Trojaner-Board - Rundll 32 .exe was ist das denn schonwieder ?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Rundll 32 .exe was ist das denn schonwieder ? (https://www.trojaner-board.de/89328-rundll-32-exe-denn-schonwieder.html)

Rundll 32 .exe was ist das denn schonwieder ?

Hallo Männers,

ich habe seit einiger zeit beim "Starten" meines Laptops diese Meldung: rundll32.exe Abbild fehlerhaft ! (bild konnte ich hier leider nicht einfügen, ka warum.)
Ich habe mir HijackThis runtergeladen und habe nun diesen Bericht, welchen ich selbst versucht habe zu entschlüsseln, was mir nicht so recht gelungen ist. Ich verstehe nicht ganz was da alles fehlerhaft ist.
Allerdings habe ich meinen Laptop erst vor 5 Wochen wiedermal neu gemacht(also alles neu draufgespielt , weil ich einen Virus hatte.) Insgesamt wurde in den letzten 4-5 monaten 3x neuinstaliert. Und langsam habe ich keine Lust mehr als von dem dreck befallen zu werden. Liegt es vielleicht daran das ich noch Windows XP habe ? Könnte ich mir denn Windows 7 kaufen und auf meinen PC spielen? oder muss ich mir gedanken über einen neuen Laptop machen , obwohl mir der gedanke nicht so recht gefällt:pfui: Gibt es denn gute Programme die ich mir kaufen bzw runterladen könnte, die mich endlich mal vor sowas schützen ? Ich bin langsam echt verzweifelt und um jeden Rat dankbar , da ich nicht sonderlich viel Anung habe :crazy: <---FRAU:D

Hier der Bericht:

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 08:54:02, on 10.08.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Java\jre1.5.0\bin\jusched.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\ltmoh\Ltmoh.exe

C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe

C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

C:\Programme\Gemeinsame Dateien\Nikon\Monitor\NkMonitor.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\DivX\DivX Update\DivXUpdate.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Avira\AntiVir Desktop\avshadow.exe

C:\Programme\Avira\AntiVir Desktop\avscan.exe

C:\WINDOWS\System32\vssvc.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\dllhost.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Downloads\HiJackThis204.exe
 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe"

O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Nikon Transfer Monitor] C:\Programme\Gemeinsame Dateien\Nikon\Monitor\NkMonitor.exe

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Getdo] rundll32.exe "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Adobe\Update\flacor.dat""

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{3B1FD936-903B-487D-9091-517CFB531511}: NameServer = 192.168.2.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2010.SP1d\RpcAgentSrv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
 

--

End of file - 6830 bytes

--- --- ---

Danke und Grüßlis Lani:)

Zitat:

Insgesamt wurde in den letzten 4-5 monaten 3x neuinstaliert.

Dann machst Du immer wieder den oder die gleichen Fehler! http://cheesebuerger.de/images/midi/konfus/a042.gif

So mal grob zusammenfassend:

- mit XP geht man erst ins Internet wenn SP3 und IE8 drauf sind
- ausführbare Dateien (*.exe, *.msi, Programme, Spiele und deren Setups) vom infizierten System löscht man!
- man surft nicht mit Adminrechten
- dubiose Software wird erst garnicht mit der Kneifzange angefasst!

Und ja Du hast wieder einen Schädling drin:

Zitat:

O4 - HKCU\..\Run: [Getdo] rundll32.exe "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Adobe\Update\flacor.dat""

Hallo Arne,

danke für die schnelle Antwort, allerdings hilft mir das nicht viel weiter weil:
(- mit XP geht man erst ins Internet wenn SP3 und IE8 drauf sind) das habe ich auch immer nur so gemacht, allerdings habe ich IE garnicht drauf bzw. benutze Ihn nicht, ich habe firefox.
(- ausführbare Dateien (*.exe, *.msi, Programme, Spiele und deren Setups) vom infizierten System löscht man!) ich habe vor den neuinstalationen immer alles runtergeschmissen(war ja meistens auch nicht viel was sich in den kurzen zeiten ansammeln konnte):)
(- man surft nicht mit Adminrechten) das ist sicherlich richtig, aber ich weiß auch nicht wie ich das anderst einrichten bzw. ändern kann.

Also das rundll habe ich jetzt hoffentlich mit HijackThis runter gelöscht.
Allerdings wird es wahrscheinlich nicht lange dauern, und ich habe mir den nächsten schmotter eingefangen :( Wie sieht es denn aus mit guten "Schutz-Programmen" oder ist XP einfach zu veraltet und bleibt immer gefährdet ? Ich würde mir ja windows 7 kaufen wenn sich das denn lohnt. Mein Laptop ist 5Jahre alt.

Danke und Grüße Lani

Von allein kommt der mist jedenfalls nicht auf den Rechner. Und XP kann man immer noch sicher benutzen.

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo Arne,

also hier der Bericht von der Malware :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4412

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.08.2010 16:46:30
mbam-log-2010-08-10 (16-46-30).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 176143
Laufzeit: 47 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully.

So OTL habe ich jetzt hier vor mir, soll nur Extra Restrierung auf Benutzerdefiniert gesetzt werden und alles ander auf AUS ? Oder auch wie schon vorgegeben alles auf Benutzer definiert ?
Run Scan ? Ich habe Scan, Fix, Quick Scan zur Auswahl !?

Danke Grüße Lani

Ok, ich habe alles auf Benutzer definiert gelassen, und auf Scan geklickt.

Hier das Ergebnis:Ich hoffe das ist richtig so

OTL logfile created on: 10.08.2010 17:29:30 - Run 1
OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.022,00 Mb Total Physical Memory | 605,00 Mb Available Physical Memory | 59,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,17 Gb Total Space | 40,66 Gb Free Space | 54,82% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: SAMSUNG-E65B184
Current User Name: XXX
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

Reicht das so, oder das ganze hier rein posten ???:rolleyes:

Danke Grüße lani