[wombat140]

Hallo community,

Seit vorgestern treten bei jedem Systemstart zwischen 3 und 7 unterschiedliche runtime errors auf. Wenn ich sie wegklicke, läuft das System wieder normal, aber es kann ja nicht ganz normal sein, dass die Fehler so gehäuft und regelmäßig auftreten.

Ich habe gehört, dass dies mit Avast antivir zusammenhängen kann, von welchem ich die Freeware-Version benutze. Wie das und wenn ja, wie schaffe ich das Problem aus der Welt?

Mein System läuft mit windows 7 home premium.

Hier eine Highjackthis log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:25:01, on 25.05.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\Windows Live\Mesh\MOE.exe
C:\Program Files (x86)\dcmsvc\dcmsvc.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files (x86)\avmwlanstick\WLanGUI.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Mozilla Firefox\plugin-container.exe
D:\Programme\Mozilla Firefox\plugin-container.exe
D:\Programme\Mozilla Firefox\plugin-container.exe
D:\Programme\Mozilla Firefox\plugin-container.exe
D:\Programme\Mozilla Firefox\plugin-container.exe
D:\Programme\Mozilla Firefox\plugin-container.exe
D:\Programme\Mozilla Firefox\plugin-container.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Windows Live\Mesh\WLSync.exe
C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
C:\Users\Hendrik\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.condui...&ctid=CT1561552
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;local;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files (x86)\Hotspot_Shield\tbHots.dll
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - c:\windows\syswow64\wbwbyiiw.dll
O2 - BHO: (no name) - {183BDA00-5AC7-4A25-B072-9F74D99AC7F8} - C:\Windows\SysWow64\linklib.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - D:\PROGRA~1\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files (x86)\Hotspot_Shield\tbHots.dll
O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" (file missing)
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - D:\Programme\Hotspot Shield\HssIE\HssIE.dll
O3 - Toolbar: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files (x86)\Hotspot_Shield\tbHots.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" (file missing)
O4 - HKLM\..\Run: [dcmsvc] "C:\Program Files (x86)\dcmsvc\dcmsvc.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files (x86)\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "D:\Programme\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WLSync] "C:\Program Files (x86)\Windows Live\Mesh\WLSync.exe" /background
O4 - HKCU\..\Run: [Adobe Acrobat Synchronizer] "D:\Programme\Adobe\Acrobat 10.0\Acrobat\AdobeCollabSync.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk = D:\Programme\Microsoft Office\Office14\ONENOTEM.EXE
O8 - Extra context menu item: An OneNote s&enden - res://D:\PROGRA~1\MICROS~1\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Free YouTube Download - C:\Users\Hendrik\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Hendrik\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://D:\PROGRA~1\MICROS~1\Office14\EXCEL.EXE/3000
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Programme\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Programme\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - D:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - D:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - D:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - D:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.ad...Plus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files (x86)\avmwlanstick\WlanNetService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - D:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - D:\Programme\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - D:\Programme\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - D:\Programme\Hotspot Shield\bin\hsswd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - D:\Programme\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: UMVPFSrv - Logitech Inc. - C:\Program Files (x86)\Common Files\logishrd\LVMVFM\UMVPFSrv.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: WD SmartWare Drive Manager Service (WDDMService) - WDC - C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
O23 - Service: WD SmartWare Background Service (WDSmartWareBackgroundService) - Memeo - C:\Program Files (x86)\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 16221 bytes


Kann einer was damit anfangen?

[Urne]

Gib doch mal bitte ein paar Beispiele für die Error Meldungen.
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - c:\windows\syswow64\wbwbyiiw.dll Das würde ich als verdächtiges Objekt einstufen. Keine Ahnung was das ist.

[wombat140]

Runtime error 216 at 021D1FBE

Runtime error 216 at 09831FBE

Runtime error 216 at 029D1FBE

Runtime error 216 at 048E1FBE

Runtime error 216 at 02BF1FBE

Runtime error 216 at 124B1FBE

Runtime error 216 at 0B381FBE

Das sind aller vom letzten Start

[javo]

Hast du eigentlich mal den ram getestet,wenn plötzlich solche Fehler auftreten.liegt es meist am defekten ram.

[wombat140]

Zu javo: Ich hab jetzt mal nen Ram Test gemacht, ihn 8 Stunden (240% Abdeckung) laufen lassen. Ergebnis: 0 Fehler. Da scheint es nicht her zu rühren.

[sermon]

Mit was hast du getestet? metest86+ sollte hier herangezogen werden.
und dann auch mla die ram riegel einzeln in jeder bank testen. das ist dann 100%

[DK2000]

Erinnert mich irgendwie an SubSeven-Verhalten. Wenn das System damit verseucht ist, kommen beim Booten auch einige Runtime error 216 at <address>. (s. auch KB259279)

Kannst Du wirklich sicher stellen, das Dein System frei von Malware ist?

Und um nochmal auf Urnes Frage zurückzukommen:

Überprüfe mal die Datei c:\windows\syswow64\wbwbyiiw.dll?

Die sieht vom Namen her schon so verdächtig aus. Bekomme auch nirgends Infos zu dieser Datei.

Dieser Beitrag wurde von DK2000 bearbeitet: 26. Mai 2011 - 15:39

[wombat140]

zu Seremon: Getestet habe ich mit memtest 4.0.

Also bei der Partition C:\windows sowie C komplett bin ich mir sehr sicher, dass sie Malware frei ist, ich habe gestern Abend von avast einen Scan beim Booten machen lassen, und der hat dann 3 bis 4 Sachen entfernt.

Was für Infos wollt ihr denn zu der Datei haben? Ich kann dann mal versuchen, dass entsprechende über die Datei herauszufinden, wenn ihr mir sagt, wie ich da rankomme.

ICh lasse die Datei im speziellen aber auch noch mal scannen

[DK2000]

Lade die Datei am besten mal hier hoch und lasse sie dort mal scannen.

Und wenn da schon 3 bis 4 Sachen entfernt wurden, kommen wir der Sache doch schon näher. Klingt doch nach verseuchtem System. Kannst Du anhand der Logs noch ermitteln, was da genau gefunden und entfernt wurde?

[wombat140]

wenn ich die datei mit wordpad öffne, dann sieht das so aus:

This pro"t

must be run under Win32

und davor MZP, ein bisschen Kauderwelsch (Notenzeichen und son Dreck). Danach noch mal einige Zeilen Kauderwelsch, viele Freizeilen.


Am Ende der Datei steht in Klartext das hier:

mbxuhfz.dll DllCanUnloadNow
DllGetClassObject Hkblnge DllMain DllRegisterServer DllUnregisterServer Service Main



Das ist der einzige Klartext in der Datei. Sie ist 805 KB groß. Avast sagt, dass sie keine Bedrohung darstellt.

wunderlich ist, dass sie am Montag, dem 23. Mai 2011 um 10:08:10 Begann und 2 sek später zuletzt geändert wurde.

Montag gegen 10 nach 10 begannen die Probleme.

Ich hab nen Log gefunden, aber ich weiß noch nicht so genau gerade, wie ich euch das zugänglich machen kann

[DK2000]

Schaue mal in den Ordner

C:\ProgramData\AVAST Software\Avast\log

Da sollten die Logs als normale .txt Dateien vorliegen.

Und wie gsagt, lade die verdächtige Datei mal bei Virustotal hoch und lasse sie dort mal scannen.

Dieser Beitrag wurde von DK2000 bearbeitet: 26. Mai 2011 - 16:27

[wombat140]

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
wbwbyiiw.dll
Submission date:
2011-05-26 15:03:48 (UTC)
Current status:
finished
Result:
6/ 42 (14.3%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.05.26.01 2011.05.26 -
AntiVir 7.11.8.147 2011.05.26 PCK/Themida
Antiy-AVL 2.0.3.7 2011.05.26 -
Avast 4.8.1351.0 2011.05.26 -
Avast5 5.0.677.0 2011.05.26 -
AVG 10.0.0.1190 2011.05.26 Boxed
BitDefender 7.2 2011.05.26 -
CAT-QuickHeal 11.00 2011.05.26 -
ClamAV 0.97.0.0 2011.05.26 -
Commtouch 5.3.2.6 2011.05.26 -
Comodo 8843 2011.05.26 -
DrWeb 5.0.2.03300 2011.05.26 -
Emsisoft 5.1.0.5 2011.05.26 Virus.Win32.Heur!IK
eSafe 7.0.17.0 2011.05.26 -
eTrust-Vet 36.1.8349 2011.05.26 -
F-Prot 4.6.2.117 2011.05.26 -
F-Secure 9.0.16440.0 2011.05.26 -
Fortinet 4.2.257.0 2011.05.26 -
GData 22 2011.05.26 -
Ikarus T3.1.1.104.0 2011.05.26 Virus.Win32.Heur
Jiangmin 13.0.900 2011.05.25 -
K7AntiVirus 9.103.4720 2011.05.25 -
Kaspersky 9.0.0.837 2011.05.26 -
McAfee 5.400.0.1158 2011.05.26 -
McAfee-GW-Edition 2010.1D 2011.05.26 -
Microsoft 1.6903 2011.05.26 -
NOD32 6155 2011.05.26 -
nProtect 2011-05-26.01 2011.05.26 -
Panda 10.0.3.5 2011.05.26 Trj/Genetic.gen
PCTools 7.0.3.5 2011.05.19 -
Prevx 3.0 2011.05.26 -
Rising 23.59.02.05 2011.05.25 -
Sophos 4.65.0 2011.05.26 -
SUPERAntiSpyware 4.40.0.1006 2011.05.26 Trojan.Agent/Gen-Clicker
Symantec 20111.1.0.186 2011.05.26 -
TheHacker 6.7.0.1.207 2011.05.25 -
TrendMicro 9.200.0.1012 2011.05.26 -
TrendMicro-HouseCall 9.200.0.1012 2011.05.26 -
VBA32 3.12.16.0 2011.05.26 -
VIPRE 9394 2011.05.26 -
ViRobot 2011.5.26.4480 2011.05.26 -
VirusBuster 13.6.371.1 2011.05.25 -


Hier ist das Ergebnis von Virustotal

und das log gibts dann im Anhang. Ich hatte den Scann aber bei 25%, also nach C abgebrochen, weil ich im selben Raum schlafe wie der Rechner und dieser nicht gerade als leise zu bezeichnen ist. Morgen früh mach ich einen Full scan.

Im Ordner von Avast jedoch gibt es keinen Eintrag log

[DK2000]

So richtig schlüssig ist das alles nicht.

Entweder ist die Datei harmlos oder noch so neu, dass sie noch niemand kennt.

SUPERAntiSpyware erkennt die Datei als Trojan.Agent/Gen-Clicker auch noch nicht so lange. Gab heute dazu wieder ein Upddate.

Die restlichen Drei kommen da nur mit generischen Meldungen aufgrund der Heuristik und weil die Datei offensichtlich gepackt ist.

Ohne weitere Analysen der Datei ist es schwer zu sagen, was das ist. Google hilft da auch nicht weiter, da nur dieser Thread hier gefunden wird.

Aber so unter dem Strich würde ich da doch zu einer Neuinstallation raten oder zum. ein sauberes Backup zurück spielen.

Dieser Beitrag wurde von DK2000 bearbeitet: 26. Mai 2011 - 17:13

[wombat140]

okay, dann mach ich jetzt noch mal einen kompletten startup scan und halte euch mit meinem Laptop auf dem Laufenden, sollte sich was ergeben.

Falls das alles nichts hilft, muss ich wohl eine komplette Neuinstalation durchführen.

so ich weiß jetzt, wie ich ans avast log rankomme, aber da gerade der bootscan läuft, dauerts noch ein weilchen

was sagt ihr von der Idee, das ich die Datei einfach mal aus dem Verzeichnis entferne. Fals das nicht funktioniert kann ich die ja aus dem Backup dahin zrückkopieren (starten von Disk) falls das in die Hose geht.

Backup hab ich, die Neuinstallation ist eh das letzte Mittel

Hiiiiiilfeeeeeee! Ich kann die Datei ja nicht einmal löschen da sie im Windows Host Prozess verwendet wird. Wie kann ich die denn da rausoperieren?

[DK2000]

Zur Not über eine LiveCD starten (Knoppix oder Reparaturkonsole der Wndows Installations DVD) und von da aus löschen.

Alternativ mal die Registry nach der Datei durchsuchen und die Hinweise auf die Datei entfernen. Eventuell klappt das auch über HijackThis (da gibt/gab es auch mal eine Option, um solche Autostartsachen zu entfernen). Danach neu starten. Habe das Tool schon lange nicht mehr verwendet.

Wenn die Datei im Tankmanager auftaucht, dort beenden.

Eventuell geht das auch mit AutoRuns.

Die Hardcore Methode wäre dann http://unlocker.softonic.de/.

Aber wie gesagt, keine Ahnung, was das für eine Datei ist, für was die gut ist und ob diese wirklich für Dein Problem verantwortlich ist.

Dieser Beitrag wurde von DK2000 bearbeitet: 26. Mai 2011 - 20:34