|
rundlll.exe in C:\Windows\System32\files Guten Morgen zusammen, vor 2-3 Tagen wurde mein Rechner extrem warm.NHC zeigt mir Temperaturen von jenseits 80° an (Notebook) und eine totale Auslastung. Im Taskmanager hatte ich immer eine iexplorer.exe welche sich nicht löschen lassen konnte. Daraufhin habe ich den Rechner vom Netz getrennt und mit Bitdefener überprüfen lassen. Der fand im Ornder C:\Windows\System32\files\rundlll.exe einen Backdoor. Da mir das einfache Löschen nicht sicher genug war,habe ich formatiert,nach 2-3 Stunden gab es plötzlich wieder diese Datei. Hochgeladen und getestet wurde sie als ein Backdoor für Steam-ID's gesehen und als Genpack.backdoor.bifrose.adr.... Daraufhin habe ich nochmals Formatiert, allerdings dann mit einem Low-Level-Format. Am gestrigen Tage habe ich die Installation von Word etc. vervollständigt und mal zur Abwechslung in den System32 Ordner geschaut. Wieder befand sich dort diese besagte rundlll.exe mit 3 L's,habe sie daraufhin mit TuneUp 2009 geschreddert. Grade habe ich Bitdefender nochmals durchlaufen lassen, keine Viren gefunden,hier mein Hijackthis log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:33:15, on 16.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1005MC.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Toshiba\Toshiba Applet\thotkey.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Synaptics\SynTP\Toshiba.exe C:\Programme\Notebook Hardware Control\nhc.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe D:\Miranda\miranda32.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Mozilla Firefox\firefox.exe E:\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4796 bytes Gruß Martin Edit: diese blöde PDFtoolbar habe ich grad runterschmissen, ka wobei die installiert war. Nachdem ich die rundlll.exe gelöscht habe habe ich neugestartet und im System32 ist sie nicht mehr zu finden. |
Hallo Martin und :hallo: Um dir kompetent bei deinem Problem zu Seite stehen zu können, benötigen wir Informationen. Bitte lies dir diese Anleitung durch. Dein Hijack this Logfile scheint nicht mehr aktuell. Bitte führe die Vorarbeiten nach der Anleitung aus und poste die notwendigen Logs. |
Hallo :) danke für die Hinweise,dachte eig ich habe alles soweit richtig gemacht :) also CCleaner habe ich gemacht 1. Mein aktueller HiJackThis Bericht: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:41:02, on 16.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe C:\WINDOWS\System32\TUProgSt.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Toshiba\Toshiba Applet\thotkey.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Notebook Hardware Control\nhc.exe C:\Programme\Softwin\BitDefender10\bdmcon.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Synaptics\SynTP\Toshiba.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE D:\Miranda\miranda32.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe E:\HiJackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 4890 bytes 2. Malware Anti-Malware: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1854 Windows 5.1.2600 Service Pack 2 16.03.2009 16:01:15 mbam-log-2009-03-16 (16-01-15).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 90699 Laufzeit: 13 minute(s), 34 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\*****\Anwendungsdaten\addon.dat (Malware.Trace) -> Quarantined and deleted successfully. Liste aller installierten Programme: Adobe Flash Player 10 Plugin Adobe Reader 7.0.8 - Deutsch BitDefender Free Edition v10 CCleaner (remove only) Compatibility Pack für 2007 Office System DeepBurner v1.9.0.228 DVD-RAM-Treiber HijackThis 2.0.2 ImgBurn IZArc 3.81 J2SE Runtime Environment 5.0 KhalSetup Logitech SetPoint Malwarebytes' Anti-Malware Microsoft .NET Framework 2.0 Microsoft Office Professional Edition 2003 Microsoft Visual C++ 2005 Redistributable Mozilla Firefox (3.0.7) Notebook Hardware Control 2.0 Pre-Release-06 Bugfix NVIDIA Drivers PDFCreator Realtek High Definition Audio Driver Sicherheitsupdate für Windows XP (KB923789) Spybot - Search & Destroy Synaptics Pointing Device Driver Texas Instruments PCIxx21/x515/xx12 drivers. TOSHIBA Hotkey Utility TOSHIBA Software Modem TuneUp Utilities 2009 VirtualCloneDrive Visual C++ 2008 x86 Runtime - (v9.0.30729) Visual C++ 2008 x86 Runtime - v9.0.30729.01 VLC media player 0.9.8a Winamp Windows Media Format Runtime xp-AntiSpy 3.97-2 ZoneAlarm |
keiner ne Ahnung? habe Malware noch nochmal drüber laufen lassen nachdem ich aufgefordert wurde neu zu starten. im System32 ist weiterhin keine rundlll.exe mehr zu finden, und auch das antimalware Programm findet nichts,ebenso Spybot und Bitdefender |
Zunächst ist noch einiges in deinem System im Argen. Malware.Trance kann alles bedeuten....vom Trojaner bis zum Wurm.... Auch wenn malwarebytes es augenscheinlich für dich entfernt hat, muss dies nicht bedeuten, dass die Schadware auch tatsächlich beseitigt wurde. Lösche die Quarantäne von Malwarebytes.... Punkt 1. Bitte deaktiviere deine Systemwiederherstellung: Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall wahrscheinlich unbrauchbar.. Punkt 2. Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen ) Punkt 3. Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden. Update dein XP auf SP3. Das ist wichtig!!!Java ist total veraltet und anfällig. Lade hier die neueste Version herunter. Lösche zuvor in System/Software deine alte Java Version. Hiernach setzt du nochmals CCleaner ein. Lade dir nun mbr.exe herunter und lasse dieses Programm laufen. Es überprüft den Masterboot Record deiner Festplatte. Poste das Ergebnis hier: Hiernach lädst du die Datei thotkey.exe auf deinem Pfad Code: C:\Programme\Toshiba\Toshiba Applet\thotkey.exeDanach lädst du dir bitte SuperAntiSpyware runter und lässt es laufen. Poste das Ergebnis bitte hier. ( Code tags nicht vergessen ) Last but not least holst du dir das Programm Gmer. Hiernach öffnest du Gmer und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten. Danach sehen wir weiter...... |
Teil 1: Guten Morgen, die Schritte habe ich soweit befolgt, SP3 hab ich gestern schon aufgespielt,allerdings kann CCleaner die Datei C:\WINDOWS\Internet Logs\ZALog.txt nicht löschen. MBR Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netCode: Antivirus Version letzte aktualisierung Ergebnis |
Lade die datei C:\WINDOWS\Internet Logs\ZALog.txt bitte mal zu Virustotal.com hoch und poste dann hier... |
ZALog.txt Code: Antivirus Version letzte aktualisierung Ergebnis |
Superantispyware: Code: SUPERAntiSpyware Scann-Protokoll |
Code: Last but not least holst du dir das Programm Gmer. Hiernach öffnest du Gmer und lässt bei diesem Programm ebenfalls einen Scan durchführen. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.Der Fund von Malware.Trance indiziert auf jeden Fall einen Befall, wir müssen nur noch rausfinden was es ist und obs noch da ist.... ZA Log txt ist ein Logfile von Zonealarm, ich persönlich würde Zonealarm nicht nutzen, ich bleibe lieber bei meiner Windows Firewall... |
gmer bin ich grad dran, dauert schon seit 15 Minuten an. Habe auch alle 3 Partitionen von mir angeklickt, ich frage mich nur woher das gekommen soll. Die Programme die ich installiert habe nach der Formation benutze ich schon min. 2 Jahre,nie ein problem gewesen. Wenn wir jetzt wieder nix finden werde ich wohl nochmals nen Low-Level-Format machen und Windows erneut installieren. |
Lass uns erst mal einen Blick auf das Gmer Log werfen... Gute Frage, wie fängt man sich so was ein. Mögliche Quellen sind Peer to Peer Verbindungen bis hin zu Emails die man öffnet. Ich kanns dir nicht sagen. Wird auch nicht möglich sein, dass noch herauszufinden. Wir sind noch nicht am Ende, lass uns erst mal einen Blick drauf werfen und danach packen wir mal einen Hammer aus .....:) |
das dauert und dauert :) |
yup, ich bin hier |
so,erster Durchlauf war ohne Probleme,dachte natürlich das der das irgendwo zwischenspeichert,pustekuchen,egal nochmal, als Student hat man ja Zeit :) @RedWulf sorry wenn ich jetzt was persönliches frage aber bist du Gladbachfan? (Leite ich jetzt aus deinem Wohnort ab), wenn ja willkommen im Club :aplaus: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board