Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: rundlll.exe in C:\Windows\System32\files

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.03.2009, 08:01   #1
SpecialM
 

rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



Guten Morgen zusammen,

vor 2-3 Tagen wurde mein Rechner extrem warm.NHC zeigt mir Temperaturen von jenseits 80° an (Notebook) und eine totale Auslastung. Im Taskmanager hatte ich immer eine iexplorer.exe welche sich nicht löschen lassen konnte.

Daraufhin habe ich den Rechner vom Netz getrennt und mit Bitdefener überprüfen lassen.

Der fand im Ornder C:\Windows\System32\files\rundlll.exe einen Backdoor.

Da mir das einfache Löschen nicht sicher genug war,habe ich formatiert,nach 2-3 Stunden gab es plötzlich wieder diese Datei. Hochgeladen und getestet wurde sie als ein Backdoor für Steam-ID's gesehen und als Genpack.backdoor.bifrose.adr....

Daraufhin habe ich nochmals Formatiert, allerdings dann mit einem Low-Level-Format.

Am gestrigen Tage habe ich die Installation von Word etc. vervollständigt und mal zur Abwechslung in den System32 Ordner geschaut. Wieder befand sich dort diese besagte rundlll.exe mit 3 L's,habe sie daraufhin mit TuneUp 2009 geschreddert.

Grade habe ich Bitdefender nochmals durchlaufen lassen, keine Viren gefunden,hier mein HijackThis log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:33:15, on 16.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1005MC.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
D:\Miranda\miranda32.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
E:\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4796 bytes


Gruß Martin

Edit:
diese blöde PDFtoolbar habe ich grad runterschmissen, ka wobei die installiert war. Nachdem ich die rundlll.exe gelöscht habe habe ich neugestartet und im System32 ist sie nicht mehr zu finden.

Geändert von SpecialM (16.03.2009 um 08:13 Uhr)

Alt 16.03.2009, 12:38   #2
Redwulf
 
rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



Hallo Martin und

Um dir kompetent bei deinem Problem zu Seite stehen zu können, benötigen wir Informationen. Bitte lies dir diese Anleitung durch.

Dein Hijack this Logfile scheint nicht mehr aktuell. Bitte führe die Vorarbeiten nach der Anleitung aus und poste die notwendigen Logs.
__________________


Alt 16.03.2009, 15:03   #3
SpecialM
 

rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



Hallo danke für die Hinweise,dachte eig ich habe alles soweit richtig gemacht


also CCleaner habe ich gemacht
1. Mein aktueller HijackThis Bericht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:41:02, on 16.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Softwin\BitDefender10\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
D:\Miranda\miranda32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
E:\HiJackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 4890 bytes

2. Malware Anti-Malware:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1854
Windows 5.1.2600 Service Pack 2

16.03.2009 16:01:15
mbam-log-2009-03-16 (16-01-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 90699
Laufzeit: 13 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\addon.dat (Malware.Trace) -> Quarantined and deleted successfully.

Liste aller installierten Programme:
Adobe Flash Player 10 Plugin
Adobe Reader 7.0.8 - Deutsch
BitDefender Free Edition v10
CCleaner (remove only)
Compatibility Pack für 2007 Office System
DeepBurner v1.9.0.228
DVD-RAM-Treiber
HijackThis 2.0.2
ImgBurn
IZArc 3.81
J2SE Runtime Environment 5.0
KhalSetup
Logitech SetPoint
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.7)
Notebook Hardware Control 2.0 Pre-Release-06 Bugfix
NVIDIA Drivers
PDFCreator
Realtek High Definition Audio Driver
Sicherheitsupdate für Windows XP (KB923789)
Spybot - Search & Destroy
Synaptics Pointing Device Driver
Texas Instruments PCIxx21/x515/xx12 drivers.
TOSHIBA Hotkey Utility
TOSHIBA Software Modem
TuneUp Utilities 2009
VirtualCloneDrive
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
VLC media player 0.9.8a
Winamp
Windows Media Format Runtime
xp-AntiSpy 3.97-2
ZoneAlarm
__________________

Geändert von SpecialM (16.03.2009 um 15:31 Uhr)

Alt 16.03.2009, 16:44   #4
SpecialM
 

rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



keiner ne Ahnung? habe Malware noch nochmal drüber laufen lassen nachdem ich aufgefordert wurde neu zu starten. im System32 ist weiterhin keine rundlll.exe mehr zu finden, und auch das antimalware Programm findet nichts,ebenso Spybot und Bitdefender

Alt 17.03.2009, 08:03   #5
Redwulf
 
rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



Zunächst ist noch einiges in deinem System im Argen. Malware.Trance kann alles bedeuten....vom Trojaner bis zum Wurm.... Auch wenn Malwarebytes es augenscheinlich für dich entfernt hat, muss dies nicht bedeuten, dass die Schadware auch tatsächlich beseitigt wurde.
Lösche die Quarantäne von Malwarebytes....

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall wahrscheinlich unbrauchbar..

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Update dein XP auf SP3. Das ist wichtig!!!Java ist total veraltet und anfällig.
Lade hier die neueste Version herunter. Lösche zuvor in System/Software deine alte Java Version.

Hiernach setzt du nochmals CCleaner ein.

Lade dir nun mbr.exe herunter und lasse dieses Programm laufen. Es überprüft den Masterboot Record deiner Festplatte. Poste das Ergebnis hier:

Hiernach lädst du die Datei thotkey.exe auf deinem Pfad
Code:
ATTFilter
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
         
zu Virustotal.com hoch und lässt die Datei überprüfen. Auch wenn dort steht, dass diese Datei bereits überprüft wurde. Poste das Ergebnis, vor allem mit den Angaben zu Prüfsummen, Hashes, MD 5 hier.

Danach lädst du dir bitte SuperAntiSpyware runter und lässt es laufen. Poste das Ergebnis bitte hier. ( Code tags nicht vergessen )

Last but not least holst du dir das Programm Gmer. Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.

Danach sehen wir weiter......


Geändert von Redwulf (17.03.2009 um 08:10 Uhr)

Alt 17.03.2009, 08:36   #6
SpecialM
 

rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



Teil 1:

Guten Morgen,

die Schritte habe ich soweit befolgt, SP3 hab ich gestern schon aufgespielt,allerdings kann CCleaner die Datei C:\WINDOWS\Internet Logs\ZALog.txt nicht löschen.


MBR
Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
THotkey.exe
Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.101	2009.03.17	-
AhnLab-V3	5.0.0.2	2009.03.16	-
AntiVir	7.9.0.116	2009.03.17	-
Authentium	5.1.0.4	2009.03.17	-
Avast	4.8.1335.0	2009.03.16	-
AVG	8.0.0.237	2009.03.16	-
BitDefender	7.2	2009.03.17	-
CAT-QuickHeal	10.00	2009.03.17	-
ClamAV	0.94.1	2009.03.17	-
Comodo	1060	2009.03.16	-
DrWeb	4.44.0.09170	2009.03.17	-
eSafe	7.0.17.0	2009.03.15	-
eTrust-Vet	31.6.6388	2009.03.09	-
F-Prot	4.4.4.56	2009.03.16	-
F-Secure	8.0.14470.0	2009.03.17	-
Fortinet	3.117.0.0	2009.03.17	-
GData	19	2009.03.17	-
Ikarus	T3.1.1.45.0	2009.03.17	-
K7AntiVirus	7.10.673	2009.03.16	-
Kaspersky	7.0.0.125	2009.03.17	-
McAfee	5555	2009.03.16	-
McAfee+Artemis	5555	2009.03.16	-
McAfee-GW-Edition	6.7.6	2009.03.17	-
Microsoft	1.4405	2009.03.17	-
NOD32	3941	2009.03.17	-
Norman	6.00.06	2009.03.16	-
nProtect	2009.1.8.0	2009.03.17	-
Panda	10.0.0.10	2009.03.16	-
PCTools	4.4.2.0	2009.03.16	-
Prevx1	V2	2009.03.17	-
Rising	21.21.11.00	2009.03.17	-
Sophos	4.39.0	2009.03.17	-
Sunbelt	3.2.1858.2	2009.03.17	-
Symantec	1.4.4.12	2009.03.17	-
TheHacker	6.3.3.0.283	2009.03.16	-
TrendMicro	8.700.0.1004	2009.03.17	-
VBA32	3.12.10.1	2009.03.16	-
ViRobot	2009.3.17.1651	2009.03.17	-
VirusBuster	4.6.5.0	2009.03.16	-
weitere Informationen
File size: 356352 bytes
MD5...: fcb066dc8607f9713b9060166d6cab3a
SHA1..: 304a2f2ac293b49fd5c9495b145ef6b033ffc5ce
SHA256: 62e73efb86c38d5cb9559ee8c4e37b6da92f6606e92bd49fe9c05eb9c784cb32
SHA512: 39cef0b63636ff0dd4524c746717250f0de0cd1f1b78efca8aa346881de3cba4
427cb3582565012d11e8afdf92a675c5d546dc1c9a099c62055547500c95d274
ssdeep: 3072:eGobPn5rK0vD0lYfNVn9BIs0GXXGiT97QBB+DK1ArNl65kdgboebQV6a5t2
w1/w6:V8nxBL0l8Vn9Gs0cwB+DKal651m
PEiD..: -
TrID..: File type identification
Win32 Executable Microsoft Visual Basic 6 (86.2%)
Win32 Executable Generic (5.8%)
Win32 Dynamic Link Library (generic) (5.1%)
Generic Win/DOS Executable (1.3%)
DOS Executable Generic (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x47e0
timedatestamp.....: 0x44ee8edf (Fri Aug 25 05:47:11 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x337d4 0x34000 6.00 9fd89b18b15d9f68fe16dcdb523240b7
.data 0x35000 0x26ec 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x38000 0x207b0 0x21000 4.87 1cc525bc84f3b134f84ff56eeaf4186c

( 1 imports )
> MSVBVM60.DLL: __vbaVarTstGt, __vbaVarSub, __vbaStrI2, __vbaVargParmRef, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaVarVargNofree, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaVarIdiv, __vbaFreeVarList, _adj_fdiv_m64, __vbaVarIndexStore, __vbaNextEachVar, __vbaFreeObjList, -, __vbaStrErrVarCopy, -, __vbaVarIndexLoadRef, _adj_fprem1, __vbaRecAnsiToUni, -, __vbaCopyBytes, __vbaForEachCollAd, __vbaStrCat, __vbaLsetFixstr, -, __vbaSetSystemError, __vbaRecDestruct, __vbaLenBstrB, __vbaHresultCheckObj, -, _adj_fdiv_m32, __vbaVarTstLe, __vbaAryDestruct, __vbaLateMemSt, -, -, __vbaForEachCollObj, -, -, __vbaOnError, __vbaObjSet, _adj_fdiv_m16i, -, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaVarIndexLoad, -, -, -, __vbaStrFixstr, -, -, __vbaRefVarAry, __vbaBoolVarNull, _CIsin, -, __vbaErase, -, __vbaNextEachCollObj, __vbaVarZero, __vbaChkstk, EVENT_SINK_AddRef, -, __vbaStrCmp, __vbaVarTstEq, __vbaAryConstruct2, -, DllFunctionCall, __vbaVarLateMemSt, __vbaVarOr, __vbaCastObjVar, __vbaLbound, __vbaRedimPreserve, _adj_fpatan, __vbaLateIdCallLd, __vbaRedim, __vbaUI1ErrVar, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaNew, -, _CIsqrt, __vbaObjIs, __vbaVarAnd, -, EVENT_SINK_QueryInterface, __vbaVarMul, __vbaExceptHandler, -, -, -, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, __vbaI2Str, -, -, -, -, __vbaVarCmpLe, __vbaFPException, -, -, __vbaInStrVar, -, __vbaStrVarVal, __vbaUbound, __vbaVarCat, -, __vbaI2Var, -, -, __vbaExitEachVar, _CIlog, __vbaInStr, __vbaNew2, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaI4Str, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaVarTstNe, __vbaI4Var, __vbaVarCmpEq, __vbaLateMemCall, __vbaVarAdd, __vbaAryLock, -, __vbaStrToAnsi, __vbaVarDup, -, __vbaFpI4, __vbaVarCopy, -, __vbaLateMemCallLd, -, __vbaRecDestructAnsi, _CIatan, __vbaI2ErrVar, __vbaStrMove, __vbaCastObj, -, __vbaForEachVar, -, _allmul, __vbaLenVarB, -, _CItan, __vbaNextEachCollAd, __vbaUI1Var, __vbaAryUnlock, _CIexp, __vbaFreeObj, __vbaFreeStr, __vbaI4ErrVar

( 0 exports )
         

Alt 17.03.2009, 08:48   #7
Redwulf
 
rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



Lade die datei

C:\WINDOWS\Internet Logs\ZALog.txt

bitte mal zu Virustotal.com hoch und poste dann hier...

Alt 17.03.2009, 08:53   #8
SpecialM
 

rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



ZALog.txt

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.101	2009.03.17	-
AhnLab-V3	5.0.0.2	2009.03.16	-
AntiVir	7.9.0.116	2009.03.17	-
Authentium	5.1.0.4	2009.03.17	-
Avast	4.8.1335.0	2009.03.16	-
AVG	8.0.0.237	2009.03.16	-
BitDefender	7.2	2009.03.17	-
CAT-QuickHeal	10.00	2009.03.17	-
ClamAV	0.94.1	2009.03.17	-
Comodo	1060	2009.03.16	-
DrWeb	4.44.0.09170	2009.03.17	-
eSafe	7.0.17.0	2009.03.15	-
eTrust-Vet	31.6.6388	2009.03.09	-
F-Prot	4.4.4.56	2009.03.16	-
F-Secure	8.0.14470.0	2009.03.17	-
Fortinet	3.117.0.0	2009.03.17	-
GData	19	2009.03.17	-
Ikarus	T3.1.1.45.0	2009.03.17	-
K7AntiVirus	7.10.673	2009.03.16	-
Kaspersky	7.0.0.125	2009.03.17	-
McAfee	5555	2009.03.16	-
McAfee+Artemis	5555	2009.03.16	-
McAfee-GW-Edition	6.7.6	2009.03.17	-
Microsoft	1.4405	2009.03.17	-
NOD32	3941	2009.03.17	-
Norman	6.00.06	2009.03.16	-
nProtect	2009.1.8.0	2009.03.17	-
Panda	10.0.0.10	2009.03.16	-
PCTools	4.4.2.0	2009.03.16	-
Prevx1	V2	2009.03.17	-
Rising	21.21.11.00	2009.03.17	-
Sophos	4.39.0	2009.03.17	-
Sunbelt	3.2.1858.2	2009.03.17	-
Symantec	1.4.4.12	2009.03.17	-
TheHacker	6.3.3.0.283	2009.03.16	-
TrendMicro	8.700.0.1004	2009.03.17	-
VBA32	3.12.10.1	2009.03.16	-
ViRobot	2009.3.17.1651	2009.03.17	-
VirusBuster	4.6.5.0	2009.03.16	-
weitere Informationen
File size: 3696 bytes
MD5...: 077576fe04739b71816438ef109cecb7
SHA1..: 1690e108114de4b31a1d92a427495d7b2193f214
SHA256: 32311921f7f0a292680741dbca6facd940e0e501a1ac026733d07928a495a321
SHA512: 12b1f954a051a13f6b965c6a2fa9d5fb3e2b078fed029ce259462c5c7f41f617
10483689b111463a7dc86998820595e37c841ecb68c9afc900c697f479e447e9
ssdeep: 96:XfJI/2DhxFx1PkfOtfbtfcfMiPzVDVCEY9MY9b:BuaxFxQOtbtuMiPzVDVY9M
Y9b
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
         

Alt 17.03.2009, 08:58   #9
SpecialM
 

rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



Superantispyware:
Code:
ATTFilter
SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 03/17/2009 bei 09:56 AM

Version der Applikation : 4.25.1014

Version der Kern-Datenbank : 3799
Version der Spur-Datenbank : 1754

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:19:32

Gescannte Speicherelemente  : 515
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 4505
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 15152
Erfasste Datei-Elemente   : 0
         

Alt 17.03.2009, 09:06   #10
Redwulf
 
rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



Code:
ATTFilter
Last but not least holst du dir das Programm Gmer. Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.
         
Musst du noch nachholen. ich habe die Befürchtung das irgendwas aktiv ist bei dir und was aus dem Internet nachgeladen wird. Stelle bitte sicher, dass deine Systemwiederherstellung deaktiviert ist. Lösche den Inhalt deines Papierkorbs auch noch vorher.....

Der Fund von Malware.Trance indiziert auf jeden Fall einen Befall, wir müssen nur noch rausfinden was es ist und obs noch da ist....

ZA Log txt ist ein Logfile von Zonealarm, ich persönlich würde Zonealarm nicht nutzen, ich bleibe lieber bei meiner Windows Firewall...

Geändert von Redwulf (17.03.2009 um 09:16 Uhr)

Alt 17.03.2009, 09:16   #11
SpecialM
 

rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



gmer bin ich grad dran, dauert schon seit 15 Minuten an. Habe auch alle 3 Partitionen von mir angeklickt, ich frage mich nur woher das gekommen soll. Die Programme die ich installiert habe nach der Formation benutze ich schon min. 2 Jahre,nie ein problem gewesen. Wenn wir jetzt wieder nix finden werde ich wohl nochmals nen Low-Level-Format machen und Windows erneut installieren.

Alt 17.03.2009, 09:22   #12
Redwulf
 
rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



Lass uns erst mal einen Blick auf das GMER Log werfen...
Gute Frage, wie fängt man sich so was ein. Mögliche Quellen sind Peer to Peer Verbindungen bis hin zu Emails die man öffnet. Ich kanns dir nicht sagen. Wird auch nicht möglich sein, dass noch herauszufinden.

Wir sind noch nicht am Ende, lass uns erst mal einen Blick drauf werfen und danach packen wir mal einen Hammer aus .....

Alt 17.03.2009, 09:41   #13
SpecialM
 

rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



das dauert und dauert

Alt 17.03.2009, 09:43   #14
Redwulf
 
rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



yup, ich bin hier

Alt 17.03.2009, 10:02   #15
SpecialM
 

rundlll.exe in C:\Windows\System32\files - Standard

rundlll.exe in C:\Windows\System32\files



so,erster Durchlauf war ohne Probleme,dachte natürlich das der das irgendwo zwischenspeichert,pustekuchen,egal nochmal, als Student hat man ja Zeit

@RedWulf
sorry wenn ich jetzt was persönliches frage aber bist du Gladbachfan? (Leite ich jetzt aus deinem Wohnort ab), wenn ja willkommen im Club :aplaus:

Antwort

Themen zu rundlll.exe in C:\Windows\System32\files
adobe, bho, defender, excel, file, firefox, helper, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, iexplorer.exe, installation, internet, internet explorer, keine viren, log, löschen, monitor, mozilla, nicht sicher, nvidia, pdfforge toolbar, programme, rundlll.exe, software, system, taskmanager, tuneup.defrag, viren, windows, windows xp



Ähnliche Themen: rundlll.exe in C:\Windows\System32\files


  1. Log Files Beurteilung: insb. Vorgehen bei Meldung in Log Files "Files to move or delete:..."
    Log-Analyse und Auswertung - 20.05.2014 (15)
  2. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  3. Malware-gen in C:\Windows\System32\services.exe Windows 7 Service Pack 1 x86 NTFS
    Log-Analyse und Auswertung - 11.11.2012 (13)
  4. incredibar eingefangen/ DLL C:\Windows\system32\MSCTF.dll ist keine gültige windows datei
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (22)
  5. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (19)
  6. TR/ATRAPS.Gen2, TR/Sirefef.16896 (in C:\Windows\Installer\...) und W32/Patched.UA (C:\Windows\System32\services.exe)
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (5)
  7. O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSetting
    Mülltonne - 02.07.2012 (0)
  8. Windows blockiert // OTL Files am Start
    Plagegeister aller Art und deren Bekämpfung - 12.04.2012 (23)
  9. Windows gesperrt, 50 € zahlen, Log-Files
    Log-Analyse und Auswertung - 30.03.2012 (7)
  10. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  11. Windows Diagnostic wirklich entfernt? - Log files
    Plagegeister aller Art und deren Bekämpfung - 24.03.2011 (16)
  12. Viren wie runDlll.exe, AvProtector.exe usw.Taskmanager startet nicht, Firewall nach neustart inaktiv
    Log-Analyse und Auswertung - 25.11.2010 (16)
  13. runDlll.exe,AvProtector.exe,win32Runtime.exe,scvhost.exe Virus nicht löschbar
    Log-Analyse und Auswertung - 20.11.2010 (5)
  14. /Windows/system32/config/system - Fehler mit Windows und beim Starten des PCs.
    Alles rund um Windows - 25.04.2010 (4)
  15. C:\Program Files\Windows Install\csrss.exe
    Log-Analyse und Auswertung - 17.03.2010 (4)
  16. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)

Zum Thema rundlll.exe in C:\Windows\System32\files - Guten Morgen zusammen, vor 2-3 Tagen wurde mein Rechner extrem warm.NHC zeigt mir Temperaturen von jenseits 80° an (Notebook) und eine totale Auslastung. Im Taskmanager hatte ich immer eine iexplorer.exe - rundlll.exe in C:\Windows\System32\files...
Archiv
Du betrachtest: rundlll.exe in C:\Windows\System32\files auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.