Windows Script Host" und "Schreibschutz für hosts datei setzen" auf Freischalltung (ticks weg), weil zuvor bei der Installation eines Game Demos, eine Fehlermeldung auftrat, die den inaktiven Window script host bemängelte. Zu diesem Zeitpunkt wollte der Installer aktuelle C++ runtime Bibliotheken installieren. Die Installation lief trotzdem zuende und das Game Demo lief auch. Habe irgendwie das Gefühl, das sich dann über den script host irgendwas "aktivierte", was zum jetzigen Systemzustand geführt hat. Trotz Admin Status, scheine ich auf meinem Computer nun nur noch User eines Lokalen Services zu sein. Seltsam alles...:mad:

Kann man evtl. die Autoruns im Autostart checken?

Den Autostart hab ich schon lange gecheckt, und noch ein bisschen mehr :D
Solch Schlüssel sollte man eher in Ruhe lassen.

Wie gesagt, ich kann Dir nicht garantieren das ich finde ob oder was manipuliert wurde.

Nehmen wir mal den Hammer

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Das Combofix log:

DU musst hierzu als Admin angemeldet sein

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat, poste mir den Inhalt des Textdokuments.
Vista- User: Mit Rechtsklick "als Administrator starten"

ICH bin der Admin an meinem privaten Rechner zuhause, um den es hier ja geht und das ist ja das Problem, seit dem 19/20. Juli. Mein normaler user account, den ich ja so seit 2-3 Jahren verwende, hat den bei Installation vorgegebenen Admin Status. Hatte erst am Tag der ungewollten Systemänderung zum jetzigen Zustand, über "control userpasswords2" nachgeforscht, warum ich keinen Vollzugriff mehr auf meinen Rechner habe. Dabei habe ich neben meinem normalen Admin Account, noch 2 Dummies angelegt. SparkleXP ist noch ein anderer, durch ein tool angelegter. Daneben gab es keine von mir selbst angelegten accounts. Den verdächtigen "S-1-5-usw.", den ich für einen Hack gehalten habe, hatte ich dann gelöscht. Ausser mir selbst, kann an diesen Rechner niemand ran und die einzige Aussenverbindung, ist Direktzugang zum Internet. Daher habe ich es eben als Hackerangriff oder Trojaneraktivität gewertet. Sehr seltsam alles...

Hier der Inhalt aus dem batch:

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Hinweis für Mitleser:
Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


Schritt 2

Thanks to Advanced Setup --> Malwarebytes.org

Downloade dir Download and install SubInACL
und installiere es.


Schritt 3

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat.
Vista- User: Mit Rechtsklick "als Administrator starten"


Bitte poste in Deiner nächsten Antwort
Combofix.txt