Hallo,

ich bekomme immer wieder Warnmeldungen, die sich auf rundll32.exe beziehen.
Außerdem meldet der Security Task Manager, dass ich "windlra.exe" auf meinem Rechner habe. Leider kann der Manager das Ding aber weder entfernen, noch in Quarantäne nehmen.

Hier mein Logfile von Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 12:46:11, on 28.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Virtual CD v4\System\vcdsecs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Pinnacle\Shared Files\remoterm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\Virtual CD v4\System\VCDPlay.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\winldra.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Virtual CD v4\System\VCDTray.exe
C:\Dokumente und Einstellungen\Detlef\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis1982.zip\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nytimes.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PinnacleDriverCheck] c:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PinnacleRemote] c:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [VCDPlayer] C:\Programme\Virtual CD v4\System\VCDPlay.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] c:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] c:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09265c47...dxIE601_de.cab
O21 - SSODL: vspKJjxUpgR - {545CA9F8-FEF6-0352-3CA7-5D7073C457CE} - C:\WINDOWS\System32\lfo.dll

Vielen Dank im Voraus
Schnuckenack

Hallo,

überprüfe zunächst diese Datei bei http://virusscan.jotti.org/de und poste das Ergebnis:
C:\WINDOWS\System32\winldra.exe

Vor der Überprüfung den Prozess im Task Manager beenden.

Also an dieser Logfile ist glaube ich alles in Ordnung!
Aber du besitzt eine alte HijackThis Version

Eine neue Version findest du hier

Zitat:

Zitat von Cidre

überprüfe zunächst diese Datei bei http://virusscan.jotti.org/de und poste das Ergebnis:
C:\WINDOWS\System32\winldra.exe

Vor der Überprüfung den Prozess im Task Manager beenden.

Hatten wir schon mal das: http://www.trojaner-board.de/showthread.php?t=8187 .

Ja schon, aber weiss immer noch nicht welche Malware sich dahinter verbirgt.

Auch Google zeigt mehrere Malware Arten auf, die unter dieser Datei fungieren.

Zitat:

Zitat von Cidre

Ja schon, aber weiss immer noch nicht welche Malware sich dahinter verbirgt.

Ich gehe immer von the worst case aus.

Hallo Cidre,

bei euch erhält man aber schnelle Antworten!

Das Scannen mit http://virusscan.jotti.org/de klappte leider nicht. Ich bekam folgende Antwort:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.

Das heißt ja wohl nichts Gutes, oder?

SORRY!

Ich sehe jetzt erst, dass ich den GESAMTEN Pfad hätte eingeben müssen. Jetzt muss ich aber erst mal weg. Melde mich Morgen wieder.

Gruß Schnucknack

Du kannst es entweder manuell eingeben oder eben mittels 'Durchsuchen' zu diesem Pfad navigieren.

Führe besser dies aus:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Hallo Cidre,

hier das Ergebnis des Scans von MWAV im abgesicherten Modus:

File C:\WINDOWS\System32\lfo.dll infected by "Trojan-Downloader.Win32.Agent.ce" Virus. Action Taken: No Action Taken.
File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\winsms.dll infected by "Backdoor.Win32.Dumador.at" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Detlef\LOKALE~1\Temp\rsysinit.exe infected by "Trojan.Win32.ExitWin.y" Virus. Action Taken: No Action Taken

@Schnuckenack
du hast ja leider den im system
deswegen kann ich dir nur raten dein system neuaufzusetzen(formatC)
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2

sry
chaosman

Wieso reicht es denn nicht, den Virus einfach zu löschen?
Wird durch das Neuaufsetzen der Virus gelöscht?
Ich habe den Eindruck das "Neuaufsetzen" ist höllisch kompliziert und für einen Computer-Analphabeten wie mich kaum zu schaffen. Dadurch würden doch alle Daten verlorengehen, oder?
Kann man das "Neuaufsetzen", wenn es sich gar nicht vermeiden lässt, bei einer PC-Werkstatt machen lassen? Wenn ja, wo finde ich eine?

Der Verzweiflung nah.
Schnuckenack

Hallo,

ein Neuinstallation ist nicht schwer:

http://8ung.at/chemikers-home/SETUP.html (auch hier zu finden: http://www.trojaner-board.de/showpo...228&postcount=2)

Datensicherung:
http://www.trojaner-board.de/showpos...8&postcount=11

dartus