khfFWppN.dll Autostart Fehler

[kurz-chris]

Hallo, ich bin ganz neu hier und habe mich jetzt extra wegen diesem problem angemeldet. ich habe das windows vista und bin auch sehr zufrieden. allerdings hatte ich heute ein bescheuertes antiviren programm installiert, welche folgende datei: "khfFWppN.dll" als Trojaner erkannt hatte und mir diese datei dann gelöscht hat. (im abgesicherten modus). Seitdem bekomme ich bei jedem start im normalen modus die meldung:

"Fehler beim Laden von
C:\Users\....\AppData\Local\Temp\khfFWppN.dll

Das angegebene Modul wurde nicht gefunden."

Wie bekomme ich den scheiß jetzt weg? war die datei tatsächlich verseucht oder was mach ich jetzt?

AdAware habe ich bereits drüber laufen lassen, doch das problem wurde nicht behoben. ich habe jetzt zu norton 2008 gewechselt und das findet auch keine viren.

[Worry]

Hi,

es scheint Malware zu sein, immer noch. Mache doch mal einen Scan mit HjackThis, eine Anleitung dazu findeste Du hier, und poste bitte das Logfile, wir werden schauen, ob, und was da noch auf Deinem Rechner ist.

[kurz-chris]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:00:01, on 14.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Windows\BR040286.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Users\Chris\AppData\Local\Temp\RtkBtMnt.exe
F:\Alles\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [BisonInst0402] C:\Windows\BR040286.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [Microsoft Update Machine] rBot.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Alles\AdAware\aawservice.exe
O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 7181 bytes


(Ich habe auch mal beim TaskManager geschaut und da wurde die Datei als MSServer angegeben. kann es sein, dass da ne datei vom service pack gelöscht wurde)

danke für eure hilfe

[Worry]

Hi,

also Dein Logfile sieht soweit gut aus, es ist außer 3unnötigen, aber sicheren Einträgen, und einem unbekannten Eintrag ist nichts zu finden. Du kannst, wenn Du magst, folgende Einträge fixen:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKCU\..\Run: [Microsoft Update Machine] rBot.exe

Meine Idee wäre jetzt eine Systemwiederherstellung bis zu dem Punkt, an dem Du diese Datei glöscht hast, bzw. dieser "Trojaner?" gelöscht wurde.

Unter Umständen hast Du dann diesen "Trojaner?" wieder, aber wenn Du nach der Systemwiederherstellung nochmals ein Logfile postest, können wir nochmals schauen, was jetzt wirklich an auf Deinem Rechner war und dementsprechend vorsichtig vorgehen und nicht gleich löschen.

[kurz-chris]

die idee ist sehr gut und hatte ich auch schon allerdings war die systemwiederherstellung nicht eingeschaltet das heißt wohl, dass ich dann wohl oder übel jetzt so damit leben muss aber danke für die antwort.
wenn ich diese microsoft update machine fixe, werden dann die automatischen updates von microsoft deaktiviert?

[Worry]

Ich weiß nicht, ob die Updates dann abgeschaltet werden, bin mir nicht sicher, aber ich glaube es nicht, weil es diesen Eintrag normalerweile für die automatischen Updates nicht gibt. Verlasse Dich da nicht auf mich, ich weiß es nicht sicher.

[Kelshan]

Ich denke mal du bist die Trojaner-Datei (und ja, das war mit ziemlicher Sicherheit einer, ist also nicht die Schuld des "bescheuerten" Virenscanners ) schon los, aber es existiert vermutlich noch ein Autostart-Eintrag dafür irgendwo.

Du kannst ja mal msconfig starten und bei Systemstart schauen, ob zu der Datei noch irgendein Eintrag vorhanden ist.

Hab gestern auf dem Lappi meiner Mutter auch sowas entfernen müssen. Sehr gut hat sich da der "Security Task Analyzer" gemacht. Kannst den ja mal laufen lassen und schauen, ob es da doch noch versteckte Trojaner-Tasks gibt.

[kurz-chris]

(Ich habe auch mal beim TaskManager geschaut und da wurde die Datei als MSServer angegeben. kann es sein, dass da ne datei vom service pack gelöscht wurde)

Habe bereits im TaskManager nachgeschaut. Dort war es die Datei. Wenn ich bei dieser den haken entferne, dann habe ich ruhe. der eintrag bleibt aber da. als ich nach der datei mal gegoogelt habe, kam da etwas vom service pack...

ich habe jetzt auch mal im security task manager geschaut.
dabei weiß ich direkt mit den ersten beiden einträgen nichts anzufangen. laut dem manager sind diese zu 77 % gefährlich.
sie lauten:
rqRLbCuU.dll und liegen im system 32 ordner... (sind 2x geöffnet und liegen auf den ersten beiden plätzen).
was jetzt?

weiß keiner weiter?

[oso79de]

Du musst nicht alle paar Stunden fragen, ob einer weiter weiß oder nicht! Wenn jemand etwas weiß, dann wird er schon etwas schreiben! Wenn du andauernd nachhakst, dann haben viele meistens noch weniger Lust zu antworten! Also einfach mal abwarten, auch wenn's schwerfällt! Kann verstehen, dass du dein Problem gelöst haben möchtest...

Und nun bitte back2topic!

[Kelshan]

Zu rqRLbCuU.dll: Raus mit den Dingern, der STM kann die in der Regel löschen. Bei solchen Dateien ist die Wahl eigentlich einfach: Wenn man zu den Dateinamen über Google nichts findet, sind es zu 99,9% zufällig benannte Virendateien.

Zur ersten Datei: Microsoft speichert keine wichtigen System-DLLs im Temp-Ordner, und wenn doch, dann eben nur temporär, sprich: Es würde auch nichts ausmachen, die zu löschen. Auf jeden Fall hatte die da nichts zu suchen, und schon gar nicht von dort verwendet werden. War also auf jeden Fall auch Malware.

Wegen der Microsoft Update Machine: Virus. rBot.exe ist eine Backdoor, mit der sich jemand Zugriff auf deinen Rechner verschaffen kann. Weg damit!

So verseucht wie der Rechner ist, würde ich langsam eine Neuinstallation des Systems in Erwägung ziehen.

[kurz-chris]

dann mal danke für die antwort. werde dann jetzt mal versuchen das system neu zu installieren.