Forum
Tipps
News
Menu-Icon

Windows 7: RUNDLL-Warnung auf Desktop seit Trojaner und Störung des WLAN

Mein Laptop läuft unter windows 7 mit der internet security 2014 von GData. Bei einem Virenscan sind am 8.2. folgende Signaturen aufgefallen:
HTML.Trojan.ExtendedProtection.A(EngineB) und
Win32.Trojan.NationZoom.B(EngineB).Diese wurde bei GData in Quarantäne verschoben. Am 9.2. traten bei einem erneuten Virenscan folgende Signaturen auf:
HTML.Trojan.ExtendedProtection.A,Win32.Trojan.NationZoom.B(EngineB) und HTML.Trojan.Extended.Protection.A(EngineB). Auch diese wurde in Quarantäne verschoben, da ich nicht wusste, ob ich sie löschen soll.
Danach liefen alle Programme normal weiter.
Allerdings treten seitdem beim Hochfahren des Laptops auf dem Desktop folgende Fehlermeldung auf:
RUNDLL: Problem beim Starten von erdorfdnb.cpp
Das angegebene Modul nicht gefunden
RUNDLL: Problem beim Starten von C:\PROGRA~3\erdorfdnb.cpp
Das angegebene Modul nicht gefunden

Der Laptop läuft ansonsten störungsfrei, das Internet lässt sich öffnen (verwendet wird IE).
Allerdings hat das WLAN Störungen und verliert immer wieder die Verbindung. Ich benutze den Router Speedport W502V mit der Firmware 1.18 und den Speedport W101 Stick. Der Router befindet sich im Keller, in einem anderen Raum als der PC und der Laptop.
Wegen der andauernden WLAN-Störungen habe ich heute erneut einen Virenscan mit GData durchgeführt. Es wurden keine Viren erkannt. Danach habe ich Adw Cleaner 3.019 downgeloaded und ausgeführt.Die dabei gefundenen Dateien habe ich gelöscht.
Als Tipp kam von GData der Hinweis, die PUP-Erkennung zu aktivierung bzw. Hosts Anti-PUP/Adware von Adw Cleaner zu installieren. Da diese Seite auf französisch ist, habe ich sie nicht downgeloaded, mir aber eine Malware eingefangen.
Um mein gesamtes System zu erneuern, habe ich den Telekom Browser 7 installiert. IE 10 war leider nicht möglich, da das "Service Pak 1" nicht auf einem Laptop vorhanden sei.
Des weiteren habe ich Winzip Malware Protector installiert. Dieser fand beim Scan folgende 2 Malwares:
c:\users\***\appdata\local\microsoft\windows\temporary internet files\content.ie5\uj66yv8t\install_hosts_anti-adware[1],exe
und
c:\users\***\appdata\local\tem\install_hosts_antiadware.exe
Beide wurden durch winzip bereinigt.

Der Versuch, die Firmware des Routers zu aktualisieren, scheiterte nach dem Download der aktuellsten Version daran, dass die ".bin"-Datei nicht geöffnet werden konnte.

Seit dem Virusbefall hört es sich an, als wenn versucht wird, eine Disk abzuspielen, obwohl keine eingelegt ist. D.h. der Laptop gibt Geräusche von sich, die sich nach Scannen anhören.


Kann mir jemand helfen, damit mein Laptop und mein WLAN wieder einwandfrei laufen?



Antworten zu Windows 7: RUNDLL-Warnung auf Desktop seit Trojaner und Störung des WLAN:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

ob GData alles gefunden hat, bleibt zu bezweifeln.

Downloade Dir mal Malewarebytes, update es und führe einen Vollscan ( dauert schon mal 1 - 2 Stunden ) durch. Logfile dann posten.

Download Malewarebytes:

http://www.computerbild.de/download/Malwarebytes-Anti-Malware-3122246.html

Anleitung MBAM ( Malewarebytes ):

Anleitung Malewarebytes incl. Screenshots

Könnte sich um einen GVU-Trojaner handeln:

http://forum.botfrei.de/showthread.php?3621-RunDLL-Warnung-nach-GVU-Trojaner-Beseitigung

Sollte MBAM wiederum etwas finden, ist es besser Dein System neu sauber aufzusetzen und ein Backup auf externem Medium einzurichten.

« Letzte Änderung: 20.02.14, 19:41:19 von A K »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Danke für die prompte Antwort.

Noch eine Frage: Wie poste ich?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Nach dem Scan gibt es einen Logfile - Bericht. Dieses Fenster mit gehaltener linker Maustaste markieren, dann mit rechter Maustaste kopieren und hier in einer Antwort mit rechter Maustaste einfügen.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Habe Scan durchgeführt. Kopieren geht nicht, daher so:
PUP.Optional.OpenCandy
File
C.\Users\***\Documents\Anna\PhotoScape_V3.6.5.exe

Soll ich den Fund jetzt löschen oder ignorieren oder als Logdatei speichern?

Und noch etwas: Das Draufspielen des Virus ist meinem Mann beim Öffnen einer Datei, die immer wiederholt auf dem Laptop erschien, passiert. Er hatte dann versucht, den Trojaner zu entfernen - genauso wie es in chiponline für den GVU Trojaner beschrieben ist.Der Laptop war gesperrt.Nachdem er verschiedene Möglichkeiten durchgespielt hatte, fuhr der Laptop auch wieder hoch, allerdings mit der RUNDLL-Meldung. Dann kam er nicht weiter und ich versuche mich jetzt.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Tschuldigung. Habe das mit dem Kopieren jetzt verstanden. Hier der Bericht:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.02.20.08

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
koop :: KOOP-PC [Administrator]

20.02.2014 19:56:56
mbam-log-2014-02-20 (19-56-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 429984
Laufzeit: 1 Stunde(n), 31 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\koop\Documents\Anna\PhotoScape_V3.6.5.exe (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.

(Ende)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Habe jetzt beim Durchsehen des MBAM gesehen, dass sich bereits 13 andere Dateien vom 03.11.2013 dort in Quarantäne befinden. An diesem Tag hatte meine Tochter etwas installiert und einen Virus auf den Laptop downgeloaded, aber mit MBAM illiminiert.

Soll ich diese Dateien löschen?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

alle löschen/entfernen, dann sofortiger Neustart und MBAM Quickscan durchführen ( das reicht als Durchführung ), geht recht fix.
Ist dann nichts mehr vorhanden oder treten keine Unstimmigkeiten auf, dann ist es erstmal o.k.

Das "PUP.Optional.OpenCandy" ist ein Browserhighjacker.
Führt Ihr Onlinebanking durch. Dann zur Sicherheit sofort alle Benutzernamen und Paßwörter ändern.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Das heute Hochfahren des Laptops dauerte länger als normal. Dann blieb der Bildschirm schwarz und wieder tauchte die RunDLL-Warnung auf:
Problem beim Starten von C:\PROGR~3\erdorfdnb.cpp
Das angegebene Modul wurde nicht gefunden.
Ich habe auf "ok" gedrückt und nach einiger Zeit erschien der Desktop mit der 2. RundDLL-Warnung:
Problem beim Starten von erdorfdnb.cpp
Das angebene Modul wurde nicht gefunden.

Danach habe ich die Löschung der in Quarantäne verschobenen Virensignaturen vom November 2013 vorgenommen und anschließend den Rechner neugestartet.
Das Hochfahren funktionierte normal, allerdings erschienen wieder beide RunDLL-Warnungen. Mit MBAM habe ich einen Quickscan durchgeführt, wobei keinerlei bösartigen Objekte gefunden wurden.

Beim Quickscan öffnete sich zusätzlich das Fenster von GData mit dem Hinweis: Meldung Firewall Service is not running (0x80080005). Bedeutet das, dass der Firewall grundätzlich ausgeschaltet ist oder nur während des Quickscan durch MBAM?

Desweiteren zeigte GData an, dass die Passphrase meines Routers unsicher ist. Auch wenn das inhaltlich nicht in diesen Chat gehört, aber vielleicht kann mir auch dazu jemand weiterhelfen, wie man diese Passphrase ändert.

Und noch eine Frage: Soll ich nun alle Benutzernamen und Passwörter ändern oder nur die vom Onlinebanking?

Bin leider total überfordert und benötige Unterstützung! :(

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Habe nochmals mit MBAM durchgescannt, wieder diese Meldung:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.02.20.08

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
koop :: KOOP-PC [Administrator]

21.02.2014 15:27:58
mbam-log-2014-02-21 (15-27-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 429280
Laufzeit: 1 Stunde(n), 40 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\koop\Documents\Anna\PhotoScape_V3.6.5.exe (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.

(Ende)

Wie kann ich die infizierte Datei PUP.Optional.OpenCandy löschen?

im Mbam : Haken vor der Meldung setzen & entfernen .

PUP (Potenziell Unerwünschtes Programm) ist harmlos , solange Du die Downloads nicht als Admi machst . Auch Surfen sollte man besser nur als Eingeschr. User .

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

und zusätzlich Neustart und einen Quickscan durchführen, ob es dann weg ist.

Auch hier mal lesen und diese Adware mit dem AdwareCleaner beseitigen:

http://translate.google.de/translate?hl=de&sl=en&u=http://www.malwareremovalguides.info/pup-optional-opencandy-removal-guide/&prev=/search?q%3Doptional.opencandy%26biw%3D1600%26bih%3D736

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wo kann ich denn eingeben, dass ich nicht als admin downloade bzw, surfe? Bisher habe ich den PC nur benutzt, aber anscheinend zu wenig dabei nachgedacht... :-[

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ich habe mir den Link durchgelesen und unter Systemsteuerung die Opencandy-Datei gesucht. Sie war nicht mehr da. Auch nach Scan mit AdwCleaner und nochmaligem Scan mit MBAM wurde nichts gefunden.

Fragen:
1) Muss ich jetzt noch HitmanPro herunterladen und die im Link beschriebenen Anweisungen ausführen?
2) Beim Hochfahren des Laptops ist das Gerät immer noch sehr langsam. Und immer noch erscheinen die beiden RunDLL-Warnungen. Wie bekomme ich diese vom Laptop runter?
3) Im Zuge dieser Virenbeseitigung habe ich versucht, meinen IE 7 (mit Bing) zu updaten. Das ging nicht für den IE 10, weil servicePak 1 nicht auf dem Laptop vorhanden ist. ServicePak 1 kann ich aber nur downloaden, wenn ich alle Antiviren- und Antispywareprogramme deaktiviere. Da ich nicht weiss, wie ich das machen soll, konnte ich ServicePak 1 nicht installieren und somit auch nicht IE 10, Mit dem Browser 7 der Telekom komme ich nicht zurecht. Gibt es einen anderen Browser, der empfehlenswert ist? Und wo kann ich den dann downloaden, ohne mir gleichzeitig einen neuen Virus herunterzuladen?
4) Muss ich jetzt alle Passwörter und Benutzernamen ändern, auch die auf IPad und Handy, weil sie übers Wlan verbunden sind?

Danke für die Hilfen.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Zu 1:
nein

Zu 2:
probiere dies:
http://translate.google.de/translate?hl=de&sl=en&u=http://www.dll-error.com/rundll-error-repair.php&prev=/search?q%3Dmicrosoft%2Bfix%2Bit%2Brundll%26biw%3D1600%26bih%3D736

Zu 3:
wenn 2 erfolgreich durchgeführt, dann zu 3 probieren
     
Zu 4:
Es wurde versucht, aber ohne Erfolg, auf Deinen Rechner zu kommen mit einem Browserhighjacker. Es wurde aber keine Aktion durchgeführt. Normalerweise brauchst Du Deine Kennwörter nicht löschen/ändern, wäre m.E. aber empfehlenswert.

Nationzoom.com entfernen http://linkmailer.de/viren/nationzoom-com
oder AdwCleaner (free)


« Update abgeschmiertreferenced memory »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Laptop
Älterer Begriff für einen mobilen Computer – siehe auch Notebook. Der Begriff Laptop kommt, als Alternative zum Desktop-PC daher, dass er oft nicht auf de...

Desktop
Als Desktop bezeichnet man die Arbeitsoberfläche eines Computers. Der Desktop ist nichts anderes als eine grafische Benutzeroberfläche (Graphical User Interface...

Internet
Das Internet, ein aus den Worten "International" und "Network" zusammengesetzter Begriff, ist ein globales Netzwerk (WAN: Wide Area Network), das eine Vielzahl von Comput...