Malwarebytes Anti-Malware Runtime error 372
 

Beim Versuch Anti-Malware zu starten, tritt folgende Fehler Meldung auf:

Run-time error `372´:

Failed to load `vbalGrid´from vbalsgrid6.ocx. Your version of vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provided with your application.

Download kam vom hier im forum gelieferten link und Installationsverzeichnis ist nach Vorgabe. Woran liegts?

Deinstalliere Malwarebytes

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Aktualisierungen), sofern sich das Programm bereits auf dem Rechner befand.
• Aktiviere "Quick-Scan durchführen" => Scannen.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Bei Funden in C:\System Volume Information den Haken entfernen.
  Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
  Er könnte jedoch trotz Malware noch gebraucht werden.
  
• Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Entferne Auswahl".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo :)

ich hatte Anti-Malware bereits wie im FAQ/Anleitungen thread beschrieben, versucht zu installieren und zum laufen zu bringen. Gerade nochmal neuer Versuch. Letzte Installation deinstalliert (mit selber Fehlermeldung! RT error 372, bei der Deinstallation) und nun nochmal. Download auf den desktop, mbam-setup.exe von dort gestartet (WinXP, Doppelklick) und dann nach dem Aufforderungsbildschirm mit den beiden ticks für update und Programmstart gesetzt, gabs wieder 2 mal hintereinander RT error 372 und Abbruch. :(

Edit: Also nach anklicken des "Fertigstellen" Buttons, wo dann wohl update und Programmstart nachfolgen "sollten".

Hy, soviel ich weiß müsste sich eine mbamerror.txt auf deiner Systemplatte ( C: ) befinden. kannst Du mir den Inhalt einmal posten


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo :)

Eine mbamerror.txt wurde offensichtlich nicht erstellt, oder lässt sich nicht auffinden. Eine der vielen "deaktivierten" Systemkomponenten und Dienste, ist leider auch die Suche Funktion im Explorer. :(

Hier nun das OTL log mit dem custom scan. Eine Extra log Datei wurde nicht ausgespuckt (Quickscan??) Programme waren alle beendent, bis auf die üblichen residents von Avira und Spybot (teatimer), ect.

Als Referenz zum Werdegang meines Systemproblems:

http://www.trojaner-board.de/88609-h...e-es-sein.html

OTL logfile created on: 28.07.2010 19:33:49 - Run 7 ???

Drive D: | 149,05 Gb Total Space | 3,64 Gb Free Space | 2,44% Space Free | Partition Type: NTFS
Drive E: | 278,79 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF

Was sind das für Partitionen?
AUf jedenfall dringends aufräumen. Alles unter 15% freier Speicher ist zu voll

Teatimer abstellen

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.


Schritt 2

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Entferne rechts den Haken bei
  
  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Run 7: Denke, es ist der 7. Durchlauf, seitdem ich OTL vor 2 Tagen installiert hatte. Bislang habe ich aber mit keinem der tools etwas "gefixt", sondern nur Analyse Funktionen verwendet (Scan/Quickscan).

Drive C: System HD
Drive D: Daten HD
Drive E: DVD RAM Laufwerk

Hier nun der log text aus dem "fix" zu Schritt 2:


Ergebnisse aus Schritt 3 poste ich hier in Kürze.

Hier schonmal Danke für deine Hilfe! :)

Edit:

PS: Eine Datenträgerbereinigung kann ich vorerst nicht machen, da ich diese Daten backuppen, oder auf DVD brennen müsste, was mir aber z.Z verwehrt ist.

So, nun der Log aus Schritt 3:



Diese ugliikob.sys war mir bereits aufgefallen und hatte sie schon gelöscht (...geglaubt). :eek:

Hast du den Temptreiber von Gmer gelöscht.

Bitte tu dir einen gefallen, lösche nichts wenn ich es dir nicht sage.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button http://img695.imageshack.us/img695/1599/eset1l.jpg drücken.
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

....hatte mir schon so was in der Art gedacht. Der ist mir zumindest vor kurzem mal aufgefallen. :balla:

Hier also das ESET log. Leider wohl unergiebig.

Glaube nicht, das der offizielle game patch von der Hersteller page, tatsächlich einen Virus enthält. Soweit ich mich erinnere, hat Avira auch in der aggressiven Einstellung da nichts "verdächtigt". Nunja...

Beim scannen mit anderen tools, ist mir immer wieder vor allem in der registry ein user "S-1-5-19", "S-1-5-20" und "S-1-5-21-682003330-764733703-854245398-1003", aufgefallen.

In der Systemsteuerung --> Verwaltung --> Lokale Sicherheitseinstellungen --> Lokale Richtlinien --> Zuweisen von Benutzerrechten, scheint dieser user "S-1-5-21-682003330-764733703-854245398-1003" sogar die alleinige Kotrolle über bestimmte Sicherheitseinstellungen zu haben. Vor kurzem gab es da auch noch ein Benutzerkonto, das ich nur über "control userpasswords2" sehen konnte und dann sofort gelöscht habe. Hatte wohl irgendwas mit ASP.NET state service zu tun, aber bin mir nicht sicher.

Am Tag bevor die unerwünschte "Systemübernahme" auftrat, änderte ich mit dem "CMIA Security & Privacy Complete" die Einstellungen für "Windows Script Host" und "Schreibschutz für hosts datei setzen" auf Freischalltung (ticks weg), weil zuvor bei der Installation eines Game Demos, eine Fehlermeldung auftrat, die den inaktiven Window script host bemängelte. Zu diesem Zeitpunkt wollte der Installer aktuelle C++ runtime Bibliotheken installieren. Die Installation lief trotzdem zuende und das Game Demo lief auch. Habe irgendwie das Gefühl, das sich dann über den script host irgendwas "aktivierte", was zum jetzigen Systemzustand geführt hat. Trotz Admin Status, scheine ich auf meinem Computer nun nur noch User eines Lokalen Services zu sein. Seltsam alles...:mad:

Kann man evtl. die Autoruns im Autostart checken?

Den Autostart hab ich schon lange gecheckt, und noch ein bisschen mehr :D
Solch Schlüssel sollte man eher in Ruhe lassen.

Wie gesagt, ich kann Dir nicht garantieren das ich finde ob oder was manipuliert wurde.

Nehmen wir mal den Hammer

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Das Combofix log:

DU musst hierzu als Admin angemeldet sein

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat, poste mir den Inhalt des Textdokuments.
Vista- User: Mit Rechtsklick "als Administrator starten"

ICH bin der Admin an meinem privaten Rechner zuhause, um den es hier ja geht und das ist ja das Problem, seit dem 19/20. Juli. Mein normaler user account, den ich ja so seit 2-3 Jahren verwende, hat den bei Installation vorgegebenen Admin Status. Hatte erst am Tag der ungewollten Systemänderung zum jetzigen Zustand, über "control userpasswords2" nachgeforscht, warum ich keinen Vollzugriff mehr auf meinen Rechner habe. Dabei habe ich neben meinem normalen Admin Account, noch 2 Dummies angelegt. SparkleXP ist noch ein anderer, durch ein tool angelegter. Daneben gab es keine von mir selbst angelegten accounts. Den verdächtigen "S-1-5-usw.", den ich für einen Hack gehalten habe, hatte ich dann gelöscht. Ausser mir selbst, kann an diesen Rechner niemand ran und die einzige Aussenverbindung, ist Direktzugang zum Internet. Daher habe ich es eben als Hackerangriff oder Trojaneraktivität gewertet. Sehr seltsam alles...

Hier der Inhalt aus dem batch:

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Hinweis für Mitleser:
Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


Schritt 2

Thanks to Advanced Setup --> Malwarebytes.org

Downloade dir Download and install SubInACL
und installiere es.


Schritt 3

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat.
Vista- User: Mit Rechtsklick "als Administrator starten"


Bitte poste in Deiner nächsten Antwort
Combofix.txt

Danke erstmal! :) Bin bis Sonntag ausser Haus und werde dann nach Anweisung die Schritte durchgehen!

viele Grüße :)

zu Schritt 1:

Kann leider die neu erstellte CFScript.txt nicht vom Desktop auf ComboFix.exe (auch Desktop) ziehen, weil Drag & Drop generell nicht mehr auf meinem System funktioniert (sowie Dateien verschieben + kopieren. Neu erstellen und speichern geht noch. Zwischenablage funktioniert nur noch von erstellten Dateien aus in den Browser oder in andere Textdateien, aber nicht umgekehrt.)

Gibt es eine Alternativmethode, um CFScript.txt mit Combofix zu starten?

Ich warte mit Schritt 2 & 3, bis Lösung von Schritt 1. (...oder?)

viele Grüße :)

Schon länger so? wie wärs dann mit einem formatieren ?

...seit 20. Juli c.a

Wollte mit formatieren so lange warten, bis Ursache (halbwegs) feststeht. Ansonsten hätte ich nichts gelernt und kann mich auch in Zukunft nicht vor solchen Ereignissen schützen. Ist ja noch nicht klar, obs ein Hacker, Malware, ect. oder sogar ein eigener Bedienungsfehler war. :(

Bliebe noch, wichtiges von der System HD, mittels Knoppix Live, oder openSuse Live auf die Datenplatte zu schaufeln, oder runterzubrennen. Was mir noch unklar ist, ob ich nach Format + Neuinstallation auf der System HD, noch problemlos auf meine Daten HD zugreifen kann??

Ich seh da eben keine Malware, wobei tiefe Scans wie mit eben Malwarebytes aufschluss geben würden.

Wenn format, dann richtig und nicht iwie was stehen lassen.

Versuch mal folgendes
Fehler in Windows beseitigen

Lade Dial-a-Fix herunter und entpacke das Programm in einen eigenen Ordner auf Deinem Desktop.

• Öffne den Dial-a-Fix-Ordner und starte die dial-a-fix.exe durch Doppelklick.
• Klicke unten auf den Button Policies....
• Wenn etwas gefunden wird, klicke in dem neuen Fenster auf Remove und schließe das Fenster wieder.
• Klicke nun unten auf den Button mit dem grünen Doppelhaken (Check all).
• Klicke auf Go zum Starten.
• Dial-a-fix arbeitet nun einige Aufgaben ab, warte bis es komplett fertig ist (Ready).
• Wenn Dial-a-Fix fertig ist, klicke auf das Log-Symbol (rechts neben dem Hammer),
  klicke auf Save und speichere das Log als Dial-a-fix.log auf dem Desktop.
• Poste das Log hier in den Thread.
• Klicke auf Exit und starte den Rechner neu.

Dial-a-fix log:

Reboote jetzt, ..mal sehen was passiert.

...alles beim alten. :( Bootvorgang dauert auch immer noch extrem lange.

gehe sicher das sich die CFScript.txt sowie COmbofix am Desktop befinden

Windows +R Taste --> Kopiere nun folgendes in die Zeile

Combofix "%userprofile%\desktop\cfscript.txt"

Deaktiviere deine Anti Viren Software, schließe alle Programme inkl Browser.

Erst jetzt klicke OK.

Poste mir bitte mal die CF Logfile

Das neue CF logfile:

und Dequarantine.txt

Ich frage mich immer noch, wer oder was "S-1-5-21-682003330-764733703-854245398-1005" ist. :snyper:

Subinacl.msi lässt sich nicht installieren. Fehlermeldung: "Auf den Windows Installer Dienst konnte nicht zugegriffen werden..." und weitere Erklärungen (wenn ausgeführt im abgesicherten Modus, oder Windows Installer nicht korrekt installiert).

Hy, ich gebe Dir jetzt einen wohlgemeinten Rat. Ich hab gerade eine PM von einem Kollegen bekommen.

Deine C: Platte ist Fat32 Convertiert, kein wunder das da nichts mehr geht. Alle Platten sind bis zum Anschlag zugemüllt.

Setze den Rechner einfach einmal sauber neu auf und das System funktioniert nach 6 Stunden wieder wie es soll.
Glaub mir, ich lass ungern neu aufsetzen, aber hier sehe ich das nicht als sinnvolle Bereinigung, sondern als NotOP am Schlachtfeld. :party:

Hallo! :)

Ja, die ältere C: System HD hatte ich beim letzten Neuaufsetzen (Hardware Wechsel) von vornherein mit FAT32 formatiert. Hat so 3 Jahre lang ohne Probleme funktioniert und freier Speicher, war auch nie ein echtes Problem. Die neu angeschaffte D: Daten HD hat natürlich dann NTFS bekommen.

Bin trotzdem der Meinung, das der Anfang meines Systemproblems, in den sehr kurzen Zeitrahmen fällt (19/20. Juli), als ich Windows script host reaktiviert habe und einem game demo aus definitiv vertrauenswürdiger Quelle erlaubt habe, aktualisierte C++ Bibliotheken zu installieren. Andere kontrollierte Systemänderungen oder Installationen haben da nicht stattgefunden. Es scheint ja zum Glück keine Malware ect. vorhanden zu sein, wie ich auch die letzten 3 Jahre da keine Meldungen bekommen hatte. Insofern scheinen da meine Sicherheitsvorkehrungen auch erfolgreich gewesen zu sein. :)

Werde mich dann wohl an ein Neuaufsetzen des Systems machen, sowie ich Klarheit darüber habe, das ich zumindest die Daten auf der Daten HD danach weiterverwenden kann. Mittels Knoppix Live CD sind diese zumindest alle lesbar.

Ein fettes Dankeschön für deine Mühe und investierte Zeit! :) Habe auch einige wichtige neue Dinge gelernt! Euer Board ist Gold wert! :party:

viele Grüße

Nachtrag:

Nachdem ich ein wenig über die SIDs recherchiert habe, bin ich auf folgenden Artikel gestoßen:

Unterwegs im Net - Security IDs (SID)

Ich komme zu dem Schluss, das ich direkt gehackt worden bin und sich jemand über die SID SECURITY_NT_AUTHORITY, die Benutzerkontenverwaltung unter den Nagel gerissen hat, um mir letztendlich die Kontrolle über das System zu entziehen. Zumindest weiss ich jetzt, wie ich mich gegen direkte hacks in Zukunft besser absichern kann. Denk ich zumindest...:aufsmaul: