rundll32.exe schießt in die höhe??

john.doe · 27.08.2009, 20:18

Hast du die Funde von Malwarebytes auch löschen lassen? Da steht No action taken.

ciao, andreas

michael112 · 27.08.2009, 20:22

Zitat:

Zitat von john.doe

Hast du die Funde von Malwarebytes auch löschen lassen? Da steht No action taken.

ciao, andreas

ja, das habe ich.. Ich habe, nachdem dieser Bericht kam, die Einträge löschen lassen und das System neugestartet!!!

Übrigens, das sagt mir jetzt mein Avira AntiVir Programm:

In der Datei 'C:\Windows\Temp\vmnxpjlfmm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] gefunden

john.doe · 27.08.2009, 20:28

Schon wieder ein neues Rootkit.

1.) Deinstalliere vorab:

TuneUp
Unlocker
SpyHunter
Softonic_Deutsch Toolbar

2.) http://www.trojaner-board.de/74908-a...t-scanner.html

ciao, andreas

michael112 · 27.08.2009, 21:02

Ich habe deine Anweisungen befolgt: ( Leider steigt wieder rundll32.exe beim Neustart, musste den Prozess erneut beenden..)

Gibs denn bei dem Programm keine "Reinigung"? Also ich habs gescannt und den File hier kopiert, aber ich wußte nicht, wie ich diese Rootkits beseitigen soll??

Hier File:

GMER 1.0.15.15077 [xczjgt76.exe] - http://www.gmer.net
Rootkit scan 2009-08-27 21:53:58
Windows 6.0.6001 Service Pack 1

---- System - GMER 1.0.15 ----

Code 86F4F2D8 ZwEnumerateKey
Code 86F542E8 ZwFlushInstructionCache
Code 86F6F2FE ZwSaveKey
Code 86EF42D6 ZwSaveKeyEx
Code 86F6446D IofCallDriver
Code 86F672BE IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCompleteRequest 8243DFE2 5 Bytes JMP 86F672C3
.text ntkrnlpa.exe!IofCallDriver 824BFF6F 5 Bytes JMP 86F64472
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 825B630B 5 Bytes JMP 86F542EC
PAGE ntkrnlpa.exe!ZwEnumerateKey 8260BBA2 5 Bytes JMP 86F4F2DC
PAGE ntkrnlpa.exe!ZwSaveKey 82659523 5 Bytes JMP 86F6F302
PAGE ntkrnlpa.exe!ZwSaveKeyEx 8265962A 5 Bytes JMP 86EF42DA

---- User code sections - GMER 1.0.15 ----

.text C:\Windows\Explorer.EXE[1864] ntdll.dll!LdrLoadDll 76E17933 5 Bytes JMP 007C000A

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service C:\Windows\system32\drivers\kbiwkmkfnxuwli.sys (*** hidden *** ) [SYSTEM] kbiwkmneitsenw <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6b421a6b
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6b421a6b@001e45c2589b 0x17 0xF3 0x77 0x2A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw@imagepath \systemroot\system32\drivers\kbiwkmkfnxuwli.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main@aid 10058
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main@sid 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main@cmddelay 14400
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main\delete
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main\injector
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main\injector@* kbiwkmwsp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main\tasks
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\modules@kbiwkmrk.sys \systemroot\system32\drivers\kbiwkmkfnxuwli.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\modules@kbiwkmcmd.dll \systemroot\system32\kbiwkmxeosoxkt.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\modules@kbiwkmlog.dat \systemroot\system32\kbiwkmgemsxayc.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\modules@kbiwkmwsp.dll \systemroot\system32\kbiwkmpquiqxdt.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\modules@kbiwkm.dat \systemroot\system32\kbiwkmerbyedfh.dat
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001a6b421a6b (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001a6b421a6b@001e45c2589b 0x17 0xF3 0x77 0x2A ...
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw@imagepath \systemroot\system32\drivers\kbiwkmkfnxuwli.sys
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main@aid 10058
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main@sid 0
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main@cmddelay 14400
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main\delete (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main\injector (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main\injector@* kbiwkmwsp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main\tasks (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\modules@kbiwkmrk.sys \systemroot\system32\drivers\kbiwkmkfnxuwli.sys
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\modules@kbiwkmcmd.dll \systemroot\system32\kbiwkmxeosoxkt.dll
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\modules@kbiwkmlog.dat \systemroot\system32\kbiwkmgemsxayc.dat
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\modules@kbiwkmwsp.dll \systemroot\system32\kbiwkmpquiqxdt.dll
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\modules@kbiwkm.dat \systemroot\system32\kbiwkmerbyedfh.dat

---- EOF - GMER 1.0.15 ----

john.doe · 27.08.2009, 21:12

Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr hohem Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du dich für Bereinigen entscheiden, auch wenn es länger dauern wird, dann beginne mit ComboFix.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

michael112 · 27.08.2009, 21:18

Gut, dann werd ich den Rechner wohl formatieren müssen!

Alles klar, vielen Dank für die Mühe!!!!

Liebe Grüße

john.doe · 27.08.2009, 21:19

Dann kann ich dich entlassen.

ciao, andreas

rundll32.exe schießt in die höhe??

Plagegeister aller Art und deren Bekämpfung: rundll32.exe schießt in die höhe??