![]() |
rundlll.exe in C:\Windows\System32\files Guten Morgen zusammen, vor 2-3 Tagen wurde mein Rechner extrem warm.NHC zeigt mir Temperaturen von jenseits 80° an (Notebook) und eine totale Auslastung. Im Taskmanager hatte ich immer eine iexplorer.exe welche sich nicht löschen lassen konnte. Daraufhin habe ich den Rechner vom Netz getrennt und mit Bitdefener überprüfen lassen. Der fand im Ornder C:\Windows\System32\files\rundlll.exe einen Backdoor. Da mir das einfache Löschen nicht sicher genug war,habe ich formatiert,nach 2-3 Stunden gab es plötzlich wieder diese Datei. Hochgeladen und getestet wurde sie als ein Backdoor für Steam-ID's gesehen und als Genpack.backdoor.bifrose.adr.... Daraufhin habe ich nochmals Formatiert, allerdings dann mit einem Low-Level-Format. Am gestrigen Tage habe ich die Installation von Word etc. vervollständigt und mal zur Abwechslung in den System32 Ordner geschaut. Wieder befand sich dort diese besagte rundlll.exe mit 3 L's,habe sie daraufhin mit TuneUp 2009 geschreddert. Grade habe ich Bitdefender nochmals durchlaufen lassen, keine Viren gefunden,hier mein Hijackthis log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:33:15, on 16.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1005MC.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Toshiba\Toshiba Applet\thotkey.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Synaptics\SynTP\Toshiba.exe C:\Programme\Notebook Hardware Control\nhc.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe D:\Miranda\miranda32.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Mozilla Firefox\firefox.exe E:\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4796 bytes Gruß Martin Edit: diese blöde PDFtoolbar habe ich grad runterschmissen, ka wobei die installiert war. Nachdem ich die rundlll.exe gelöscht habe habe ich neugestartet und im System32 ist sie nicht mehr zu finden. |
Hallo Martin und :hallo: Um dir kompetent bei deinem Problem zu Seite stehen zu können, benötigen wir Informationen. Bitte lies dir diese Anleitung durch. Dein Hijack this Logfile scheint nicht mehr aktuell. Bitte führe die Vorarbeiten nach der Anleitung aus und poste die notwendigen Logs. |
Hallo :) danke für die Hinweise,dachte eig ich habe alles soweit richtig gemacht :) also CCleaner habe ich gemacht 1. Mein aktueller HiJackThis Bericht: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:41:02, on 16.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe C:\WINDOWS\System32\TUProgSt.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Toshiba\Toshiba Applet\thotkey.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Notebook Hardware Control\nhc.exe C:\Programme\Softwin\BitDefender10\bdmcon.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Synaptics\SynTP\Toshiba.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE D:\Miranda\miranda32.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe E:\HiJackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 4890 bytes 2. Malware Anti-Malware: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1854 Windows 5.1.2600 Service Pack 2 16.03.2009 16:01:15 mbam-log-2009-03-16 (16-01-15).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 90699 Laufzeit: 13 minute(s), 34 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\*****\Anwendungsdaten\addon.dat (Malware.Trace) -> Quarantined and deleted successfully. Liste aller installierten Programme: Adobe Flash Player 10 Plugin Adobe Reader 7.0.8 - Deutsch BitDefender Free Edition v10 CCleaner (remove only) Compatibility Pack für 2007 Office System DeepBurner v1.9.0.228 DVD-RAM-Treiber HijackThis 2.0.2 ImgBurn IZArc 3.81 J2SE Runtime Environment 5.0 KhalSetup Logitech SetPoint Malwarebytes' Anti-Malware Microsoft .NET Framework 2.0 Microsoft Office Professional Edition 2003 Microsoft Visual C++ 2005 Redistributable Mozilla Firefox (3.0.7) Notebook Hardware Control 2.0 Pre-Release-06 Bugfix NVIDIA Drivers PDFCreator Realtek High Definition Audio Driver Sicherheitsupdate für Windows XP (KB923789) Spybot - Search & Destroy Synaptics Pointing Device Driver Texas Instruments PCIxx21/x515/xx12 drivers. TOSHIBA Hotkey Utility TOSHIBA Software Modem TuneUp Utilities 2009 VirtualCloneDrive Visual C++ 2008 x86 Runtime - (v9.0.30729) Visual C++ 2008 x86 Runtime - v9.0.30729.01 VLC media player 0.9.8a Winamp Windows Media Format Runtime xp-AntiSpy 3.97-2 ZoneAlarm |
keiner ne Ahnung? habe Malware noch nochmal drüber laufen lassen nachdem ich aufgefordert wurde neu zu starten. im System32 ist weiterhin keine rundlll.exe mehr zu finden, und auch das antimalware Programm findet nichts,ebenso Spybot und Bitdefender |
Zunächst ist noch einiges in deinem System im Argen. Malware.Trance kann alles bedeuten....vom Trojaner bis zum Wurm.... Auch wenn malwarebytes es augenscheinlich für dich entfernt hat, muss dies nicht bedeuten, dass die Schadware auch tatsächlich beseitigt wurde. Lösche die Quarantäne von Malwarebytes.... Punkt 1. Bitte deaktiviere deine Systemwiederherstellung: Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall wahrscheinlich unbrauchbar.. Punkt 2. Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen ) Punkt 3. Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden. Update dein XP auf SP3. Das ist wichtig!!!Java ist total veraltet und anfällig. Lade hier die neueste Version herunter. Lösche zuvor in System/Software deine alte Java Version. Hiernach setzt du nochmals CCleaner ein. Lade dir nun mbr.exe herunter und lasse dieses Programm laufen. Es überprüft den Masterboot Record deiner Festplatte. Poste das Ergebnis hier: Hiernach lädst du die Datei thotkey.exe auf deinem Pfad Code: C:\Programme\Toshiba\Toshiba Applet\thotkey.exe Danach lädst du dir bitte SuperAntiSpyware runter und lässt es laufen. Poste das Ergebnis bitte hier. ( Code tags nicht vergessen ) Last but not least holst du dir das Programm Gmer. Hiernach öffnest du Gmer und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten. Danach sehen wir weiter...... |
Teil 1: Guten Morgen, die Schritte habe ich soweit befolgt, SP3 hab ich gestern schon aufgespielt,allerdings kann CCleaner die Datei C:\WINDOWS\Internet Logs\ZALog.txt nicht löschen. MBR Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net Code: Antivirus Version letzte aktualisierung Ergebnis |
Lade die datei C:\WINDOWS\Internet Logs\ZALog.txt bitte mal zu Virustotal.com hoch und poste dann hier... |
ZALog.txt Code: Antivirus Version letzte aktualisierung Ergebnis |
Superantispyware: Code: SUPERAntiSpyware Scann-Protokoll |
Code: Last but not least holst du dir das Programm Gmer. Hiernach öffnest du Gmer und lässt bei diesem Programm ebenfalls einen Scan durchführen. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten. Der Fund von Malware.Trance indiziert auf jeden Fall einen Befall, wir müssen nur noch rausfinden was es ist und obs noch da ist.... ZA Log txt ist ein Logfile von Zonealarm, ich persönlich würde Zonealarm nicht nutzen, ich bleibe lieber bei meiner Windows Firewall... |
gmer bin ich grad dran, dauert schon seit 15 Minuten an. Habe auch alle 3 Partitionen von mir angeklickt, ich frage mich nur woher das gekommen soll. Die Programme die ich installiert habe nach der Formation benutze ich schon min. 2 Jahre,nie ein problem gewesen. Wenn wir jetzt wieder nix finden werde ich wohl nochmals nen Low-Level-Format machen und Windows erneut installieren. |
Lass uns erst mal einen Blick auf das Gmer Log werfen... Gute Frage, wie fängt man sich so was ein. Mögliche Quellen sind Peer to Peer Verbindungen bis hin zu Emails die man öffnet. Ich kanns dir nicht sagen. Wird auch nicht möglich sein, dass noch herauszufinden. Wir sind noch nicht am Ende, lass uns erst mal einen Blick drauf werfen und danach packen wir mal einen Hammer aus .....:) |
das dauert und dauert :) |
yup, ich bin hier |
so,erster Durchlauf war ohne Probleme,dachte natürlich das der das irgendwo zwischenspeichert,pustekuchen,egal nochmal, als Student hat man ja Zeit :) @RedWulf sorry wenn ich jetzt was persönliches frage aber bist du Gladbachfan? (Leite ich jetzt aus deinem Wohnort ab), wenn ja willkommen im Club :aplaus: |
Zitat:
|
so, ich habe ne log gespeichert,aber weiß nicht ob es das richtige ist.Gmer ist jetzt fertig,allerdings kann ich jetzt nichts speichern als log oder kopieren. Code: GMER 1.0.15.14939 - http://www.gmer.net |
ansonsten habe ich mal Bildschirmfotos gemacht: http://img23.imageshack.us/img23/3992/30616553.jpg http://img23.imageshack.us/img23/6904/43883279.jpg |
so hier noch der aktuelle Malwarebytes Anti-Malware-bericht: Code: Malwarebytes' Anti-Malware 1.34 |
Naja macht nix....soweit wie ich sehen konnte ist ein rootkit nicht vorhanden. Normalerweise kannst du das Ergebnis im rootkit Reiter mittels copy und Paste in einen texteditor geben und es hochladen. Aber ich denke das wichtigste habe ich gesehen. So, nun noch eins: COMBOFIX Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an. Als nächstes setzen wir ComboFix ein: Ein Leitfaden und Tutorium zur Nutzung von ComboFix Lade dir das Tool hier herunter auf den Desktop -> KLICK Das Programm jedoch noch nicht starten sondern zuerst folgendes tun: Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Insbesondere Zonealarm Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen. CCleaner Systembereinigung nochmals laufen lassen Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen. Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt. Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren. Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbreitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. |
Alles klar,werde das heute abend mal machen :) schreibe gleich erstmal Klausur |
Ich drück die Daumen.......:daumenhoc |
So wieder da :) werde mich jetzt vom Netz trennen und Combofix durchlaufen lassen. Poste dann später den Bericht |
so hier der Bericht combofix: Code: ComboFix 09-03-15.01 - Martin 2009-03-17 19:41:56.1 - NTFSx86 Edit: Mittlerweile denke ich echt drüber nach einfach alle Festplatten zu überprüfen,zu formatieren und alles neu zu installieren bzw. zusammenzusuchen.. |
Lass uns nochmal was überprüfen: Lade diese Dateien bitte bei Virustotal hoch und lass sie überprüfen Code: C:\WINDOWS\AGRSMMSG.exe Interessieren würde es mich schon...also Logs bitte posten PS: Deine rundlll.exe ist immer noch da... Sprich dein Freund ist noch aktiv... |
Morgen, hier AGRSMMSG.exe Code: Antivirus Version letzte aktualisierung Ergebnis Edit 2: Wenn werde da jetzt noch bis 10 Uhr warten,ansonsten nochmals Low-Level-Format,alle Festplatten scannen.Wäre aber schön wenn man rausbekommen könnte in welcher Datei er war/ist. |
Die Datei ist zu groß,habe es jetzt als txt hochgeladen unter: File-Upload.net - log-RTHDCPL.EXE.txt |
Habs mir angeschaut: Das ist vermutlich dein Freund: TR/Dropper.Gen = rundlll.exe Da es sich bei dem Schädling um einen Dropper handelt, kann es sein, dass weitere, ggf. neue und unbekannte Malware auf dem Rechner schlummert. Diese wird dann vermutlich auch nicht erkannt werden. Das heißt, dass nach erfolgter Entfernung des Droppers noch immer Schädlinge an Bord sein können. Wenn du willst können wir noch einen Versuch starten, ansonsten Neuaufsetzen leider....... Bitte schau dir die entsprechenden Hinweise über Neuaufsetzen+Absicherung deines Systems hier im Board vorher an.... |
dann werd ich wohl neuinstallieren, denkst du low-level-format ist notwendig oder reicht einfach die Formation im Windows Setup? |
Wie ich dir schon im PM geschrieben habe. Die Anwesenheit des Droppers ist eine üble Sache. Der kann alles mögliche auf deinen PC noch runterladen. Dein MBR ist in Ordnung, aber ich weiss nicht was noch alles zurück bleibt, oder ob sich mittlerweile etwas anderes noch eingenistet hat. Deshalb empfehle ich dir zunächst hier im Forum die Hinweise zum Neuaufsetzen und Absichern deines Systems. Low Level sollte eigendlich alle deine Probleme dann beseitigen. Schade das ich dir nicht mehr weiter helfen konnte. Bitte denke in Zukunft daran, die meisten Fehler werden mit der linken Maustaste gemacht...... @Admin...du kannst diesen Post abschließen |
So Hallo zusammen, low-level-format habe ich hinter mir,installiere grad das SP3 zuerst (keine Sorge bin grad mit einem anderen Rechner online,der ist geschützt :)). Im System32 Ordner befindet sich noch nichts besonderes,immerhin weiß ich das die Windows-Cd jetzt in Ordnung ist und das der Virus nicht drauf war. Hatte vor jetzt trotzdem nochmal den Rechner zu scannen, mit welchem Programmen sollte ich das jetzt am besten machen? |
so und hier der aktuelle HiJackThis log: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Alles unauffällig, alles klar soweit |
So bin jetzt fertig mit installieren, drum nochmal mein aktueller Bericht : Code: Logfile of Trend Micro HijackThis v2.0.2 |
Alles ok, Happy surving....... |
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board