RUNDLL-Fehlermeldung nach Entfernung eines Trojaners
 

Hi!

Hab jetzt die Festplatte von einem Freund bei mir.
AVG hat (nach seinen Angaben) mehrmals Trojaner gefunden und gehealt,
nach Löschen der Temp. Internet Files und der Cookies findet AVG nichts mehr.

Noch bestehendes Problem: RUNDLL-Fehlermeldung mit folgendem Inhalt:

Folgendes Modul wurde nicht gefunden: C:\WINDOWS\System32\xdrtjjhq.dll

Diese seltsame *.dll findet google nicht, und ich hab finde auch nichts ähnliches in meinem Windows...

a.) Sie wurde von einem Programm installiert und von einem Trojaner entfernt
b.) Der Trojaner hat dem Windows "eingeimpft", dass es diese .dll braucht

Ich hoffe auf Eure Hilfe und eine Lösung ohne neues Aufsetzen des Systems...

thx für zahlreiche Postings ;-)

lg Flo

Hab ich vergessen: die Fehlermeldung kommt jedes Mal beim Laden eines Benutzers. und der PC ist brutal langsam (Intel Core2 2,6 GHz)
OS: Win XP Professional

Wer meldet das? AVG? Bei Dir im Rechner oder stammt die Meldung noch vom Rechner Deines Kumpels?

Affige DLL-Namen deuten eher auf einen Schädling...

Wie sieht das aus? Du hast nur die Platten oder das ganze System bei Dir?


Gruß

Marc

Edit: Poste bitte mal ein HJT-Log von dem Rechner der die DLL-Fehlermeldung ausspuckt.

Hey!

Das flinkeste Forum das ich kenne! ;-)

Die Meldungen kommen auf dem System meines Kumpels (natürlich auch, wenn ich mein System mit seiner Platte boote).

Ich muss den HJT noch installieren, poste dann sofort das Log.

thx

Flo

Keine Angst, wir können auch anders ;)

Du setzt seine Platte als Master bei Dir...wo ist dann Deine Platte (ich hoffe sie ist weit weg)?

klar hab ich die andere abgesteckt! ;-)

eine frage noch: woher bekomm ich den hiJacker?
hab mit soetwas noch nicht gearbeitet!

Hijacker gibt es auf jeder ordentlichen Porno- oder Crackseite. :D SCNR


Um Hijackthis zu benutzen (und runter zu laden) schau Dir bitte diese Anleitung an:

http://www.trojaner-board.de/17493-a...ijackthis.html

Und im Anschluss daran kannst Du gleich mal noch eScan laufen lassen. Ergebnis der find.abt hier posten (steht alles exakt in der Anleitung).
http://www.trojaner-board.de/38066-e...tml#post263150

Also:

HiJackThis wirft folgendes aus:

Irgendetwas auffälliges dabei?

Zum 2. bin ich noch nicht gekommen, lässt sich irgendwie nicht im abgesicherten Modus starten, die Kiste (war bei Win2k F8 drücken, is das bei xp anders?)

vielemaledankeschön,

lg Flo

Logfile of HijackThis v1.99.1
Scan saved at 22:19:59, on 24.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
G:\installer\OpwareSE4.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
G:\Programme\iTunesHelper.exe
G:\player\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe
C:\Programme\Skype\Phone\Skype.exe
G:\Programme\bin\iPodService.exe
G:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Luke\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = w*w.google.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.gmx.net/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.tuwien.ac.at
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://w*w.tuwien.ac.at/
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "G:\installer\OpwareSE4.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] G:\Programme\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\player\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\xdrtjjhq.dll",setvm
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32\jrfrdvrr.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" /Startup
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = G:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = G:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=w*w.tuwien.ac.at
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://w*w.studivz.net/photouploader/ImageUploader4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - G:\Programme\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[QUOTE=flo@home;264833]

O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\xdrtjjhq.dll",setvm

Da is die verfluchte *$%§/&"§, *.dll ...

Was mach ich jetzt damit?

lg Flo

Hi,

Einen Rechner mit der Systemplatte eines anderen Rechners zu starten ist sicherlich auch Glückssache. Es dürfte kaum einen Rechner geben, der in seiner Hardwareausstattung identisch ist mit einem anderen, dann wird versucht Treiber zu laden, die zum benutzten Rechner nicht passen, usw. Wenn das nur dazu führt, dass es langsam ist, dann geht das ja noch. Eine Platte als zweite in einen Rechner einzubauen um sie von dem (hoffentlich) sauberen System aus zu scannen, ist dagegen sehr sinnvoll.

In Hijackthis vor folgende Zeile(n) einen Haken machen und dann "Fix checked" klicken:
rundll32.exe ist ein Programm um eine DLL als Prozess auszuführen. Wenn es die DLL, die es ausführen soll, nicht vorfindet, dann ensteht die Fehlermeldung. Bei diesen DLLs ist das eine gutes Zeichen.

Sollte eine der beiden in den Einträgen genannten DLLs noch verfügbar sein, dann lasse sie mal bei VirusTotal scannen und stelle die Ergebnisse hier rein.

Gruß, Karl

Hey!

@MightyMarc: HJT is ein cooles Ding! Habs Problem behoben! ;-) yeehaaa!

@KarlKarl: Die dlls wurden leider vor meinem Eingreifen durch AVG vom Computer-Eigner entfernt...
Dass er jetzt langsamer läuft wundert mich aus eben diesen Gründen nicht, im Originalsystem wurde er erheblich langsamer...
Ich führe das zurück auf die vergeblich gesuchten dlls und das ganze Zeug an Spyware und die Firewall, die von einem anderen Freund meines Bekannten installiert wurden...
Ich verpass ihm morgen einen Router ;-)

aber danke fürs durchschaun, werd die 2. auch noch mit HJT entfernen!

danke Leute!

grüße aus Wien,

lg Flo

ich habe auch einen trojaner entfernt und das selbe problem,...
und zwar kommt beim systemstart eine fehlermeldung mit rundll
und es wird angezeigt das iydkhwsp.dll nicht gefunden werden kann ,...
habe auch schon eine log datei mit hijackthis gemacht:


HiJackthis Logfile:
--- --- ---

was jetz?

Neuen Thread aufmachen, neues Logfile mit HJT Version 1.99.1 machen.

wieso neuen thread und neuen logfile geht das mit hijackthis 2 beta nich