Hi,

aus system32:

Datei dot3ui.dll empfangen 2008.08.12 18:16:16 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/35 (0%)

weitere Informationen
File size: 651264 bytes
MD5...: 53a45cff9a3c1ff74e0e84e3c93cf3b5

vergichen mit Datei aus temp:
Datei dot3ui.dll empfangen 2008.08.12 16:05:49 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)

weitere Informationen
File size: 937984 bytes
MD5...: 7ff791620d9bdc8579dabea3a4143cde

keine Übereinstimmung!

und noch:

aus system32:
Datei racpldlg.dll empfangen 2008.08.12 18:20:14 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)

weitere Informationen
File size: 43520 bytes
MD5...: 65b8d1c9254df86d322733e7d294f2cf

verglichen mit Datei aus temp:
Datei racpldlg.dll empfangen 2008.08.12 15:34:23 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/35 (0%)

weitere Informationen
File size: 65536 bytes
MD5...: b750eed6646113c06fa35a73f8c44ce0

keine Übereinstimmung!

Also was mir noch aufgefallen ist, dass diese Dateien mit dem Prozess rundll32.exe zusammenhängen! Denn wenn ich diesen Prozess töte, so kann man die Datei im temp Ordner löschen! Der Prozess ist bis jetzt noch nicht wieder aufgetaucht! Soll ich einmal neustarten und schauen, ob die Dateien wieder erscheinen???

Na dann, immer weiter mit dem erforschen! Denke nicht, dass es ein Windows Phänomen ist oder dergleichen!

Lg
ceritus

Hi,

dann bräuchte ich von dir bitte folgende Logs:
Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden
• nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

• Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

RootkitRevealer scannen lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

und

ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Lade dir bitte auch Prozess Monitor.
Gib dann unter Filter folgende Filter ein:

• Event Class is Registry then exclude
• Event Class is Process then exclude

Lasse Process Explorer laufen, bis du siehst, dass die entsprechenden Dateien im Log aufgetaucht sind und klicke dann auf File->Save->wähle bei Format CSV an und gib unter Path den Speicherort ein.

Poste das Log anschließend hier, oder lade es, sollte es zu groß sein, bei file-upload hoch.

lg myritlle

hi,

also ich werde deine Anweisungen befolgen, jedoch werde ich mich erst wieder morgen melden.

Vielen, vielen Dank für deine hilfreiche Unterstützung!!!
:aplaus:

bis morgen

lg
ceritus

Ich muss heute abend auch noch Party machen. Kommt mir also ganz recht, dass du auch keine Zeit hast

lg myrtille

hi,

also hier das Log von gmer:

h**p://w*w.file-upload.net/download-1040871/gmer.txt.html

und das Log von rootkitrevealer:

Code: Alles auswählenAufklappen

ATTFilter

HKLM\SECURITY\Policy\Secrets\SAC*	07.08.2004 12:29	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	07.08.2004 12:29	0 bytes	Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg	11.06.2008 00:41	0 bytes	Access is denied.
D:	01.01.1601 02:00	0 bytes	Error mounting volume
E:	01.01.1601 02:00	0 bytes	Error mounting volume
         

Zu D: und E:...
D: ist nicht formatiert und E: ist eine Recovery Partition.

und das listing:

h**p://w*w.file-upload.net/download-1040851/list.txt.html

Zum Prozess Monitor habe ich noch eine Frage:

Soll ich den Prozess rundll32.exe nicht killen? Damit ich die Dateien vom temp Verzeichnis in den Prozess Monitor bekomme? Und wie lange kann das dauern bis die Dateien vom temp Verzeichnis dort erscheinen? Nicht das ich eine Ewigkeit warte und es geschieht nichts...

Lg
ceritus

hallo myrtille,

ich muss dir leider sagen, dass ich aufgebe, ich werde meinen pc neu aufsetzen.

Das geht mir eindeutig zu lange! Und zudem bin ich dann auf der sicheren Seite!

Trotzdem vielen, vielen Dank für deine Bemühungen und dein Engagement!


Lg
ceritus

Hi,

ich bin derzeit leider auch sehr ausgelastet, weswegen sich hier die antworten verzögern.

Alles was ich dir sagen kann, ist, dass es auf den ersten Blick (noch) keinen Anlass gibt auf Malware zu schließen.

Scheinbar ist allerdings bei deiner SP3 installation etwas schiefgelaufen. Man findet vielfach die angabe "unknown module" in den Logs, die sich immer auf Dateien beziehen, die am 14.04 (ausm Kopf) aktualisiert wurden.
Wenn du also neuaufsetzt, würde ich dir empfehlen erst das SP3 zu installieren und dann die Software zu installieren, da ich nach wie vor eher ein derartiges Problem als Ursprung vermute.

lg myrtille

Hi,

also ich werde das so machen!

Vielen Dank nochmals!

Lg
ceritus