Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Benutzerdefinierte DLLs werden geladen

Frage Microsoft Windows 8

Mitglied: bytetix

bytetix (Level 2) - Jetzt verbinden

10.07.2014 um 20:14 Uhr, 2529 Aufrufe, 15 Kommentare

HI,

habe seit kurzem in meinem Eventlog diese Meldung:

bc627d2fe9c32332fc1f7bbda0f6d9ee - Klicke auf das Bild, um es zu vergrößern

Wie kriege ich denn raus von welchen DLLs die Rede ist? Sollte hier nicht auch die DLL erwähnt werden um die es geht? Wenn sich im System fiese DLLs eingeschlichen haben, sollte ich das schon wissen und mit einem AV genau prüfen..

Danke!
Mitglied: Snowman25
11.07.2014 um 08:51 Uhr
Hallo bytetix,

Im KB-Artikel steht doch alles.

Gruß,
Snowman25
Bitte warten ..
Mitglied: bytetix
11.07.2014 um 14:30 Uhr
Ja, ich habe mir die KB auch durchgelesen, aber anscheinend stehe ich total am Schlauch...

Ich erwarte eig. eine Liste mit aufgeführten dll´s die ich prüfen muss ;-(
Oder liege ich falsch?
Bitte warten ..
Mitglied: Snowman25
11.07.2014 um 15:15 Uhr
Also bei mir steht im Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs eine Liste an DLL-Dateien, die eingebunden werden.
Wenn bei dir das Event generiert wird OHNE dass dort eine Liste drinsteht, stimmt etwas mit dem System nicht.
In dem Fall solltest du mal sfc /scannow laufen lassen.

Gruß,
Snowman25
Bitte warten ..
Mitglied: bytetix
11.07.2014 um 16:03 Uhr
Da ist bei mir nichts. Könntest du evtl. mal einen Screenshot zeigen?
Bitte warten ..
Mitglied: bytetix
12.07.2014 um 10:11 Uhr
Also bei mir hat die AppInit_DLLs diesen Wert, was dafür spricht das garkeine benutzerdef. DLLs mitgeladen werden:

e46076eda6ae332912c9308e4dddaa21 - Klicke auf das Bild, um es zu vergrößern

Dann würde die Meldung im Event Log aber wiederum keinen Sinn ergeben ;-(
Bitte warten ..
Mitglied: DerWoWusste
12.07.2014, aktualisiert 14.07.2014
Wenn es wirklich ein Angriff sein sollte, ist natürlich nicht 100%ig auszuschließen, dass der Angriff diesen Regkey verschleiert, das ist technisch möglich. Ausschließen kannst (und solltest) Du das, indem Du die registry offline mountest und den Zweig dort kontrollierst. Geht zum Beispiel von jeder Setup-DVD (win Vista oder höher) aus: booten, shift F10 drück statt Setup, dann kommt eine Kommandozeile, Regedit dort öffnen, Registrydatei "Software" aus \Windows\system32\config mounten (beliebiger Mountpointname), nachsehen, dismounten.
Bitte warten ..
Mitglied: bytetix
13.07.2014, aktualisiert um 13:17 Uhr
Hallo zusammen,

ich habe mir jetzt mal die Desinfect CD genommen um mir offine meine Registry anzuschauen. Hier der Screen:

1fe6844c07c52452f573bfb291336f5d - Klicke auf das Bild, um es zu vergrößern

Daraus werde ich echt nicht schlau, windows sagt es werden benutzerdef. DLLs geladen, und es steht absolut keine DLL in der Liste ;-( Kann sowas nur von Malware verursacht werden oder gibt es auch "saubere" Software die sowas verursacht?
Bitte warten ..
Mitglied: DerWoWusste
13.07.2014 um 17:39 Uhr
Windows erzählt viel, wenn der Tag lang ist. Aber auf Malware deutet derzeit nichts hin.
Ich würde nach dieser Meldung googeln, möglichst in englisch.
Bitte warten ..
Mitglied: Snowman25
14.07.2014 um 10:07 Uhr
Gibt es vielleicht im Schlüssel HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows einen Wert names AppInit_DLLs?
Bitte warten ..
Mitglied: bytetix
16.07.2014 um 21:58 Uhr
HI Snowman25,

nein - dort ist kein Schlüssel.

zu allen anderen:
laut eines Google threads kann eine Antiviren software wie Kaspersky dafür sorgen, das benutzedef. DLLs mit geladen werden. In meinem Fall ist Comodo auf einem Win 7 und win 8 PC installiert, auf beiden rechnern kommt diese Meldung.

Auf beiden Rechnern führte ich folgende Tests durch:
- Virenscan mit Desinfect 2013/14 CD
- Scan mit Spybot 2
. scan mit comodo unter laufendem Windows

Nichts fand Malware. Es wird also vermutlich nix sein, danke an alle!
Bitte warten ..
Mitglied: Snowman25
17.07.2014 um 08:53 Uhr
Zitat von bytetix:
zu allen anderen:
laut eines Google threads kann eine Antiviren software wie Kaspersky dafür sorgen, das benutzedef. DLLs mit geladen werden.
In meinem Fall ist Comodo auf einem Win 7 und win 8 PC installiert, auf beiden rechnern kommt diese Meldung.
Dann testweise mal Comodo deinstallieren und gucken, ob der Eintrag wieder auftaucht.
Danach bitte Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen? beachten
Bitte warten ..
Mitglied: bytetix
18.07.2014 um 09:48 Uhr
Hallo zusamnen,

bin mir nun relativ sicher das es keine Malware ist die mitgeladen wird. Habe den Load App DLL Eintrag wieder auf 0 gesetzt und jetzt kommt die Meldung auch nicht mehr wenn ich Windows starte. Der Auslöser war vermultich Comodo. Topic closed, Thanks to all!!!!
Bitte warten ..
Mitglied: Snowman25
18.07.2014 um 11:12 Uhr
Zitat von bytetix:

Hallo zusamnen,

bin mir nun relativ sicher das es keine Malware ist die mitgeladen wird. Habe den Load App DLL Eintrag wieder auf 0 gesetzt und
jetzt kommt die Meldung auch nicht mehr wenn ich Windows starte. Der Auslöser war vermultich Comodo. Topic closed, Thanks to
all!!!!

Markiere bitte noch relevante Beiträge als "Zur Lösung beigetragen".

Danke!
Bitte warten ..
Mitglied: colinardo
18.07.2014, aktualisiert um 11:17 Uhr
Zitat von bytetix:
Habe den Load App DLL Eintrag wieder auf 0 gesetzt und
Stand aber auch schon unter dem oben bereits verlinkten Beitrag als Lösung:
This solution worked for me: 
 
The warning is removed by restoring the following registry key to the default value of "0"
Bitte warten ..
Ähnliche Inhalte
Windows Server
Anmeldescript wird nicht geladen
Frage von baxxter333Windows Server2 Kommentare

Hallo, ich habe ienen Server 2012 R2 als DC laufen. Im Ordner "netlogon" habe ich eine login.bat hinterlegt, die ...

Windows 7
Benutzerdefinierte Papierformate exportieren
Frage von Konfu2kWindows 7

Hallo, ich habe hier ein Windows 7 System, wo für PostScript benutzerdefinierte Papierformate angelegt wurden. Nun sollen diese Formante ...

Visual Studio
DLL für SDR auf RTL2832 Chip
Frage von Aicher1998Visual Studio2 Kommentare

Hallo Ich wollte mal fragen, ob hier jemand eine DLL kennt, mit der ich auf einen SDR Empfänger mit ...

Entwicklung
Jar in .Net-DLL konvertieren
Tipp von Aicher1998Entwicklung

Hallo ja es hört sich komisch an und ich hab selbst nicht gedacht, dass es funktioniert, da das eine ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 9 StundenMikroTik RouterOS4 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 10 StundenSicherheit

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 12 StundenAdministrator.de Feedback9 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 17 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Frage von ahstaxVisual Studio24 Kommentare

Hallo, ich möchte gerne ein vb.net-Tool schreiben, das am Ende eine Outlook-E-Mail erzeugt. Grundsätzlich ist mir klar, wie das ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...