Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Merkwürdige DLLs die mit Rundll32.exe automatisch bei Systemstart geladen werden (https://www.trojaner-board.de/55795-merkwuerdige-dlls-rundll32-exe-automatisch-systemstart-geladen.html)

juffo-wup 12.07.2008 00:55

Merkwürdige DLLs die mit Rundll32.exe automatisch bei Systemstart geladen werden
 
Hallo,

Ich habe mir wohl irgendein schädliches Programm eingefangen über das Internet.

Schilderung des Problems:
Ich browste im Internet (Mozilla Firefox, neuste Version) und plötzlich meldete sich Spybot, ob der Eintrag
>>HKLM\..\Run: [BMfbdf8c0f] Rundll32.exe "C:\WINDOWS\system32\ebfhlnpr.dll",s<<
in die Registry augenommen werden soll. Ich ließ das zu, da ich annahm, dass das mit Update- oder sonstigen Funktionen eines gewollten Programms zu tun hätte. Kurz darauf kam die Frage ob die Einträge für BHOs (Zitat aus dem Hijack This Log)
>>O2 - BHO: (no name) - {77244082-D27E-416C-9661-FAD640973FCE} - C:\WINDOWS\system32\xxyyvvuv.dll<<
und
>>O2 - BHO: (no name) - {A804A92D-3628-4DAF-947F-B0AF63E3A24E} - C:\WINDOWS\system32\nnnkIbaa.dll<<
in die Registry übernommen werden sollten, wo ich stutzig wurde und das ablehnte. Die Anfrage kam aber immer wieder. Suche in Google bezüglich einer dieser Dateinamen oder der Werte in den geschweiften Klammern brachte nichts. Ich konnte dann meinen Browser nicht mehr richtig benutzen, wenn ich bei Google etwas eingab und auf Enter drückte hat das Laden nicht aufgehört. Außerdem lief das System insgesamt langsamer und als ich die Netzwerkverbindung trennen wollte über die Symbole in der Statusleiste oder auch über die Systemsteuerung, konnte ich zwar "deaktivieren" auswählen, aber es hatte keinen erkennbaren Effekt. Vielleicht wurde das auch nur nicht angezeigt, denn im abgesicherten Modus wurde die entsprechende Verbindung dann als deaktiviert angezeigt. Den habe ich nämlich als nächstes gestartet, um die .DLL Dateien zu löschen (im Windows/Sytem32 Ordner). Die Datei >>ebfhlnpr.dll<< konnte ich so löschen, nicht aber die beiden für die BHOs, weil sie laut Windows gerade benutzt wurden. Was mich wunderte, es war der abgesicherte Modus auch ohne Laden von Netzwerktreibern.
Als nächstes habe ich Hijack This benutzt, um die entsprechenden Registryeinträge und Prozesse zu fixen. Die beiden BHO Einträge ließen sich so fixen, aber irgendein Prozess (?) wollte sie immer gleich wieder eintragen. Der letzte Eintrag ließ sich anscheinend erst garnicht fixen, er war nach dem Fixen und wieder scannen immer sofort wieder da. Mittlerweile sind auch noch weitere Einträge mit "rundll ..." vorhanden, die andere DLLs bei Systemstart laden sollen, die genauso scheinbar zufällige Namen haben (siehe Hijack This Log). Nach dem Löschen der ersten Datei im abgesicherten Modus habe ich übrigens keine bemerkbaren Probleme mehr gehabt den Computer zu benutzen, aber vielleicht kamen die Probleme am Anfang ja daher, dass weitere Daten aus dem Internet geladen und installiert wurden, unter fast voller Benutzung der Systemressourcen. Jetzt merke ich gerade, dass es schon wieder so ähnlich ist: Alles ist scheinbar ok, nur ich kann nicht die Google- und Yahooseite erreichen (andere problemlos!). Sehr merkwürdig.
Noch etwas: Die erstgenannte >>ebfhlnpr.dll<< ist nicht wiedergekommen (in die Registry), dafür habe ich jetzt diese beiden anderen.
Ich habe auch mal Sysinternals Process Explorer benutzt und damit keine verdächtigen Prozesse entdeckt, aber Folgendes gesehen: Die Datei >>xxyyvvuv.dll<< steht in der Liste unter >>winlogon.exe<<, >>explorer.exe<< und >>firefox.exe<<. Laut der Hilfe des Programms bedeutet das, dass die DLL in den "address space of the selected process" gemappt ist. Ich weiß nicht genau, was das konkret heißt, aber vielleicht könnt ihr euch ja einen Reim darauf machen. Gleiches gilt für >>nnnkIbaa.dll<< und >>lsass.exe<< und >>explorer.exe<< sowie >>uxdvocmd.dll<< und jede Menge scheinbar beliebige Prozesse und >>aepvofjm.dll<< und >>daemon.exe<<, >>nvraidservice.exe<< und >>explorer.exe<<.

Mich interessiert : Wie kann ein Programm sich über das Internet laden, im Hintergrund aktiv sein ohne mit dem Process Explorer (dem Taskmanager erst recht nicht) sichtbar zu sein und lauter DLLs installieren? Bevor die DLLs installiert wurden, muss ja irgendein Programm die Einträge in der Registry vorgenommen und die DLLs in den Windows-Systemordner kopiert haben. Gibt es da bei Windows irgendwelche Remote-Funktionen, die das ermöglichen oder wie kann das sein?
Und wie bekomme ich das wieder weg (ich bezweifle irgendwie, dass nur Löschen aller Dateien etwas bringen würde, bin aber offen für alles).

Relevante Daten:
Ich benutze Windows XP mit SP2. Meine Internetverbindung läuft über VPN mit einem lokalen Netzwerk. Ich habe keine ständig laufenden Sicherheitsprogramme außer Spybot und der Windows-Firewall und damit auch noch nie irgendwelche Probleme mit schädlichen Programmen gehabt, seit ich vor ca. 9 Monaten mein System installiert habe. Falls noch weitere Daten relevant sind, bitte fragen.

Hijack This Log, interessante Stellen mit "!" gekennzeichnet:

Logfile of Trend Micro Hijack_This v2.0.2 <- Namen geändert um Link zu vermeiden
Scan saved at 00:59:57, on 12.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
F:\3dsmax9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe !
C:\WINDOWS\system32\rundll32.exe !
C:\Programme\Notepad2\Notepad2.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: {5a0fbff2-63cd-1179-81b4-6b3328da3e33} - {33e3ad82-33b6-4b18-9711-dc362ffbf0a5} - C:\WINDOWS\system32\iumnqv.dll !
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {68195922-A60B-431B-BD2C-0C24B4A9CE3E} - C:\WINDOWS\system32\capesnp.dll !
O2 - BHO: (no name) - {7145D6D1-8176-4713-ADA4-1C5731A3DA27} - (no file) !
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {77244082-D27E-416C-9661-FAD640973FCE} - C:\WINDOWS\system32\xxyyvvuv.dll !
O2 - BHO: (no name) - {A804A92D-3628-4DAF-947F-B0AF63E3A24E} - C:\WINDOWS\system32\nnnkIbaa.dll !
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [BMfbdf8c0f] Rundll32.exe "C:\WINDOWS\system32\uxdvocmd.dll",s !
O4 - HKLM\..\Run: [f8ecbf93] rundll32.exe "C:\WINDOWS\system32\aepvofjm.dll",b !
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: StudNet (VPN).lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ADD6429-7301-4754-B847-F2DAD56B22D8}: NameServer = 192.168.1.10 192.168.1.130
O20 - Winlogon Notify: xxyyvvuv - C:\WINDOWS\SYSTEM32\xxyyvvuv.dll !
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - F:\3dsmax9\mentalray\satellite\raysat_3dsmax9_32server.exe
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--
End of file - 4886 bytes





Ich bitte um Hilfe!


EDIT: Nun habe ich folgenden weiteren bemerkbaren Fehler: Wenn ich den Windows Explorer öffnen will, kommt die Fehlermeldung (Überschrift: >>explorer.exe - Fehler in Anwendung<<) : >>Die Ausnahme "Unbekannter Softwarefehler" (0x0eedfade) ist in der Anwendung an der Stelle [Stelle] aufgetreten.<<
Gefolgt von
>>Application Error<< : >>Exception EOLeException in module capesnp.dll at [..]. Für diesen Vorgang ist nicht genügend Speicher verfügbar<<
Der Explorer startet nicht und ich kann die Windowsleiste nicht benutzen. Man beachte, dass >>capesnp.dll<< eine der oben genannten Dateien ist, die mit dem schädlichen Programm gekommen sind.

juffo-wup 12.07.2008 06:20

Die Sache hat sich erledigt. Es war ein "Vundo" Trojaner, der sich mit "Malwarebytes' Anti-Malware" problemlos erkennen und löschen ließ.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131