Hallo!
Ich brauche dringend Eure Hilfe. Seit ich heute Mittag eine Spam-Mail mit folgendem Betreff öffnete (ich weiß, das sollte man nicht tun...): "Re:ungültige Zeichen in ihrer E-Mail" Absender: Re-Mailer@hotmail.com, funktioniert meine DFÜ-Netzwerkverbindung nicht mehr. Es wird angezeigt, dass die Datei Rundll32.exe fehlt. Beim Recherchieren fand ich heraus, dass es sich evtl. um folgenden Virus handeln könnte: W32/Sober-I. Auf der Seite: http://securityresponse.symantec.com...oval.tool.html
wurde ein Removel-Tool angeboten, welches dann ausgeführt wurde. Angeblich mit Erfolg, denn es wurde gemeldet, dass einige Dateien gelöscht wurden und der Virus entfernt werden konnte. Trotzdem funktioniert meine DFÜ-Verbindung immer noch nicht. Ich komme also nicht ins Internet.

Nun habe ich herausgefunden, dass nicht nur das DFÜ-Netzwerk zu spinnen scheint, sondern jegliche Funktionen unter Systemsteuerung nicht funktionieren. Mit der Fehlermeldung dass Rundll32.exe fehlt.
Danach habe ich versucht Rundll32.exe zu downloaden. Die runtergeladene Datei konnte aber aufgrund der fehlenden Rundll32.exe nicht geöffnet werden.

Jetzt gehen mir die Ideen aus. Ehrlich gesagt muss ich auch gestehen dass ich absolut keine Ahnung von so etwas habe. Hatte noch nie einen Virus. (Habe auch leider kein Virenprogramm. Versprochen: sobald ich wieder ins Netz komme, ist es das erste was ich mir runterladen werde!!!

Ich wäre Euch so wahnsinnig dankbar wenn ihr mir sagen würdet was ich noch tun kann (bitte in einer mir verständlichen Sprache )

Hallo,

erstelle mit HiJackThis ein Log-File von deinem verseuchten System und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Hallo Cidre,

ich habe keine Ahnung was ich aus dem Highjack-Auszug hätte löschen müssen. Aber wir gehen mal davon aus, dass die Menschen hier alle gut sind . Ich finde es ja echt klasse, dass Du in diesem Gewirr aus Zahlen und Zeichen irgendetwas erkennen kannst!! Wäre klasse wenn Du mir helfen könntest und mir sagst was ich als nächstes tun muss....


Logfile of HijackThis v1.98.2
Scan saved at 14:25:01, on 07.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER SCAN SERVER\BDSS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER COMMUNICATOR\XCOMMSVR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\HPZTSB03.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\FREEPDF\FREEPDFA.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\BDMCON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\BDNAGENT.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fh-oow.de/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\PROGRA~1\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [BitDefender Scan Server] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\\bdss.exe
O4 - HKLM\..\RunServices: [BitDefender Communicator] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\\xcommsvr.exe
O4 - HKLM\..\RunServices: [BitDefender Live! Init] C:\Programme\Softwin\BitDefender Free Edition\\bdinit.exe
O4 - HKCU\..\Run: [WeatherCast] C:\PROGRA~1\WEATHE~1\Weather.exe /q
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Da haben wir ja auch schon dein Problem:

O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe

"Isch 'abe gar kein Norton Antivir installiert"

Es handelt sich hier um eine Netsky-Variante:

http://www.pandasoftware.com/virus_i...&idvirus=45740

E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Boote in den abgesicherten Modus (beim Starten von Windows F8 drücken, bis ein Menü kommt, bei dem du den abgesicherten Modus auswählen kannst, kann sein, dass du das einige Male versuchen musst).


Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe




Lösche die Datei, lass E-Scan wie oben beschrieben durchlaufen, boote normal, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge (suche im Logfile nach "infected" und kopiere die Einträge dann hierher).

So, habe nun mit Hilfe von zwei Virenprogrammen hoffentlich alle Viren entfernt: Netsky tauchte in mehrern Dateien auf und den W32-Sober habe ich schon vorher beseitigt.

Gleich wollte ich nochmal einen HijackThis durchlaufen lassen und poste diesen wieder hier.

Vorab aber noch folgende Frage:
An sich scheint ja alles sauber zu sein jetzt bei mir. Das Einzige was nicht funktioniert, ist wirklich die DFÜ-Verbindung auf Grund der fehlenden Rundll32.exe. Auch wenn ich sie mir runterlade, bekomme ich sie nicht geöffnet.
Habt ihr ne Idee woran das liegen könnte, oder wo ich es noch probieren könnte?

Melde mich dann gleich nochmal mit dem Log zurück.


Danke, danke, danke

Logfile of HijackThis v1.98.2
Scan saved at 00:54:51, on 08.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER SCAN SERVER\BDSS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER COMMUNICATOR\XCOMMSVR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\HPZTSB03.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\FREEPDF\FREEPDFA.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\BDMCON.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\BDNAGENT.EXE
C:\PROGRAMME\ANTI VIRUS PERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DESKTOP\ANTI VIREN PROGRAMME\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fh-oow.de/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\PROGRA~1\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\ANTIVI~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [BitDefender Scan Server] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\\bdss.exe
O4 - HKLM\..\RunServices: [BitDefender Communicator] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\\xcommsvr.exe
O4 - HKLM\..\RunServices: [BitDefender Live! Init] C:\Programme\Softwin\BitDefender Free Edition\\bdinit.exe
O4 - HKCU\..\Run: [WeatherCast] C:\PROGRA~1\WEATHE~1\Weather.exe /q
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080



ist eurer meinung nun alles in ordnung? wäre lieb wenn mal einer rübergucken könnte und mir auch sagen könnte wie ich an rundll32.exe komme. ohne das geht nix...


Vielen Dank schon mal

@Giana
system ist noch nicht sauber
bitte kein 2 Antivirenprogramm gleichzeititg laufen lassen, die behindern einander
wechsle in den abgesicherten modus und fixe
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
lösche dann manuell
C:\WINDOWS\web\related.htm
C:\WINDOWS\FVProtect.exe
neu starten, neues HJT logfile posten

rundll32.exe
ich würde auf der XP cd suchen, und rüber kopieren
chaosman

wie komme ich denn in den abgesicherten Modus. Und wie finde ich dann im abgesicherten Modus meine infizierten Dateien ?

Zitat:

Zitat von Giana

wie komme ich denn in den abgesicherten Modus. Und wie finde ich dann im abgesicherten Modus meine infizierten Dateien ?

entweder das mit F8 oder einfach die windows cd reinschmeissen und dann neustarten dann kommt dort irgendwann ne auswahlmögichkeit wo man unteranderem auch Abgesicherter modus wählen kann.

Giana warum schreibst du in 2 Foren den gleichen Sachverhalt? Bei PcWelt haben sie dir doch auch geholfen. Ich hab im Postfach auch so nen Ungültige Zeichen Dreck. Soll ich den löschen oder Virenscanner testen?