MS .Net Framework Popup

[Haasor]

Hallo Leute,

hab seit ein paar Tagen das Problem dass beim Win7 boot ein Popup kommt, und ich muss 2 mal auf Beenden klicken damit es weggeht.



Ich habe Framework, C++ Visual und den XML Parser komplett deinstalliert und per Windows Update neu raufgemacht, es kommt aber nach wie vor. Ausserdem hab ich Security Essentials sowie Antimalware drüber laufen lassen, haben aber beide nix gefunden.

Google hab ich auch bemüht, konnte aber nix finden das mir weiterhilft.

Ich benutze Win7 Ultimate x64 und Treiber halte ich aktuell.
Habe noch den kompletten Fehlerbericht gesichert, vielleicht kann man da was finden.

Da war ich so achtsam beim aufsetzen vor 2 Wochen, nur das nötigste installiert was ich brauche und dann das :O

Danke schonmal fürs anschauen:

Informationen über das Aufrufen von JIT-Debuggen
anstelle dieses Dialogfelds finden Sie am Ende dieser Meldung.

************** Ausnahmetext **************
System.Net.WebException: Der Remotename konnte nicht aufgelöst werden: 'ftp.talkcardtricks.info'
   bei System.Net.FtpWebRequest.CheckError()
   bei System.Net.FtpWebRequest.GetRequestStream()
   bei AdasdASDwdadwAWD.Form1.UploadFTP_Text(String Host, String _uzername, String _pazzword)
   bei AdasdASDwdadwAWD.Form1._zendLoqs(String _effTeePeehost, String _effTeePeeUseAre, String _effTeePeeAssP)
   bei AdasdASDwdadwAWD.Form1.Form1_Load(Object sender, EventArgs e)
   bei System.EventHandler.Invoke(Object sender, EventArgs e)
   bei System.Windows.Forms.Form.OnLoad(EventArgs e)
   bei System.Windows.Forms.Control.CreateControl(Boolean fIgnoreVisible)
   bei System.Windows.Forms.Control.CreateControl()
   bei System.Windows.Forms.Control.WmShowWindow(Message& m)
   bei System.Windows.Forms.Control.WndProc(Message& m)
   bei System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m)
   bei System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)


************** Geladene Assemblys **************
mscorlib
    Assembly-Version: 2.0.0.0.
    Win32-Version: 2.0.50727.4952 (win7RTMGDR.050727-4900).
    CodeBase: file:///C:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll.
----------------------------------------
explorer_crypted
    Assembly-Version: 2.2.2.2.
    Win32-Version: 1.1.1.1.
    CodeBase: file:///C:/Users/Haasor/AppData/Roaming/Microsoft/Windows/Templates/nvdisp.exe.
----------------------------------------
System.Windows.Forms
    Assembly-Version: 2.0.0.0.
    Win32-Version: 2.0.50727.4927 (NetFXspW7.050727-4900).
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms/2.0.0.0__b77a5c561934e089/System.Windows.Forms.dll.
----------------------------------------
System
    Assembly-Version: 2.0.0.0.
    Win32-Version: 2.0.50727.4927 (NetFXspW7.050727-4900).
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System/2.0.0.0__b77a5c561934e089/System.dll.
----------------------------------------
System.Drawing
    Assembly-Version: 2.0.0.0.
    Win32-Version: 2.0.50727.4927 (NetFXspW7.050727-4900).
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Drawing/2.0.0.0__b03f5f7f11d50a3a/System.Drawing.dll.
----------------------------------------
Microsoft.VisualBasic
    Assembly-Version: 8.0.0.0.
    Win32-Version: 8.0.50727.4927 (NetFXspW7.050727-4900).
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/Microsoft.VisualBasic/8.0.0.0__b03f5f7f11d50a3a/Microsoft.VisualBasic.dll.
----------------------------------------
dAdASdasdaDwdad
    Assembly-Version: 1.0.0.0.
    Win32-Version: 1.1.1.1.
    CodeBase: file:///C:/Users/Haasor/AppData/Roaming/Microsoft/Windows/Templates/nvdisp.exe.
----------------------------------------
System.Runtime.Remoting
    Assembly-Version: 2.0.0.0.
    Win32-Version: 2.0.50727.4927 (NetFXspW7.050727-4900).
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Runtime.Remoting/2.0.0.0__b77a5c561934e089/System.Runtime.Remoting.dll.
----------------------------------------
System.Configuration
    Assembly-Version: 2.0.0.0.
    Win32-Version: 2.0.50727.4927 (NetFXspW7.050727-4900).
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Configuration/2.0.0.0__b03f5f7f11d50a3a/System.Configuration.dll.
----------------------------------------
System.Xml
    Assembly-Version: 2.0.0.0.
    Win32-Version: 2.0.50727.4927 (NetFXspW7.050727-4900).
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Xml/2.0.0.0__b77a5c561934e089/System.Xml.dll.
----------------------------------------
System.resources
    Assembly-Version: 2.0.0.0.
    Win32-Version: 2.0.50727.4927 (NetFXspW7.050727-4900).
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.resources/2.0.0.0_de_b77a5c561934e089/System.resources.dll.
----------------------------------------
mscorlib.resources
    Assembly-Version: 2.0.0.0.
    Win32-Version: 2.0.50727.4952 (win7RTMGDR.050727-4900).
    CodeBase: file:///C:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll.
----------------------------------------
System.Data
    Assembly-Version: 2.0.0.0.
    Win32-Version: 2.0.50727.4927 (NetFXspW7.050727-4900).
    CodeBase: file:///C:/Windows/assembly/GAC_64/System.Data/2.0.0.0__b77a5c561934e089/System.Data.dll.
----------------------------------------
System.Management
    Assembly-Version: 2.0.0.0.
    Win32-Version: 2.0.50727.4927 (NetFXspW7.050727-4900).
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Management/2.0.0.0__b03f5f7f11d50a3a/System.Management.dll.
----------------------------------------
System.Windows.Forms.resources
    Assembly-Version: 2.0.0.0.
    Win32-Version: 2.0.50727.4927 (NetFXspW7.050727-4900).
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms.resources/2.0.0.0_de_b77a5c561934e089/System.Windows.Forms.resources.dll.
----------------------------------------

************** JIT-Debuggen **************
Um das JIT-Debuggen (Just-In-Time) zu aktivieren, muss in der
Konfigurationsdatei der Anwendung oder des Computers
(machine.config) der jitDebugging-Wert im Abschnitt system.windows.forms festgelegt werden.
Die Anwendung muss mit aktiviertem Debuggen kompiliert werden.

Zum Beispiel:

<configuration>
    <system.windows.forms jitDebugging="true" />
</configuration>

Wenn das JIT-Debuggen aktiviert ist, werden alle nicht behandelten
Ausnahmen an den JIT-Debugger gesendet, der auf dem
Computer registriert ist, und nicht in diesem Dialogfeld behandelt.

 

[glpsy]

Welche Programme sind denn bei Dir im Autostart?

 

[easy.2ci]

Das .NET Framework, oder der XML Parser wird kaum das Problem sein.

Auf deinem System ist nicht das Framework defekt, sondern die Anwendung die aufs .NET Framework zugreift.



Wenn ich mir die Daten so ansehe:


Remotename ftp.talkcardtricks.info
zendLoqs effTeePeehost

dann vermute ich du hast dir ein schädliches Programm eingefangen. Vielleicht ist es nur ein Programm welches dich mit Werbung zuballern soll, vielleicht ist es auch was ernstes.

Nachträglich einen AV Scanner zu starten hilft nur vordergründig, denn wenn einmal eine Schadsoftware mit Adminrechten aktiv war, dann kann sie sich so tief einnisten dass ein AV Scanner nicht mehr drankommt.


Ich würd das System plattmachen, neu aufsetzen und besser aufpassen, was du ausführst.

 

[Haasor]

@glpsy
Hab per msconfig nur Programme im Autostart von denen ich auch will dass sie starten, Trillian, Steam etc.

@easy.2ci
Das hab ich erwartet und befürchtet ... dieses WE ist LAN, von daher wirds vermutlich eh nötig sein danach das System wieder neu zu machen. Könnte das ein Problem werden für meine LAN Buddies oder bleibt das Zeugs auf meinem System ?

 

[glpsy]

Es gibt "böse Programme", die auf einem System bleiben ... und es gibt Programme, die wandern. Das kann man so nicht sagen.

Ergänzung (25. März 2011)

Hast Du eine ATI-Grafikkarte und startest das CCC per Autostart? Das CCC greift auch auf .Net zu. (eine weitere Vermutung)
Man könnte noch versuchen, alle Autostart-Programme zu deaktivieren und dann Schritt für Schritt zu testen.

 

[easy.2ci]

Ist ziemlich sicher eine Schadsoftware.

Die Assembly heisst AdasdASDwdadwAWD, aufgerufen aus C:/Users/Haasor/AppData/Roaming/Microsoft/Windows/Templates/nvdisp.exe

Das passt nicht. Da tarnt sich eine Schadsoftware als nvidia Treiber.

Das Programm will mittels

AdasdASDwdadwAWD.Form1.UploadFTP_Text(String Host, String _uzername, String _pazzword)

Daten nach ftp.talkcardtricks.info schicken, da dieser nicht erreichbar ist, wird eine Exception geworfen die nicht abgefangen wird. Dann kommt der .Net JIT Compiler an die Oberfläche und zeigt dir die Meldung. Das Schadprogramm selbst wird in eine Nicht Interaktiven Sitzung ablaufen, also keinen Bezug zum Desktop.



Ob sich dieses Programm noch vor seinem Absturz auf andere Systeme ausbreitet kann man nicht sagen, vermutlich aber nicht, da dein User Haasor auf den anderen Maschinen im LAN wohl keine Rechte haben wird.

Einen Angriff ohne User auf Netzwerkebene wäre auch möglich, aber zu kompliziert um das in Visual Basic zu machen. Deine Schadsoftware ist in Visual Basic geschrieben.


Aber... wenn du bereits dieses 1 Programm aus unseriöser Quelle auf deinen Rechner gelassen hat, wer sagt denn dass du nicht noch mehr Schadsoftware auf dem System hast und es nur nicht bemerkst? Das kannst du nicht ausschließen, daher würde ich den Rechner bald vom Internet trennen und morgen sofort neu machen und nur vertrauenswürdige Software installieren


Lad die Datei C:/Users/Haasor/AppData/Roaming/Microsoft/Windows/Templates/nvdisp.exe mal bei Virustotal.com hoch.



http://computerhelpforum.org/forum/general_computing/f6/microsoft_net_problem/t28959.html

To your problem,
The short answer: It looks like a virus, smells like a virus, and let's try not to taste it.

First: The code is partially obfuscated (meant to not be undertood, makes it hard to crack and hard to take by antivirus). So it's production code (not in develop).

Now, the message: It's says that it's trying to connect to an FTP server (ftp.ssofts.info) and it's unavaiable, this causes a .NET exception. That exception must be handled by the developer, but it didn't do it, so it's taken to the user in the shape of an error message. Also this connection is started by a timer in a window (perhaps a hiden one) at fixed intervals, so you get the exception once and again.

Since you do not suspect of a particular software, but of .NET, I think it's a hiden window, enforcing the idea of it being a virus. Since it's not a program you are using. Also it marks a funtion called SendKeyLogsFTP which is not part of .NET, now, I don't know what it does, but if the names is well set, it sends whatever you write on your keyboard over FTP (to ftp.ssofts.info), so you are with a KeyLogger.

If the info you post is right the executalbe is file:///C:/Users/user/AppData/Roaming/nvdisp.exe
Try to find the executable, you may confirm the name from the task manager (ctrl+ald+del) select the message in the tasks tab and then right click -> "go to process" it will show you the name of the executable.
Find it on your hard disk, delete it, and make sure there are no entries to it in msconfig, to open mscofig go to "start"->"execute" and type msconfig then enter, look in the start tab.

The offender assembly is "dAdASdasdaDwdad" but that's not the name of the file, it's file:///C:/Users/user/AppData/Roaming/nvdisp.exe according on what you post.

Aside form that, the program uses a SQLite database, and it's done with Visual Basic... not much of interest.

Now, if for some reasong you think it's not a virus but a defectous software, you may try to upload it to virus total. Also I may be interested in dissasembling this baby (but do not post it). Anyway post back any news, and please tell me you haven't re-formated your hard disk and installed Windows over again.

Ah, lastly, JIT is Just In Time compiler part of .NET, if JIT is running it only means that the code is not optimized to your machine, don't care about JIT.

Microsoft Certified Software Developer
Alfonso J. Ramos

 

[Yuuri]

Laut http://villavu.com/forum/showthread.php?t=59559 ein Keylogger. Man findet aber sonst kaum etwas aussagekräftiges darüber (sonst nur tausende HJT Logs mit abermillionen von Zeilen...).

 

[Haasor]

Danke schonmal an alle,

hab nvdisp.exe aus dem roaming ordner gelöscht, den autostart eintrag der sich per explorer.exe getarnt hat entfernt, sowie im taskmanager explorer.exe gekillt. Nach einem Neustart ist im Taskmanager nix mehr zu sehen, auch die datei im roaming ordner ist nicht wieder gekommen.
Ich werde erstmal von einem anderen System aus meine Passwörter bei sensiblen Accounts ändern sowie nach der LAN das System neu aufsetzen.
Ich beobachte das bis morgen vor der LAN ob da noch was kommt im Taskmanager, wenn nicht sollten die anderen doch nicht gefährdet sein oder ?

Ich hoffe die Schäden halten sich in Grenzen, die Fehlermeldung kam bei jedem Boot, dH der FTP war ja eigentlich nie erreichbar. Ausschliessen kann man das halt nicht :X

Danke für die ausführliche und schnelle Hilfe zu später Stunde

 

[glpsy]

Die Meldung kam bei jedem Boot, wo der Server nicht zu erreichen war. Aber diese Meldung kam nicht, wo der Server erreichbar war. Wie lange ist Dein System schon drauf?

 

[Haasor]

10. März ... also frisch, die Meldung kam 3-4 Tage danach.
Naja PW sind geändert, der Prozess taucht im Taskmanager nichtmehr auf, sollte im LAN also keine Gefahr darstellen, und Montags mach ich dann einfach nochmal alles neu, hilft ja eh nix :/