|
Log-Analyse und Auswertung: Merkwürdige DLLs die mit Rundll32.exe automatisch bei Systemstart geladen werdenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.07.2008, 00:55 | #1 |
| Merkwürdige DLLs die mit Rundll32.exe automatisch bei Systemstart geladen werden Hallo, Ich habe mir wohl irgendein schädliches Programm eingefangen über das Internet. Schilderung des Problems: Ich browste im Internet (Mozilla Firefox, neuste Version) und plötzlich meldete sich Spybot, ob der Eintrag >>HKLM\..\Run: [BMfbdf8c0f] Rundll32.exe "C:\WINDOWS\system32\ebfhlnpr.dll",s<< in die Registry augenommen werden soll. Ich ließ das zu, da ich annahm, dass das mit Update- oder sonstigen Funktionen eines gewollten Programms zu tun hätte. Kurz darauf kam die Frage ob die Einträge für BHOs (Zitat aus dem Hijack This Log) >>O2 - BHO: (no name) - {77244082-D27E-416C-9661-FAD640973FCE} - C:\WINDOWS\system32\xxyyvvuv.dll<< und >>O2 - BHO: (no name) - {A804A92D-3628-4DAF-947F-B0AF63E3A24E} - C:\WINDOWS\system32\nnnkIbaa.dll<< in die Registry übernommen werden sollten, wo ich stutzig wurde und das ablehnte. Die Anfrage kam aber immer wieder. Suche in Google bezüglich einer dieser Dateinamen oder der Werte in den geschweiften Klammern brachte nichts. Ich konnte dann meinen Browser nicht mehr richtig benutzen, wenn ich bei Google etwas eingab und auf Enter drückte hat das Laden nicht aufgehört. Außerdem lief das System insgesamt langsamer und als ich die Netzwerkverbindung trennen wollte über die Symbole in der Statusleiste oder auch über die Systemsteuerung, konnte ich zwar "deaktivieren" auswählen, aber es hatte keinen erkennbaren Effekt. Vielleicht wurde das auch nur nicht angezeigt, denn im abgesicherten Modus wurde die entsprechende Verbindung dann als deaktiviert angezeigt. Den habe ich nämlich als nächstes gestartet, um die .DLL Dateien zu löschen (im Windows/Sytem32 Ordner). Die Datei >>ebfhlnpr.dll<< konnte ich so löschen, nicht aber die beiden für die BHOs, weil sie laut Windows gerade benutzt wurden. Was mich wunderte, es war der abgesicherte Modus auch ohne Laden von Netzwerktreibern. Als nächstes habe ich Hijack This benutzt, um die entsprechenden Registryeinträge und Prozesse zu fixen. Die beiden BHO Einträge ließen sich so fixen, aber irgendein Prozess (?) wollte sie immer gleich wieder eintragen. Der letzte Eintrag ließ sich anscheinend erst garnicht fixen, er war nach dem Fixen und wieder scannen immer sofort wieder da. Mittlerweile sind auch noch weitere Einträge mit "rundll ..." vorhanden, die andere DLLs bei Systemstart laden sollen, die genauso scheinbar zufällige Namen haben (siehe Hijack This Log). Nach dem Löschen der ersten Datei im abgesicherten Modus habe ich übrigens keine bemerkbaren Probleme mehr gehabt den Computer zu benutzen, aber vielleicht kamen die Probleme am Anfang ja daher, dass weitere Daten aus dem Internet geladen und installiert wurden, unter fast voller Benutzung der Systemressourcen. Jetzt merke ich gerade, dass es schon wieder so ähnlich ist: Alles ist scheinbar ok, nur ich kann nicht die Google- und Yahooseite erreichen (andere problemlos!). Sehr merkwürdig. Noch etwas: Die erstgenannte >>ebfhlnpr.dll<< ist nicht wiedergekommen (in die Registry), dafür habe ich jetzt diese beiden anderen. Ich habe auch mal Sysinternals Process Explorer benutzt und damit keine verdächtigen Prozesse entdeckt, aber Folgendes gesehen: Die Datei >>xxyyvvuv.dll<< steht in der Liste unter >>winlogon.exe<<, >>explorer.exe<< und >>firefox.exe<<. Laut der Hilfe des Programms bedeutet das, dass die DLL in den "address space of the selected process" gemappt ist. Ich weiß nicht genau, was das konkret heißt, aber vielleicht könnt ihr euch ja einen Reim darauf machen. Gleiches gilt für >>nnnkIbaa.dll<< und >>lsass.exe<< und >>explorer.exe<< sowie >>uxdvocmd.dll<< und jede Menge scheinbar beliebige Prozesse und >>aepvofjm.dll<< und >>daemon.exe<<, >>nvraidservice.exe<< und >>explorer.exe<<. Mich interessiert : Wie kann ein Programm sich über das Internet laden, im Hintergrund aktiv sein ohne mit dem Process Explorer (dem Taskmanager erst recht nicht) sichtbar zu sein und lauter DLLs installieren? Bevor die DLLs installiert wurden, muss ja irgendein Programm die Einträge in der Registry vorgenommen und die DLLs in den Windows-Systemordner kopiert haben. Gibt es da bei Windows irgendwelche Remote-Funktionen, die das ermöglichen oder wie kann das sein? Und wie bekomme ich das wieder weg (ich bezweifle irgendwie, dass nur Löschen aller Dateien etwas bringen würde, bin aber offen für alles). Relevante Daten: Ich benutze Windows XP mit SP2. Meine Internetverbindung läuft über VPN mit einem lokalen Netzwerk. Ich habe keine ständig laufenden Sicherheitsprogramme außer Spybot und der Windows-Firewall und damit auch noch nie irgendwelche Probleme mit schädlichen Programmen gehabt, seit ich vor ca. 9 Monaten mein System installiert habe. Falls noch weitere Daten relevant sind, bitte fragen. Hijack This Log, interessante Stellen mit "!" gekennzeichnet: Logfile of Trend Micro Hijack_This v2.0.2 <- Namen geändert um Link zu vermeiden Scan saved at 00:59:57, on 12.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\FolderSize\FolderSizeSvc.exe F:\3dsmax9\mentalray\satellite\raysat_3dsmax9_32server.exe C:\WINDOWS\system32\nvraidservice.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Winamp\Winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\wbem\unsecapp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\rundll32.exe ! C:\WINDOWS\system32\rundll32.exe ! C:\Programme\Notepad2\Notepad2.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: {5a0fbff2-63cd-1179-81b4-6b3328da3e33} - {33e3ad82-33b6-4b18-9711-dc362ffbf0a5} - C:\WINDOWS\system32\iumnqv.dll ! O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {68195922-A60B-431B-BD2C-0C24B4A9CE3E} - C:\WINDOWS\system32\capesnp.dll ! O2 - BHO: (no name) - {7145D6D1-8176-4713-ADA4-1C5731A3DA27} - (no file) ! O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: (no name) - {77244082-D27E-416C-9661-FAD640973FCE} - C:\WINDOWS\system32\xxyyvvuv.dll ! O2 - BHO: (no name) - {A804A92D-3628-4DAF-947F-B0AF63E3A24E} - C:\WINDOWS\system32\nnnkIbaa.dll ! O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [BMfbdf8c0f] Rundll32.exe "C:\WINDOWS\system32\uxdvocmd.dll",s ! O4 - HKLM\..\Run: [f8ecbf93] rundll32.exe "C:\WINDOWS\system32\aepvofjm.dll",b ! O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: StudNet (VPN).lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{6ADD6429-7301-4754-B847-F2DAD56B22D8}: NameServer = 192.168.1.10 192.168.1.130 O20 - Winlogon Notify: xxyyvvuv - C:\WINDOWS\SYSTEM32\xxyyvvuv.dll ! O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - F:\3dsmax9\mentalray\satellite\raysat_3dsmax9_32server.exe O24 - Desktop Component AutorunsDisabled: (no name) - (no file) -- End of file - 4886 bytes Ich bitte um Hilfe! EDIT: Nun habe ich folgenden weiteren bemerkbaren Fehler: Wenn ich den Windows Explorer öffnen will, kommt die Fehlermeldung (Überschrift: >>explorer.exe - Fehler in Anwendung<<) : >>Die Ausnahme "Unbekannter Softwarefehler" (0x0eedfade) ist in der Anwendung an der Stelle [Stelle] aufgetreten.<< Gefolgt von >>Application Error<< : >>Exception EOLeException in module capesnp.dll at [..]. Für diesen Vorgang ist nicht genügend Speicher verfügbar<< Der Explorer startet nicht und ich kann die Windowsleiste nicht benutzen. Man beachte, dass >>capesnp.dll<< eine der oben genannten Dateien ist, die mit dem schädlichen Programm gekommen sind. Geändert von juffo-wup (12.07.2008 um 01:11 Uhr) |
12.07.2008, 06:20 | #2 |
| Merkwürdige DLLs die mit Rundll32.exe automatisch bei Systemstart geladen werden Die Sache hat sich erledigt. Es war ein "Vundo" Trojaner, der sich mit "Malwarebytes' Anti-Malware" problemlos erkennen und löschen ließ.
__________________ |
Themen zu Merkwürdige DLLs die mit Rundll32.exe automatisch bei Systemstart geladen werden |
.dll dateien, 32-bit, abgesicherten modus, aller dateien, anfang, application, bitte um hilfe, browser, computer, desktop, error, fehler, fehlermeldung, firefox, firefox.exe, frage, google, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet explorer, logon.exe, mozilla, mozilla firefox, nicht angezeigt, plug-in, programm, prozesse, registry, rundll, scan, software, system, taskmanager, unbekannter softwarefehler, wieder weg, windows, windows xp, windows-firewall |