|
Probleme mit rundll32 Hallo, ich bekomme immer wieder Warnmeldungen, die sich auf rundll32.exe beziehen. Außerdem meldet der Security Task Manager, dass ich "windlra.exe" auf meinem Rechner habe. Leider kann der Manager das Ding aber weder entfernen, noch in Quarantäne nehmen. Hier mein Logfile von Hijackthis: Logfile of HijackThis v1.98.2 Scan saved at 12:46:11, on 28.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Virtual CD v4\System\vcdsecs.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Pinnacle\Shared Files\remoterm.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\qttask.exe C:\Programme\HP\HP Software Update\HPWuSchd.exe C:\Programme\Virtual CD v4\System\VCDPlay.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\winldra.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Virtual CD v4\System\VCDTray.exe C:\Dokumente und Einstellungen\Detlef\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis1982.zip\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nytimes.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PinnacleDriverCheck] c:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [PinnacleRemote] c:\Programme\Pinnacle\Shared Files\remoterm.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [VCDPlayer] C:\Programme\Virtual CD v4\System\VCDPlay.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [InstantTray] c:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - HKCU\..\Run: [IW_Drop_Icon] c:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09265c47...dxIE601_de.cab O21 - SSODL: vspKJjxUpgR - {545CA9F8-FEF6-0352-3CA7-5D7073C457CE} - C:\WINDOWS\System32\lfo.dll Vielen Dank im Voraus Schnuckenack |
Hallo, überprüfe zunächst diese Datei bei http://virusscan.jotti.org/de und poste das Ergebnis: C:\WINDOWS\System32\winldra.exe Vor der Überprüfung den Prozess im Task Manager beenden. |
Also an dieser Logfile ist glaube ich alles in Ordnung! Aber du besitzt eine alte Hijackthis Version Eine neue Version findest du hier |
Zitat:
|
Ja schon, aber weiss immer noch nicht welche Malware sich dahinter verbirgt.;) Auch Google zeigt mehrere Malware Arten auf, die unter dieser Datei fungieren. |
Zitat:
|
Hallo Cidre, bei euch erhält man aber schnelle Antworten! Das Scannen mit http://virusscan.jotti.org/de klappte leider nicht. Ich bekam folgende Antwort: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file. Das heißt ja wohl nichts Gutes, oder? |
SORRY! Ich sehe jetzt erst, dass ich den GESAMTEN Pfad hätte eingeben müssen. Jetzt muss ich aber erst mal weg. Melde mich Morgen wieder. Gruß Schnucknack |
Du kannst es entweder manuell eingeben oder eben mittels 'Durchsuchen' zu diesem Pfad navigieren. Führe besser dies aus: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
Hallo Cidre, hier das Ergebnis des Scans von mwav im abgesicherten Modus: File C:\WINDOWS\System32\lfo.dll infected by "Trojan-Downloader.Win32.Agent.ce" Virus. Action Taken: No Action Taken. File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. File C:\WINDOWS\winsms.dll infected by "Backdoor.Win32.Dumador.at" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Detlef\LOKALE~1\Temp\rsysinit.exe infected by "Trojan.Win32.ExitWin.y" Virus. Action Taken: No Action Taken |
@Schnuckenack du hast ja leider den im system deswegen kann ich dir nur raten dein system neuaufzusetzen(formatC) hier eine anleitung http://www.trojaner-board.de/showpos...28&postcount=2 sry chaosman |
Wieso reicht es denn nicht, den Virus einfach zu löschen? Wird durch das Neuaufsetzen der Virus gelöscht? Ich habe den Eindruck das "Neuaufsetzen" ist höllisch kompliziert und für einen Computer-Analphabeten wie mich kaum zu schaffen. Dadurch würden doch alle Daten verlorengehen, oder? Kann man das "Neuaufsetzen", wenn es sich gar nicht vermeiden lässt, bei einer PC-Werkstatt machen lassen? Wenn ja, wo finde ich eine? Der Verzweiflung nah. Schnuckenack |
Hallo, ein Neuinstallation ist nicht schwer: http://8ung.at/chemikers-home/SETUP.html (auch hier zu finden: http://www.trojaner-board.de/showpo...228&postcount=2) Datensicherung: http://www.trojaner-board.de/showpos...8&postcount=11 dartus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board