![]() |
|
Log-Analyse und Auswertung: rundlll.exe in C:\Windows\System32\filesWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
![]() | ![]() rundlll.exe in C:\Windows\System32\files Guten Morgen zusammen, vor 2-3 Tagen wurde mein Rechner extrem warm.NHC zeigt mir Temperaturen von jenseits 80° an (Notebook) und eine totale Auslastung. Im Taskmanager hatte ich immer eine iexplorer.exe welche sich nicht löschen lassen konnte. Daraufhin habe ich den Rechner vom Netz getrennt und mit Bitdefener überprüfen lassen. Der fand im Ornder C:\Windows\System32\files\rundlll.exe einen Backdoor. Da mir das einfache Löschen nicht sicher genug war,habe ich formatiert,nach 2-3 Stunden gab es plötzlich wieder diese Datei. Hochgeladen und getestet wurde sie als ein Backdoor für Steam-ID's gesehen und als Genpack.backdoor.bifrose.adr.... Daraufhin habe ich nochmals Formatiert, allerdings dann mit einem Low-Level-Format. Am gestrigen Tage habe ich die Installation von Word etc. vervollständigt und mal zur Abwechslung in den System32 Ordner geschaut. Wieder befand sich dort diese besagte rundlll.exe mit 3 L's,habe sie daraufhin mit TuneUp 2009 geschreddert. Grade habe ich Bitdefender nochmals durchlaufen lassen, keine Viren gefunden,hier mein HijackThis log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:33:15, on 16.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1005MC.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Toshiba\Toshiba Applet\thotkey.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Synaptics\SynTP\Toshiba.exe C:\Programme\Notebook Hardware Control\nhc.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe D:\Miranda\miranda32.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Mozilla Firefox\firefox.exe E:\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4796 bytes Gruß Martin Edit: diese blöde PDFtoolbar habe ich grad runterschmissen, ka wobei die installiert war. Nachdem ich die rundlll.exe gelöscht habe habe ich neugestartet und im System32 ist sie nicht mehr zu finden. Geändert von SpecialM (16.03.2009 um 09:13 Uhr) |
Themen zu rundlll.exe in C:\Windows\System32\files |
adobe, bho, defender, excel, file, firefox, helper, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, iexplorer.exe, installation, internet, internet explorer, keine viren, log, löschen, monitor, mozilla, nicht sicher, nvidia, pdfforge toolbar, programme, rundlll.exe, software, system, taskmanager, tuneup.defrag, viren, windows, windows xp |