| |
| |||||||
Log-Analyse und Auswertung: rundlll.exe in C:\Windows\System32\filesWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
17.03.2009, 11:17
| #16 | |
  |  rundlll.exe in C:\Windows\System32\filesZitat:
 |
|
17.03.2009, 12:15
| #17 |
  | rundlll.exe in C:\Windows\System32\files so,
__________________ich habe ne log gespeichert,aber weiß nicht ob es das richtige ist.Gmer ist jetzt fertig,allerdings kann ich jetzt nichts speichern als log oder kopieren. Code:
ATTFilter GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-17 11:32:03
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xB7CC0040]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xB7CBC930]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateKey [0xB7CC7A80]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xB7CC0510]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xB7CC6870]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xB7CC6AA0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xB7CC9FD0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xB7CC0600]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xB7CBCF20]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xB7CC86E0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xB7CC8440]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xB7CC6580]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xB7CC88B0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xB7CBCD70]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenProcess [0xB7CC6350]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenThread [0xB7CC6150]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xB7CC9250]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xB7CC8CB0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xB7CBFC00]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xB7CC9080]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xB7CC0220]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xB7CBD120]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xB7CC8140]
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB3534F20]
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!ZwYieldExecution + 133 804E496D 7 Bytes [68, CC, B7, A0, 6A, CC, B7]
? srescan.sys Das System kann die angegebene Datei nicht finden. !
? C:\DOKUME~1\Martin\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [B7CC4CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [B7CC51C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [B7CC5320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [B7CC4E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [B7CC4E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [B7CC4CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [B7CC51C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [B7CC5320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [B7CC4CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [B7CC4E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [B7CC5320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [B7CC51C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [B7CC5320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [B7CC51C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [B7CC4CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [B7CC4E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [B7CC4CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [B7CC51C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [B7CC5320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [B7CC5320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [B7CC51C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [B7CC4E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [B7CC4CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [B7CD2330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [B7CC4CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [B7CC4E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [B7CC5320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [B7CC51C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [B7CBD5C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [B7CBD770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [B7CBD2D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [B7CBD670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
|
|
17.03.2009, 12:19
| #18 |
| | rundlll.exe in C:\Windows\System32\files ansonsten habe ich mal Bildschirmfotos gemacht:
__________________http://img23.imageshack.us/img23/3992/30616553.jpg http://img23.imageshack.us/img23/6904/43883279.jpg |
|
17.03.2009, 12:38
| #19 |
| | rundlll.exe in C:\Windows\System32\files so hier noch der aktuelle Malwarebytes Anti-Malware-bericht: Code:
ATTFilter Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1857
Windows 5.1.2600 Service Pack 3
17.03.2009 12:37:53
mbam-log-2009-03-17 (12-37-53).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 101287
Laufzeit: 17 minute(s), 29 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
17.03.2009, 12:40
| #20 |
| | rundlll.exe in C:\Windows\System32\files Naja macht nix....soweit wie ich sehen konnte ist ein rootkit nicht vorhanden. Normalerweise kannst du das Ergebnis im rootkit Reiter mittels copy und Paste in einen texteditor geben und es hochladen. Aber ich denke das wichtigste habe ich gesehen. So, nun noch eins: COMBOFIX Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an. Als nächstes setzen wir ComboFix ein: Ein Leitfaden und Tutorium zur Nutzung von ComboFix Lade dir das Tool hier herunter auf den Desktop -> KLICK Das Programm jedoch noch nicht starten sondern zuerst folgendes tun: Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Insbesondere Zonealarm Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen. CCleaner Systembereinigung nochmals laufen lassen Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen. Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt. Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren. Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbreitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. |
|
17.03.2009, 12:47
| #21 |
| | rundlll.exe in C:\Windows\System32\files Alles klar,werde das heute abend mal machen  schreibe gleich erstmal Klausur |
|
17.03.2009, 13:03
| #22 |
| | rundlll.exe in C:\Windows\System32\files Ich drück die Daumen.......  |
|
17.03.2009, 19:19
| #23 |
| | rundlll.exe in C:\Windows\System32\files So wieder da werde mich jetzt vom Netz trennen und Combofix durchlaufen lassen. Poste dann später den Bericht |
|
17.03.2009, 19:55
| #24 |
| | rundlll.exe in C:\Windows\System32\files so hier der Bericht combofix: Code:
ATTFilter ComboFix 09-03-15.01 - Martin 2009-03-17 19:41:56.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2046.1726 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Martin\Desktop\ComboFix.exe
FW: ZoneAlarm Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
((((((((((((((((((((((( Dateien erstellt von 2009-02-17 bis 2009-03-17 ))))))))))))))))))))))))))))))
.
2009-03-17 19:18 . 2009-03-17 19:18 <DIR> d-------- c:\windows\LastGood
2009-03-17 10:05 . 2009-03-17 10:20 <DIR> d-------- c:\dokumente und einstellungen\Martin\Anwendungsdaten\DeepBurner
2009-03-17 09:35 . 2009-03-17 19:17 <DIR> d-------- c:\dokumente und einstellungen\Martin\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-17 09:28 . 2009-03-17 09:28 <DIR> d-------- c:\programme\Java
2009-03-17 09:28 . 2009-03-17 09:28 410,984 --a------ c:\windows\system32\deploytk.dll
2009-03-17 09:28 . 2009-03-17 09:28 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-03-16 22:13 . 2009-03-16 22:13 <DIR> d-------- c:\dokumente und einstellungen\Martin\Anwendungsdaten\vlc
2009-03-16 21:34 . 2009-03-16 21:34 <DIR> d-------- c:\windows\system32\Kaspersky Lab
2009-03-16 21:34 . 2009-03-16 21:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-03-16 20:31 . 2008-10-16 02:00 1,499,136 -----c--- c:\windows\system32\dllcache\shdocvw.dll
2009-03-16 20:31 . 2008-10-16 02:00 671,744 -----c--- c:\windows\system32\dllcache\wininet.dll
2009-03-16 20:31 . 2008-10-16 02:00 620,544 -----c--- c:\windows\system32\dllcache\urlmon.dll
2009-03-16 20:17 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-16 20:17 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-16 20:17 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-16 20:17 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-16 20:11 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-03-16 20:02 . 2008-12-12 18:01 3,088,896 -----c--- c:\windows\system32\dllcache\mshtml.dll
2009-03-16 19:57 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-03-16 19:56 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-03-16 19:54 . 2009-03-16 19:54 <DIR> d-------- c:\programme\Avira GmbH
2009-03-16 18:11 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-03-16 18:09 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-03-16 18:07 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-03-16 18:04 . 2008-04-14 07:52 221,184 --a------ c:\windows\system32\wmpns.dll
2009-03-16 17:54 . 2008-04-14 07:52 1,306,624 --------- c:\windows\system32\msxml6.dll
2009-03-16 17:54 . 2008-04-14 07:52 1,306,624 -----c--- c:\windows\system32\dllcache\msxml6.dll
2009-03-16 17:54 . 2008-04-14 07:27 93,184 --------- c:\windows\system32\msxml6r.dll
2009-03-16 17:54 . 2008-04-14 07:27 93,184 -----c--- c:\windows\system32\dllcache\msxml6r.dll
2009-03-16 17:50 . 2009-03-16 17:54 <DIR> d-------- c:\windows\ServicePackFiles
2009-03-16 17:50 . 2008-04-14 07:52 294,912 -----c--- c:\windows\system32\dllcache\dlimport.exe
2009-03-16 17:46 . 2006-12-29 00:31 19,569 --a------ c:\windows\002722_.tmp
2009-03-16 16:44 . 2009-03-17 19:17 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-03-16 16:44 . 2009-03-16 16:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-16 16:16 . 2009-03-16 16:16 <DIR> d---s---- c:\dokumente und einstellungen\Martin\UserData
2009-03-16 15:46 . 2009-03-16 15:46 <DIR> d-------- c:\dokumente und einstellungen\Martin\Anwendungsdaten\Malwarebytes
2009-03-16 15:46 . 2009-03-16 15:46 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-16 11:17 . 2009-03-16 11:17 <DIR> d----c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-03-16 08:41 . 2009-03-17 19:36 81,984 --a------ c:\windows\system32\bdod.bin
2009-03-16 08:39 . 2009-03-16 08:39 <DIR> d-------- c:\windows\Sun
2009-03-16 08:37 . 2009-03-17 19:40 <DIR> d-------- c:\programme\Gemeinsame Dateien\Softwin
2009-03-15 20:46 . 2009-03-15 20:46 <DIR> d-------- c:\programme\MSECache
2009-03-15 20:44 . 2009-03-15 20:45 <DIR> d-------- c:\programme\PDFCreator
2009-03-15 20:44 . 2004-03-09 00:00 662,288 --a------ c:\windows\system32\MSCOMCT2.OCX
2009-03-15 20:44 . 1998-07-06 17:55 158,208 --a------ c:\windows\system32\MSCMCDE.DLL
2009-03-15 20:44 . 1998-06-24 00:00 137,000 --a------ c:\windows\system32\MSMAPI32.OCX
2009-03-15 20:44 . 1998-07-06 17:56 125,712 --a------ c:\windows\system32\VB6DE.DLL
2009-03-15 20:44 . 2001-10-28 16:42 116,224 --a------ c:\windows\system32\pdfcmnnt.dll
2009-03-15 20:44 . 1998-07-06 17:55 64,512 --a------ c:\windows\system32\MSCC2DE.DLL
2009-03-15 20:44 . 1998-07-06 00:00 23,552 --a------ c:\windows\system32\MSMPIDE.DLL
2009-03-15 20:41 . 2009-03-15 20:41 <DIR> d-------- c:\dokumente und einstellungen\Martin\Anwendungsdaten\AdobeUM
2009-03-15 20:22 . 2009-03-15 20:22 <DIR> d-------- c:\dokumente und einstellungen\Martin\Anwendungsdaten\TuneUp Software
2009-03-15 20:22 . 2009-03-15 20:22 603,904 --a------ c:\windows\system32\TUProgSt.exe
2009-03-15 20:22 . 2009-03-15 20:22 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe
2009-03-15 20:22 . 2008-12-11 13:31 27,904 --a------ c:\windows\system32\uxtuneup.dll
2009-03-15 20:21 . 2009-03-15 20:22 <DIR> d-------- c:\programme\TuneUp Utilities 2009
2009-03-15 20:21 . 2009-03-15 20:21 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-03-15 20:21 . 2009-03-15 20:21 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-03-15 20:21 . 2007-04-09 13:23 28,040 --a------ c:\windows\system32\mdimon.dll
2009-03-15 20:21 . 2009-03-15 20:21 400 --a------ c:\windows\ODBC.INI
2009-03-15 20:19 . 2009-03-15 20:20 <DIR> d-------- c:\windows\SHELLNEW
2009-03-15 20:19 . 2009-03-15 20:19 <DIR> d-------- c:\programme\Microsoft.NET
2009-03-15 20:04 . 2009-03-15 20:04 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 19:43 . 2009-03-15 19:54 <DIR> d-------- c:\dokumente und einstellungen\Martin\Anwendungsdaten\ImgBurn
2009-03-15 19:26 . 2009-03-15 20:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-03-15 10:05 . 2006-09-01 10:22 155,648 --a------ c:\windows\system32\kemutb.dll
2009-03-15 10:05 . 2006-09-01 10:20 131,072 --a------ c:\windows\system32\KemUtil.dll
2009-03-15 10:05 . 2006-09-01 10:21 110,592 --a------ c:\windows\system32\KemWnd.dll
2009-03-15 10:05 . 2006-09-01 10:23 69,632 --a------ c:\windows\system32\KemXML.dll
2009-03-15 10:05 . 2006-09-01 12:32 3,712 --a------ c:\windows\system32\drivers\LBeepKE.sys
2009-03-15 10:04 . 2009-03-15 10:04 <DIR> d-------- c:\programme\Logitech
2009-03-15 10:04 . 2009-03-15 10:05 <DIR> d-------- c:\programme\Gemeinsame Dateien\Logitech
2009-03-15 10:04 . 2006-07-19 12:03 94,208 --a------ c:\windows\KHALMNPR.Exe
2009-03-15 09:56 . 2009-03-15 09:56 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-03-15 09:56 . 2009-03-16 11:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-15 09:55 . 2009-03-15 09:55 <DIR> d-------- c:\programme\Notebook Hardware Control
2009-03-15 09:55 . 2009-03-17 19:16 22,528 --a------ c:\windows\system32\drivers\nhcDriver.sys
2009-03-15 09:53 . 2009-03-15 18:14 <DIR> d-------- c:\programme\Lavasoft
2009-03-15 09:53 . 2009-03-15 18:14 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-03-14 19:28 . 2009-03-14 19:28 0 --a------ c:\windows\nsreg.dat
2009-03-14 19:17 . 2009-03-14 19:17 <DIR> d-------- c:\dokumente und einstellungen\Martin\Anwendungsdaten\Logitech
2009-03-14 19:14 . 2009-03-14 19:14 <DIR> d-------- c:\programme\ImgBurn
2009-03-14 19:13 . 2009-03-14 19:13 <DIR> d-------- c:\programme\Astonsoft
2009-03-14 19:12 . 2009-03-14 19:12 <DIR> d-------- c:\programme\CCleaner
2009-03-14 19:12 . 2006-07-19 12:28 71,936 --a------ c:\windows\system32\drivers\LMouKE.Sys
2009-03-14 19:12 . 2006-07-19 12:27 55,936 --a------ c:\windows\system32\drivers\L8042MOU.SYS
2009-03-14 19:11 . 2008-06-14 18:32 273,024 --------- c:\windows\system32\drivers\bthport.sys
2009-03-14 19:11 . 2006-07-19 12:28 36,736 --a------ c:\windows\system32\drivers\LHidUsbK.sys
2009-03-14 19:11 . 2006-07-19 12:29 27,136 --a------ c:\windows\system32\drivers\LHidKE.Sys
2009-03-14 19:11 . 2006-07-19 12:28 14,848 --a------ c:\windows\system32\drivers\LUsbKbd.sys
2009-03-14 19:11 . 2006-07-19 12:27 13,568 --a------ c:\windows\system32\drivers\L8042Kbd.sys
2009-03-14 19:08 . 2008-04-14 00:17 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-03-14 19:07 . 2009-03-14 19:07 <DIR> d-------- c:\programme\Hewlett-Packard
2009-03-14 19:07 . 2001-08-18 04:54 87,040 --a------ c:\windows\system32\wiafbdrv.dll
2009-03-14 19:07 . 2001-08-18 04:54 87,040 --a--c--- c:\windows\system32\dllcache\wiafbdrv.dll
2009-03-14 19:07 . 2008-04-14 00:15 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2009-03-14 19:06 . 2009-03-14 19:06 <DIR> d-------- c:\programme\IZArc
2009-03-14 19:03 . 2009-03-14 19:04 <DIR> d-------- c:\programme\Winamp
2009-03-14 19:03 . 2009-03-14 19:03 <DIR> d-------- c:\programme\Elaborate Bytes
2009-03-14 19:03 . 2009-03-14 19:04 <DIR> d-------- c:\dokumente und einstellungen\Martin\Anwendungsdaten\Winamp
2009-03-14 19:01 . 2009-03-14 19:01 <DIR> d-------- c:\programme\VideoLAN
2009-03-14 19:00 . 2009-03-14 19:00 <DIR> d-------- c:\programme\xp-AntiSpy
2009-03-14 18:53 . 2009-03-15 19:26 <DIR> d-------- c:\dokumente und einstellungen\Martin\Anwendungsdaten\Miranda
2009-03-14 18:52 . 2009-03-14 18:52 13,646 --a------ c:\windows\system32\wpa.bak
2009-03-14 18:49 . 2009-03-14 18:49 <DIR> d-------- c:\windows\system32\Lang
2009-03-14 18:49 . 2009-03-17 19:43 2,826,272 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-03-14 18:49 . 2009-03-14 18:49 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2009-03-14 18:49 . 2009-03-14 18:49 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2009-03-14 18:49 . 2009-03-17 12:47 36,644 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-03-14 18:46 . 2009-03-14 18:46 <DIR> d-------- c:\programme\Zone Labs
2009-03-14 18:46 . 2009-03-14 18:46 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-03-14 18:45 . 2009-03-14 18:45 <DIR> d-------- c:\windows\tiinst
2009-03-14 18:45 . 2009-03-14 18:45 <DIR> d-------- c:\programme\ltmoh
2009-03-14 18:44 . 2009-03-14 18:44 <DIR> d-------- c:\windows\system32\RTCOM
2009-03-14 18:44 . 2009-03-14 18:44 <DIR> d-------- c:\programme\TOSHIBA
2009-03-14 18:43 . 2009-03-14 18:43 <DIR> d-------- c:\programme\Realtek
2009-03-14 18:43 . 2009-03-16 19:54 <DIR> d--h----- c:\programme\InstallShield Installation Information
2009-03-14 18:43 . 2009-03-14 18:43 <DIR> d-------- c:\programme\DVD-RAM
2009-03-14 18:43 . 2006-05-05 14:59 16,206,848 --a------ c:\windows\RTHDCPL.exe
2009-03-14 18:42 . 2009-03-14 18:49 <DIR> d-------- c:\windows\nview
2009-03-14 18:42 . 2009-03-14 18:42 <DIR> d-------- c:\programme\Synaptics
2009-03-14 18:42 . 2005-04-17 21:20 487,424 --a------ c:\windows\RtlExUpd.dll
2009-03-14 18:42 . 2006-03-02 23:46 191,968 --a------ c:\windows\system32\drivers\SynTP.sys
2009-03-14 18:42 . 2006-05-01 15:06 180,224 --a------ c:\windows\system32\NVUNINST.EXE
2009-03-14 18:42 . 2006-05-01 21:04 180,224 --a------ c:\windows\system32\nvudisp.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-16 18:47 24,576 ----a-w c:\windows\Internet Logs\xDB4.tmp
2009-03-16 17:02 53,760 ----a-w c:\windows\Internet Logs\xDB3.tmp
2009-03-16 13:04 194,048 ----a-w c:\windows\Internet Logs\xDB1.tmp
2009-03-16 13:04 1,462,784 ----a-w c:\windows\Internet Logs\xDB2.tmp
2009-03-14 13:32 --------- d-----w c:\programme\Intel
2009-03-14 13:25 --------- d-----w c:\programme\microsoft frontpage
2009-03-14 13:23 --------- d-----w c:\programme\Online-Dienste
2009-03-14 13:23 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-03-12 15:30 142,504 ----a-w c:\windows\system32\ElbyVCD.dll
2009-03-02 11:41 29,184 ----a-w c:\windows\system32\drivers\VClone.sys
2009-02-17 17:11 24,232 ----a-w c:\windows\system32\drivers\ElbyCDIO.sys
2009-02-17 13:33 89,256 ----a-w c:\windows\system32\ElbyCDIO.dll
2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761948]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2006-08-25 356352]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"NotebookHardwareControl"="c:\programme\Notebook Hardware Control\nhc.exe" [2007-05-04 2629632]
"Logitech Hardware Abstraction Layer"="c:\programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE" [2006-07-19 94208]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-01 7557120]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-17 148888]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 c:\windows\KHALMNPR.Exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-03-15 671744]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^RAMASST.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\RAMASST.lnk
backup=c:\windows\pss\RAMASST.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-05-01 21:04 7557120 c:\windows\system32\nvcpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVRotateSysTray]
--a------ 2006-05-01 21:04 49152 c:\windows\system32\nvsysrot.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
--a------ 2009-01-29 23:11 52392 c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2009-03-09 16:49 37888 c:\programme\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-05-01 21:04 1519616 c:\windows\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-05-05 14:59 16206848 c:\windows\RTHDCPL.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AGRSMMSG"=AGRSMMSG.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [2009-03-15 3712]
S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-03-15 603904]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{058BE40F-A037-FD4B-646E-AEAE989D9A67}]
c:\windows\system32\files\rundlll.exe s
.
Inhalt des "geplante Tasks" Ordners
2009-03-17 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-Ad-Watch - c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
MSConfigStartUp-SunJavaUpdateSched - c:\programme\Java\jre1.5.0\bin\jusched.exe
MSConfigStartUp-SUPERAntiSpyware - c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Martin\Anwendungsdaten\Mozilla\Firefox\Profiles\lop8h53z.default\
---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-17 19:43:18
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|þ»Ñw*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1080)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-03-17 19:44:12
ComboFix-quarantined-files.txt 2009-03-17 18:44:10
Vor Suchlauf: 8.316.506.112 Bytes frei
Nach Suchlauf: 8,303,677,440 Bytes frei
246 --- E O F --- 2009-03-16 21:18:35
Edit: Mittlerweile denke ich echt drüber nach einfach alle Festplatten zu überprüfen,zu formatieren und alles neu zu installieren bzw. zusammenzusuchen.. |
|
17.03.2009, 23:04
| #25 |
| | rundlll.exe in C:\Windows\System32\files Lass uns nochmal was überprüfen: Lade diese Dateien bitte bei Virustotal hoch und lass sie überprüfen Code:
ATTFilter C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
Interessieren würde es mich schon...also Logs bitte posten PS: Deine rundlll.exe ist immer noch da... Sprich dein Freund ist noch aktiv... Geändert von Redwulf (17.03.2009 um 23:22 Uhr) |
|
18.03.2009, 08:46
| #26 |
| | rundlll.exe in C:\Windows\System32\files Morgen, hier AGRSMMSG.exe Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.18 -
AhnLab-V3 5.0.0.2 2009.03.18 -
AntiVir 7.9.0.116 2009.03.18 -
Authentium 5.1.0.4 2009.03.17 -
Avast 4.8.1335.0 2009.03.17 -
AVG 8.0.0.237 2009.03.17 -
BitDefender 7.2 2009.03.18 -
CAT-QuickHeal 10.00 2009.03.18 -
ClamAV 0.94.1 2009.03.18 -
Comodo 1062 2009.03.17 -
DrWeb 4.44.0.09170 2009.03.18 -
eSafe 7.0.17.0 2009.03.17 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.17 -
F-Secure 8.0.14470.0 2009.03.18 -
Fortinet 3.117.0.0 2009.03.18 -
GData 19 2009.03.18 -
Ikarus T3.1.1.45.0 2009.03.18 -
K7AntiVirus 7.10.674 2009.03.17 -
Kaspersky 7.0.0.125 2009.03.18 -
McAfee 5556 2009.03.17 -
McAfee+Artemis 5556 2009.03.17 -
McAfee-GW-Edition 6.7.6 2009.03.18 -
Microsoft 1.4502 2009.03.18 -
NOD32 3944 2009.03.17 -
Norman 6.00.06 2009.03.17 -
nProtect 2009.1.8.0 2009.03.18 -
Panda 10.0.0.10 2009.03.18 -
PCTools 4.4.2.0 2009.03.17 -
Prevx1 V2 2009.03.18 -
Rising 21.21.21.00 2009.03.18 -
Sophos 4.39.0 2009.03.18 -
Sunbelt 3.2.1858.2 2009.03.18 -
Symantec 1.4.4.12 2009.03.18 -
TheHacker 6.3.3.0.283 2009.03.16 -
TrendMicro 8.700.0.1004 2009.03.18 -
VBA32 3.12.10.1 2009.03.17 -
ViRobot 2009.3.18.1653 2009.03.18 -
VirusBuster 4.6.5.0 2009.03.17 -
weitere Informationen
File size: 88204 bytes
MD5...: 0797714f98400d23e3951e33e709a4ce
SHA1..: f47bcdd8f1af13f6e5a8df2edb2a0138d12efd09
SHA256: 690870dd0d1acb4608a6900e6c6043e2c3fc25459b6bcdcd76b571f7469143a2
SHA512: df5ceb5dc1a3bda8e8a477ed11c2a64d7103654969719794808a2c6573c80bd4
9f65d523dfdbb849b3babf945180fc16976ac620a36767852f0a788b47717c91
ssdeep: 1536:F5LEqoNSU4wGEMb8osoJdWXLPDw0r6U90J7z/eeYxQQ4xMoCOf:nLEdWwM8
boJdWXLBT4xMoCOf
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 EXE PECompact compressed (generic) (41.8%)
Win32 Executable MS Visual C++ (generic) (37.9%)
Win32 Executable Generic (8.5%)
Win32 Dynamic Link Library (generic) (7.6%)
Generic Win/DOS Executable (2.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40b4
timedatestamp.....: 0x439dd469 (Mon Dec 12 19:50:01 2005)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7814 0x8000 6.38 e6c79d9ab7453176b19f2d2c93112c78
.rdata 0x9000 0x11ac 0x2000 3.62 551f53b7a23e1c76b1dadde1ae38d9dd
.data 0xb000 0xd158 0x1000 2.93 99532e6bb9e19358737949370c40d705
.rsrc 0x19000 0x13d8 0x2000 2.43 11eb7a829f80b275d02d2105ff716088
( 5 imports )
> KERNEL32.dll: ResetEvent, WaitForSingleObject, GetVersion, SetEvent, DeviceIoControl, CreateEventA, CreateThread, LoadLibraryA, CreateFileA, WaitForMultipleObjects, SetThreadPriority, SetPriorityClass, GetThreadPriority, GetPriorityClass, GetCurrentThread, GetCurrentProcess, CloseHandle, GetTickCount, Sleep, FreeLibrary, FlushFileBuffers, GetStringTypeW, GetStartupInfoA, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, WideCharToMultiByte, FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetModuleFileNameA, UnhandledExceptionFilter, TerminateProcess, IsBadWritePtr, HeapReAlloc, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, ExitProcess, GetCommandLineA, GetStdHandle, GetModuleHandleA, HeapFree, HeapAlloc, GetFileType, RtlUnwind, WriteFile, GetLastError, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, SetStdHandle, GetProcAddress, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA
> USER32.dll: EndPaint, TranslateMessage, TranslateAcceleratorA, GetMessageA, SendMessageA, FindWindowA, GetWindowLongA, SetWindowLongA, MessageBeep, GetDlgItem, SetWindowTextA, GetForegroundWindow, MessageBoxA, SetForegroundWindow, EndDialog, SetTimer, BeginPaint, DispatchMessageA, PostQuitMessage, DefWindowProcA, DestroyWindow, DialogBoxParamA, KillTimer, ShowWindow, CreatePopupMenu, AppendMenuA, GetCursorPos, TrackPopupMenuEx, DestroyMenu, UpdateWindow, PostMessageA, CreateWindowExA, LoadIconA, LoadCursorA, RegisterClassExA, LoadAcceleratorsA
> ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegDeleteValueA, RegOpenKeyExA
> SHELL32.dll: Shell_NotifyIconA
> WINMM.dll: waveInStart, waveInOpen, waveInReset, waveInPrepareHeader, waveInAddBuffer, waveOutRestart, waveInUnprepareHeader, waveOutWrite, waveOutOpen, waveOutReset, waveOutUnprepareHeader, waveOutClose, waveOutPrepareHeader, waveInClose
( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=0797714f98400d23e3951e33e709a4ce' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=0797714f98400d23e3951e33e709a4ce</a>
 ie andere Datei dauert noch sind ca.20 mbEdit 2: Wenn werde da jetzt noch bis 10 Uhr warten,ansonsten nochmals Low-Level-Format,alle Festplatten scannen.Wäre aber schön wenn man rausbekommen könnte in welcher Datei er war/ist. Geändert von SpecialM (18.03.2009 um 09:14 Uhr) |
|
18.03.2009, 09:50
| #27 |
| | rundlll.exe in C:\Windows\System32\files Die Datei ist zu groß,habe es jetzt als txt hochgeladen unter: File-Upload.net - log-RTHDCPL.EXE.txt |
|
18.03.2009, 10:01
| #28 |
| | rundlll.exe in C:\Windows\System32\files Habs mir angeschaut: Das ist vermutlich dein Freund: TR/Dropper.Gen = rundlll.exe Da es sich bei dem Schädling um einen Dropper handelt, kann es sein, dass weitere, ggf. neue und unbekannte Malware auf dem Rechner schlummert. Diese wird dann vermutlich auch nicht erkannt werden. Das heißt, dass nach erfolgter Entfernung des Droppers noch immer Schädlinge an Bord sein können. Wenn du willst können wir noch einen Versuch starten, ansonsten Neuaufsetzen leider....... Bitte schau dir die entsprechenden Hinweise über Neuaufsetzen+Absicherung deines Systems hier im Board vorher an.... |
|
18.03.2009, 10:10
| #29 |
| | rundlll.exe in C:\Windows\System32\files dann werd ich wohl neuinstallieren, denkst du low-level-format ist notwendig oder reicht einfach die Formation im Windows Setup? |
|
18.03.2009, 10:18
| #30 |
| |  rundlll.exe in C:\Windows\System32\files Wie ich dir schon im PM geschrieben habe. Die Anwesenheit des Droppers ist eine üble Sache. Der kann alles mögliche auf deinen PC noch runterladen. Dein MBR ist in Ordnung, aber ich weiss nicht was noch alles zurück bleibt, oder ob sich mittlerweile etwas anderes noch eingenistet hat. Deshalb empfehle ich dir zunächst hier im Forum die Hinweise zum Neuaufsetzen und Absichern deines Systems. Low Level sollte eigendlich alle deine Probleme dann beseitigen. Schade das ich dir nicht mehr weiter helfen konnte. Bitte denke in Zukunft daran, die meisten Fehler werden mit der linken Maustaste gemacht...... @Admin...du kannst diesen Post abschließen |
|
| Themen zu rundlll.exe in C:\Windows\System32\files |
| adobe, bho, defender, excel, file, firefox, helper, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, iexplorer.exe, installation, internet, internet explorer, keine viren, log, löschen, monitor, mozilla, nicht sicher, nvidia, pdfforge toolbar, programme, rundlll.exe, software, system, taskmanager, tuneup.defrag, viren, windows, windows xp |
Linear-Darstellung
