Error loading hook DLL

[peacerpeaces]

Hi leude,

ich habe seit einiger zeit bei jedem Windows-Start die Fehlermeldung "Error loading hook DLL" in einem Fester mit der Überschrift "Blazing tools perfect keylogger"

Auch Scan Versuche mit Sybot serach & destroy und AdAware haben das Problem nicht gefixt. Ich habe die Registry gescannt (mit Regleaner) - die Autostart und Run einträge waren unauffällig.

Wie bekomme ich diese Meldung wieder weg ?
Danke für jede Hilfe im Vorraus,

mfg
peacer

 

[[ITP]Frizzy]

start-zubehör-systemwiederherstellung oder so und dann die zuletzt funktionierenden einstellungen wählen.kannst ja n datum eingeben,wo das letzte mal alles funktioniert hat

 

[The Prophet]

Na dann hast du wohl nen installieren Keylogger der jetzt eine Fehlfunktion aufweist. Schlecht für den Keylogger gut für dich Lade dir mal von www.sysinternals.com Autoruns herunter und schau dir alle Autostandorte an. Am besten postest du uns diese. Dazu besorgst du dir noch hijackthis und lässt es auf hijackthis.de auswerten. Wenn das auch nicht weiterhilft muss ich nochmal meinen Keylogger Remover rauskramen.

 

[PCB]

Da hast du dir einen schönen Keylogger eingefangen, der auch noch einen Trojaner enthält, welcher die meisten AV-Programme beendet. Vielleicht finden deine Tools deswegen nichts.

Der Keylogger wird wahrsch. über eine versteckte Autostart-Rampe in Windows gestartet. Lade dir mal Autoruns von Sysinternals herunter und prüfe alle Autostarts: http://www.sysinternals.com/files/autoruns.zip

Wenn du den Logger deaktiviert hast kannst du dein System mit deinen AV-Tools prüfen. Wenn wieder nichts gefunden wird, probier mal einen Online-Scanner aus: http://malware.bul-online.de/av_onlinescan.php

my2cents

PCB

edit: @the Prophet: Zwei Doofe, ein Gedanke

 

[User1024]

Statt Autoruns kannst du auch einfach Start => Ausführen => msconfig -6
machen.
Dann mit Ad-Aware und Spybot sowie am besten noch Stinger und Online-Scans drübergehen.

 

[PCB]

@User1024: Msconfig zeigt dir längst nicht alle Autostarts an, vergleiche es mal mit autoruns, hier sind meistens viel mehr Einträge vorhanden. In der Registry sind viele versteckte Autostart-Rampen wie z.B. der UserInit-Eintrag im Winlogon.

 

[User1024]

Habs bei mir mal ausprobiert, in Autostarts waren genau die selben drin, dazu finde ich das Programm sehr langsam und unübersichtlich. ProcessExplorer ist zwar genial, aber Autostarts imo sinnlos.

 

[PCB]

Dann hast du ein sauberes System, sei froh.
Viele Leute suchen ihre Autostarts über msconfig und wundern sich, das trotzdem noch was von selbst startet.

Stimmt, autoruns ist nicht sehr user-freundlich, dafür braucht man es auch nur alle Jubeljahre einmal

 

[peacerpeaces]

also ich hab das autoruns jetz mal ausgeführt! und hab mal die txt datei hier angehängt! allerdings hab ich da alles bei "View" angeklickt was ging!



also ich hoffe damit kann wer was anfangen! auf jedenfall is mir im autoruns nix auffälliges aufgefallen, im msconfig ja ebensowenig! den virenscanner hab ich schon drübergejagt der hat aber nichts von diesem verdammten keylogger gefunden! ich weiß ja nicht mal von wem dieser halblustige trojanische keylogger kommt aber das is echt eine plage!

also danke für den haufen antworten aber ich freu mich über jede weitere hilfe,

mfg

peacer

 

[peacerpeaces]

aja und bei hijackdings kommt das raus:

Logfile of HijackThis v1.99.0
Scan saved at 18:59:18, on 31.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Stardock\TrayServer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
E:\Programme\Logitech\iTouch\iTouch.exe
E:\PROGRA~1\Avast4\ashDisp.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\fast.exe
E:\Programme\iTunes\iTunesHelper.exe
E:\Programme\DesktopX\DesktopX.exe
E:\Programme\ICQ\ICQPlus\vplus.exe
E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
E:\Programme\Avast4\aswUpdSv.exe
E:\Programme\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\useraccess.exe
C:\WINDOWS\system32\Fast.exe
C:\Programme\iPod\bin\iPodService.exe
E:\Programme\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\iTunes\iTunes.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
E:\Programme\Opera\Opera.exe
D:\Downloads\autoruns\autoruns.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=144446
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=144446
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=144446
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [1A:Stardock TrayMonitor] "C:\Programme\Gemeinsame Dateien\Stardock\TrayServer.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [bpk] C:\WINDOWS\system32\nv32\bpk.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Aurelius\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe
O4 - HKLM\..\Run: [iTunesHelper] E:\Programme\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [DesktopX] "E:\Programme\DesktopX\DesktopX.exe"
O4 - HKCU\..\Run: [ICQ Plus] "E:\Programme\ICQ\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\RunOnce: [ICQ] E:\Programme\ICQ\ICQ.exe -trayboot
O4 - Startup: Webshots.lnk = E:\Programme\Webshots\WebshotsTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe
O23 - Service: avast! iAVS4 Control Service - Unknown - E:\Programme\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - E:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Programme\Avast4\ashMaiSv.exe
O23 - Service: IMAPI CD-Burning COM Service - Unknown - C:\WINDOWS\system32\ImapiRox.exe (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Securom User Access for Windows 2000 and Windows XP a technology by Sony DADC - Unknown - C:\WINDOWS\system32\useraccess.exe

 

[Toaster]

O4 - Startup: Webshots.lnk = E:\Programme\Webshots\WebshotsTray.exe << der kommt mir Spanisch vor.

+ bpk c:\windows\system32\nv32\bpk.exe << auch fraglich

P.S.
is gibt auch einen Edit Button

 

[peacerpeaces]

das webshots is ganz ok! also www.webshots.com das is mein programm um den hintergrund jeden tag zu ändern und mit aktuellen und schönen bildern ausm internet zu aktualisieren! das hat nix!

beim bpk hast du recht, das kommt mir auch komisch vor aber ich wills nicht löschen solang ich nicht weiß obs wichtig ist und obs nicht doch ein wichtiges progi is! ;S

mfg, bitte weiterhelfen

peacer

 

[Toaster]

wie wäre es vorrübergehend mit umbenennen?

außerdem siehe hier http://www.anti-spy.info/process/bpk.exe.html

 

[peacerpeaces]

hey jo, das war wirklich die bpk.exe! das scheiss file! habs gefunden, gelöscht und ausm start ebenso! möcht ja alzugern wissen wie ein angeblich legales file so rein zufällig auf meinen computer rutsch! hmpf...

najo... danke toaster, jetz kann ich wieder starten! jetzt nervt nur noch die error meldung beim runterfahren, aber das is wegen den nvidia drivern oder so, da kommt immer sowas mit "nviw.dll, nview initialize" run dll error! hm.. also wenn du mir da auch ncoh helfen kannst bin ich überhappy!

thanx,

peacer

 

[Toaster]

kannst du davon mal einen Screenshot machen und posten?

P.S.:

benutzt du Multimonitor?

ansonsten deaktiviere diesen eintrag:
+ nwiz NVIDIA nView Wizard, Version 66.93 (Not verified) NVIDIA Corporation c:\windows\system32\nwiz.exe

 

[peacerpeaces]

ja ich hab 2 Monitore am REchner angehängt! und benütze sie via horizontal erweiterung des desktops! ist sehr praktisch!

und ich kann leider keinen screenshot machen! habs gerade ausprobiert aber das ist nicht möglich weil der computer ja alle programme schließt und mich dann auch kein grafik prog mehr starten lässt um den screenshot zu speichern! ;(

 

[Toaster]

digicam wäre eine Möglichkeit

 

[peacerpeaces]

also hab jetzt umgestellt nur auf einen monitor weil sonst kann man die fehlermeldung ned ordentlich lesen. hier angehängt das bild vom error!

danke für die hilfe und ich hoffe du kannst mir mit dem bild jetz auch bei diesem error helfen! mfg,

peacer

 

[Toaster]

http://www.lukor.com/foro/340.htm << hier scheint was darüber zu stehen, musst nur jemanden finden der das übersetzen kann

bin noch auf der Suche, und du musst mir nicht jedesmal eine PM schicken, wenn in dem Thread was neues kommt, bekomme ich eh eine Email

 

[peacerpeaces]

achso wusste nicht das du dieses thema aboniert hast und das du online bist wusste ich auch nicht! aber danke für die hilfe, ich werd mal die seite angucken!

thx for help,

mfg

peacer