Fehlermeldung beim Hochfahren "keine Zulässige Win32-Anwendung" Hallo Zusammen, habe ein Problem beim Hochfahren des PCs. Der Computer fährt ganz normal hoch, jedoch tauchen jedesmal sobald er hochgefahren wurde zwei Fehlermeldungen nacheinander auf. 1. "Die Anwendung o. DLL C:\\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe\Update\flacor.dat ist keine gültige Windows-Datei. Überprüfen Sie dies mit der Installationsdiskette" 2. "Fehler beim Laden von C:\\Dokumente und Einstellungen %1 ist keine zulässige Win32-Anwendung" Ich habe bereits ein bisschen gelesen und schonmal eine Logfile erstellt. Allerdings hört hier mein "umfassendes" Computerverständnis schon auf. Ich habe HijackThis auf C:\\ in einem eigenen Ordner gespeichert, würde aber gerne auch D:\\ mal scannen lassen. Kann mir hier auch noch einer erklären, wie ich das mache. Bin mit google nicht weitergekommen. Wäre super, wenn mir jemand helfen kann. Und vielleicht das Problem entdeckt! Danke schonmal. HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4 |
Hi, bitte umgehend MAM installieren, updaten und laufen lassen! Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
chris Für mich: SearchSetting C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Adobe\Update\flacor.dat ?? C:\Programme\Application Updater\ApplicationUpdater.exe C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\MSA\mscj.exe C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\MSA\mscjm.exe |
Scan ist noch immer am laufen. Melde mich sobald er fertig ist und das ganze System durchsucht hat. Es sind bereits 5 infizierte Objekte... |
Hi, wie sagt der Schwooob: Nu net huddele! chris |
Ganz richtig! Den Ratschlag nimmt sich fei auch a Frange gern amol zu Herzen. Er scheint jetzt bald fertig zu sein (inzwischen 11 infizierte Objekte) auch auf meiner Festplatte. Du hast gepostet "Fullscan und alles bereinigen lassen!". Ich habe mal gehört, dass man erst bereinigen soll, nachdem man weiß, worum es sich genau handelt?! Deswegen nochmal meine Rückfrage: Erst log posten und auf eine Diagnose (von Dir?) warten? Oder direkt bereinigen und dann log posten? |
Hi, alles von MAM in Quarantäne schicken lassen, da kann dann notfalls wiederhergestellt werden... chris |
So, hier die Ergebnisse des Scans: Malwarebytes' Anti-Malware 1.46 wxx.malwarebytes.xxx Datenbank Version: 4612 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 14.09.2010 18:16:17 mbam-log-2010-09-14 (18-16-17).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|M:\|) Durchsuchte Objekte: 235545 Laufzeit: 5 Stunde(n), 29 Minute(n), 59 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 10 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\Programme\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> Delete on reboot. Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\getdo (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mscj.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mscjm.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> Delete on reboot. C:\Programme\HijackThis\Trend Micro\HiJackThis\backups\backup-20100914-110938-602.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{B3D49BBE-C333-4085-B0DA-BC2E5CD16D3E}\RP306\A0038671.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. M:\System Volume Information\_restore{B3D49BBE-C333-4085-B0DA-BC2E5CD16D3E}\RP113\A0010293.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. M:\System Volume Information\_restore{B3D49BBE-C333-4085-B0DA-BC2E5CD16D3E}\RP113\A0010295.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. M:\System Volume Information\_restore{B3D49BBE-C333-4085-B0DA-BC2E5CD16D3E}\RP113\A0010304.exe (Adware.WidgiToolbar) -> Quarantined and deleted successfully. M:\Datensicherung 2009\Programme\pdfforge Toolbar\WidgiHelper.exe (Adware.WidgiToolbar) -> Quarantined and deleted successfully. M:\Datensicherung 2009\Programme\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. M:\Datensicherung 2009\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully. |
Die infizierten Objekte habe ich ja schon mit dem MAM entfernen lassen. Sind die jetzt nur in Quarantäne? Oder sind die direkt gefixt? Ich habe nochmal ne Logfileauswertung gemacht und ein Prozess wird noch immer als schädlich eingestuft C:\Programme\Application Updater\ApplicationUpdater.exe und ein Dienst ist unbekannt O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater.exe Was tun? Und hier der OTL Scan:OTL Logfile: Code: OTL logfile created on: 14.09.2010 18:30:22 - Run 1 |
Hi, Fix für OTL:
Code:
Die Malware ist gefixt und in Quarantäne, kann nichts mehr anstellen bis auf den Updater... Abschließend: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. chris |
So, Dr.W läuft. Bin über einen Laptop gerade online, da ich noch eine Frage habe. Wenn der Dr. fertig ist, soll ich dann die Ergebnisse direkt posten? Also im abgesicherten Modus online gehen? Sorry, ich bin echt ne Null - aller spätestens ab hier! Aber schonmal tausend Dank für deine Hilfe und die Geduld... |
OLT-Result: All processes killed ========== OTL ========== Service Application Updater stopped successfully! Service Application Updater deleted successfully! C:\Programme\Application Updater\ApplicationUpdater.exe moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 402 bytes User: xxx ->Temp folder emptied: 117104660 bytes ->Temporary Internet Files folder emptied: 19827899 bytes ->Java cache emptied: 4569359 bytes ->FireFox cache emptied: 87033595 bytes ->Flash cache emptied: 28609 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2195157 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 10302269 bytes RecycleBin emptied: 5830255293 bytes Total Files Cleaned = 5.790,00 mb [EMPTYFLASH] User: All Users User: Default User User: LocalService User: NetworkService User: xxx ->Flash cache emptied: 0 bytes Total Flash Files Cleaned = 0,00 mb OTL by OldTimer - Version 3.2.12.0 log created on 09142010_201417 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Der Doktor ist auch fertig. Habe das Log nach "infiziert" durchsucht, aber er hat keine infizierten Objekt etc. gefunden. Habe außerdem nochmal mit Hij ne Logfile erstellt und auswerten lassen, scheint jetzt alles gut zu sein. Meinste ich bin fertig? Ist er jetzt wieder sauber? |
OLT-Scan: All processes killed ========== OTL ========== Service Application Updater stopped successfully! Service Application Updater deleted successfully! C:\Programme\Application Updater\ApplicationUpdater.exe moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 402 bytes User: xxx ->Temp folder emptied: 117104660 bytes ->Temporary Internet Files folder emptied: 19827899 bytes ->Java cache emptied: 4569359 bytes ->FireFox cache emptied: 87033595 bytes ->Flash cache emptied: 28609 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2195157 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 10302269 bytes RecycleBin emptied: 5830255293 bytes Total Files Cleaned = 5.790,00 mb [EMPTYFLASH] User: All Users User: Default User User: LocalService User: NetworkService User: xxx ->Flash cache emptied: 0 bytes Total Flash Files Cleaned = 0,00 mb OTL by OldTimer - Version 3.2.12.0 log created on 09142010_201417 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Der Doktor ist auch fertig und hat zum Glück nichts infiziertes mehr gefunden. Habe nochmal mit Hij einen logfile erstellt und ausgewertet, nichts mehr... Meinst du ich bin sauber? |
Hi, Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Abschließend noch SASW: Superantispyware: Anleitung&Download hier: http://www.trojaner-board.de/51871-a...tispyware.html Das sollte es dann gewesen sein, SAASW wird noch einige Cookies finden... chris |
Hier der SAWS Scan: Kann ich irgendwie sehen ob der Scan komplett abgeschlossen werden konnte? Trotz Bitten ist mein Vater an den PC gegangen... Sorry! SUPERAntiSpyware Scan Log SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware! Generated 09/15/2010 at 03:48 PM Application Version : 4.42.1000 Core Rules Database Version : 5509 Trace Rules Database Version: 3321 Scan type : Complete Scan Total Scan Time : 04:30:47 Memory items scanned : 369 Memory threats detected : 0 Registry items scanned : 5223 Registry threats detected : 0 File items scanned : 89963 File threats detected : 7 Adware.Tracking Cookie Was nun? Und hier nochmal ein OTL Scan. Habe jetzt auch die log Datei "Extras" gefunden... Soll ich nochmal einen log posten?OTL Logfile: Code: OTL logfile created on: 15.09.2010 16:54:39 - Run 2 |
Hi, es wurden nur Cookies gefunden, das ist Okay... Vom OTL-Lauf fehlt das Log, nur das EXTRA-Log ist vollständig... Bitte noch posten... Fix für OTL:
Code:
chris |
Commands eingegeben und neu gebootet: All processes killed ========== REGISTRY ========== HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirstRunDisabled" | dword:0x00 /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"AntiVirusOverride" |dword:0x00 /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirewallOverride" | dword:0x00 /E : value set successfully! ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: xxx ->Temp folder emptied: 176778 bytes ->Temporary Internet Files folder emptied: 6017868 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 18321381 bytes ->Flash cache emptied: 507 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 260588 bytes Total Files Cleaned = 24,00 mb Restore point Set: OTL Restore Point (0) [EMPTYFLASH] User: Administrator User: All Users User: Default User User: LocalService User: NetworkService User: xxx ->Flash cache emptied: 0 bytes Total Flash Files Cleaned = 0,00 mb ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32768 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: xxx ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 0,00 mb [EMPTYFLASH] User: Administrator User: All Users User: Default User User: LocalService User: NetworkService User: xxx ->Flash cache emptied: 0 bytes Total Flash Files Cleaned = 0,00 mb OTL by OldTimer - Version 3.2.12.0 log created on 09152010_193245 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Und nochmal Ergebnisse des OTL Scans:OTL Logfile: Code: OTL logfile created on: 15.09.2010 19:37:38 - Run 3 OTL Logfile: Code: OTL Extras logfile created on: 15.09.2010 19:37:38 - Run 3 Brauchst du jetzt nochmal abschließend einen Hij logfile? Und durchsucht der immer nur Platte C weil nur das was gefunden wurde? Ich habe da ja auch noch Platte D und meine Externe M... |
Hi, es wird von OTL nur Windows untersucht, keine Laufwerke etc... Java ist veraltetet, undbedingt updaten! Im Augenblick kann ich nichts mehr sehen, Du solltest noch Laufwerk M prüfen lassen (vom Virenscanner durchsuchen lassen)... chris |
Alles klar mache ich. Nochmal vielen Dank für die Unterstützung... |
Ähm, ich nochmal! Ich hatte jetzt das Phänomen, dass sich Firefox beim hochfahren automatisch mitöffnet. Unter Autostart ist aber nichts zu finden. Habs gegoogelt und es waren Berichte über Malware zu finden... Sollte ich nochmal einen Scan mit Malwbytes machen? Meinst du das ist harmlos oder ist da doch noch was im Argen? |
Hi, nein, das ist nich normal... Warst Du inzwischen auf irgendwelchen seltsamen Seiten oder SW installiert oder ausgeführt (die du sonst nicht laufen lässt?) MAM updaten/laufen lassen ... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. MBR-Check Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.
chris |
Grrr! Ich hasse es... Nein war nicht auf komischen Seiten, habe nur Java upgedatet von der Java Seite und war auf Chip.xx Der MAM Scan läuft. Melde mich gegen Abend, wenn er fertig ist. Ähm, das mit Combofix... Wie selten sind diese Fälle, dass der Rechner nicht mehr bootet? Damit wäre ich nämlich absolut überfordert... |
H, ich hatte es bisher einmal in ca. 3 Jahren, im allgemeinen ca. 1:1000... chris |
MAM Scan hat nichts gefunden. Dann habe ich gerade nochmal neu gestartet und diesmal hat sich Firefox nicht mehr geöffnet. Ansonsten auch keine Pop-Ups oder andere Nachrichten. Soll ich Combofix etc. trotzdem machen? Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4626 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 16.09.2010 16:12:46 mbam-log-2010-09-16 (16-12-46).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|M:\|) Durchsuchte Objekte: 226932 Laufzeit: 2 Stunde(n), 44 Minute(n), 13 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Hi, lass bitte CF laufen... chris |
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:49 Uhr. |
Copyright ©2000-2024, Trojaner-Board