Rundll32.exe fehler abbild nach trojaner + wlan geht auch nicht mehr

mareikat · 12.10.2009, 21:42

Hallo,

antivir hat bei mir mehrere Trojaner auf dem System entdeckt und scheinbar ist alles gellöscht.
Namen der Trojaner: TR/Scar.aakg, TR/Dldr.Zlob.ACWN.1, TR/Dropper.Gen2,
TR/Dldr.Small.anrx
Und ein Backdoorprogrammes BDS/Bredavi.ZQ wurde auch gefunden.

Jetzt bekomme ich aber immer wenn Windows startet die Meldungen, dass
rundll32.exe falsches abbild hat.
Dabei werden zwei Dateien benannt: calc.dll und ntuser.dll.
Scheinbar sind diese aber leer? Wenn ich die einfach in den Mülleimer werfe ist Windows aber auch nicht zufrieden.

Hab nen Hijackthis.log erstellt. Allerdings geht der abgesicherte Modus bei mir auch nicht mehr.

Und mein Wlan läßt sich auch nichtmehr verbinden. Kann das mit den Trojanern zusammenhängen? (Von nem anderen Rechner aus komm ich noch über Wlan rein, das heißt das funktioniert sonst)

Kann mir jemand sagen was ich nun machen soll?

Hier der log

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:24:50, on 12.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\csrcs.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Elantech\ETDCtrl.exe
C:\Programme\Elantech\ETDDect.exe
C:\Programme\EeePC\ACPI\AsTray.exe
C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
C:\Programme\EeePC\ACPI\AsEPCMon.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\net.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://eeepc.asus.com/global
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://eeepc.asus.com/global
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [ETDWareDetect] C:\Programme\Elantech\ETDDect.exe
O4 - HKLM\..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [calc] rundll32.exe C:\WINDOWS\system32\calc.dll,_IWMPEvents@0
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [calc] rundll32.exe C:\DOKUME~1\mareike\ntuser.dll,_IWMPEvents@0
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
O4 - HKCU\..\Run: [Login Software 2009] C:\DOKUME~1\mareike\LOKALE~1\Temp\hyui1c9.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: scandisk.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.lnk = ?
O4 - Global Startup: WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2009\meinsparbuchheute.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8003 bytes

Tausend Dank,

Mareike

grunzer · 12.10.2009, 22:07

Hi,

Logfileauswertung kann ich mit meinen brennenden Augen heute nicht mehr machen. Ich werde mir das morgen mal ansehen (außer jemand anders erbarmt sich

)

Aber zu Deinen dll Fehlern.
Ich vermute mal, daß diese Dateien von den Schadprogrammen verseucht waren, weshalb Avira versucht hat diese zu säubern. Dabei sind die wohl kaputt gegangen.
Du könntest eine Systemreparatur mit der SystemCD versuchen (von CD booten und Reparieren auswählen).

Allerdings bin ich immer sehr vorsichtig bei solchen Themen und würde Dir zu einer Neuinstallation mit vorheriger kompletter Festplattenformatierung raten.
Siehe auch hier:
Trojaner, die dauernd "auferstehen"
oder hier:
hilfe wurde befallen...! TR/Agent.135680
Und das ist auch noch ein interessanter Thread, bei dem vor allem die Beiträge von einem Gastposter namens "Forscher" zu beachten sind:
http://www.netzwelt.de/forum/sicherh...rm-wartet.html

Grüße Grunzer

mareikat · 12.10.2009, 22:33

Danke schon mal...

Komm wohl nicht drum rum, neu zu installieren, denn der Pc bleibt jetzt auch schon dauernd hängen, MIST.

Gibt es denn irgendwo eine Anleitung wie man das macht, da es schon Jahre her ist, dass ich mal meine Festplatte formatiert habe und Windows neu aufgespielt habe.

Und ich muss wohl beide Partitionen meiner Festplatte formatieren, richtig?

Für ein Backup, reicht es auch einfach aus meine persönlichen Daten zu speichern? Und die später von meiner Externen Festplatte rüberzuziehen?

Und wo schalte ich denn die Autorun Funktion aus?

Fragen über Fragen.

Bis morgen.

Mareikat

grunzer · 13.10.2009, 09:45

Guten Morgen,

Beginnen wir mit der letzten Frage und arbeiten und zurück

Zitat:

Und wo schalte ich denn die Autorun Funktion aus?

Klicke auf <Start><Ausführen> und gib "gpedit.msc"
Dort klicke Dich durch die Ordner "Computerkonfiguration -> Administrative-Vorlagen -> System"
Dort gibt es die Direktive "Autoplay deaktivieren". Das muß eingeschalten werden.

Das solltest Du unbedingt vorher machen. "Vorher" im Sinne von nach der Installation und vor der Rücksicherung Deiner Daten (auch schon vor dem ersten Anstecken der Platten).
Was uns aber schon in die Nähe Deiner nächsten Frage bringt:

Zitat:

Für ein Backup, reicht es auch einfach aus meine persönlichen Daten zu speichern? Und die später von meiner Externen Festplatte rüberzuziehen?

Für Daten an sich (Tabellen, Bilder, Musik usw) reicht das durchaus. Am besten scannst Du mit einem Antivirenprogramm die Sicherung vor und nach der Neuinstallation des Systems vollständig.
Dazu mußt Du noch an weitere Dinge denken:

Lesezeichen und Favoriten aus dem Browser usw sichern
Schreib Dir auf, welche Software jetzt auf Deinem Rechner ist und von welcher Website sie zu beziehen ist (bzw CD raussuchen). Das spart eine Menge Zeit. Denn Programme müssen meist neu installiert werden und können nicht so wie Daten kopiert werden.
Lasse Windows erst mal seine Sicherheitsupdates ziehen und installiere den Virenscanner bevor Du irgendwelche anderen Daten anfaßt!
weiteres was mit grad nicht einfällt

Zitat:

Und ich muss wohl beide Partitionen meiner Festplatte formatieren, richtig?

Nicht unbedingt.
Theoretisch reicht es aus einen "fdisk /mbr" zu machen und c:\ vollständig zu formatieren (letzteres während der Installation).
Allerdings mußt Du unbedingt mit den Daten auf der weiteren Partition so verfahren wie ich oben zu den Daten auf der Externen Platte geschrieben hatte (Virenüberprüfung!) und bei der Neuinstallation darf das LW nicht kaputt partitioniert werden (also einfach nicht anfassen).
Ich gehe aber lieber so vor:
Linux LiveCD rein nach der Sicherung aller Daten auf ein externes Medium. Dort rufe ich dann einfach den dd Befehl auf und warte bis er mir die ganze Platte komplett geleert hat.
Es müßte dann wohl so lauten (Achtung mit der Platte: Es könnte bei Dir auch hdb oder sda usw heißen) dd if=/dev/zero of=/dev/hda bs=65536

Zitat:

Gibt es denn irgendwo eine Anleitung wie man das macht, da es schon Jahre her ist, dass ich mal meine Festplatte formatiert habe und Windows neu aufgespielt habe.

Der kürzeste Weg ist wohl nach der Datensicherung die SystemCD ins CD Laufwerk zu legen und das System von der CD zu starten (Boot von CD).
Wenn das Setup ausgeführt wird kommen Fragen zur Partitionierung und Formatierung. Hierbei mußt Du eigentlich nur lesen was da gefragt wird und das für Dich zutreffende dann einstellen. Denke an die Einstellung "vollständig formatieren"; nicht "quick".
Den Rest sollte das System dann schon machen...

Soweit erst mal
Logfile im nächsten Post!

grunzer · 13.10.2009, 10:23

Zitat:

C:\WINDOWS\system32\csrcs.exe

Unbedingt mit dem Taskmanager killen den Prozess und dann
das

Zitat:

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

fixen lassen.
Das ist mit größter Wahrscheinlichkeit ein Schadprogramm csrcs.exe - Was ist csrcs.exe?

Zitat:

C:\WINDOWS\system32\net.exe

Lade diese Datei mal auf folgender Seite hoch um sie überprüfen zu lassen. zB hier: NoVirusThanks - Free Online Virus & Malware Scan Service

Wegen Deine beiden Fehlermeldungen müssen auch noch diese Einträge gefixt werden:

Zitat:

O4 - HKLM\..\Run: [calc] rundll32.exe C:\WINDOWS\system32\calc.dll,_IWMPEvents@0
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe

Ich höre jetzt hier auf. Diese Dinge wenn Du gefixt hast wird vermutlich Dein Rechner wieder so laufen wie vor dem Virus. Weitere Aufräumaktionen halte ich speziell in Deinem Fall aber für nicht sinnvoll (Toolbars entfernen, unnötige automatisch startende Programme und die "no file"). Aber wie lange?! Ein System, das so kompromittiert wurde hat meist Hintertüren (veränderte Systemdateien/Systemeinstellungen), die dadurch nicht behoben werden.

Ich würde Dir raten die hier genannten Dinge zu fixen. Dann Rechnerneustart um dann mit dem Backup und der Neuinstallation zu beginnen...

Grüße
Grunzer

PS: Bei weiteren Fragen, stell sie ruhig! Ich weiß, daß ich mich nicht immer 100%ig klar ausdrücken kann

mareikat · 13.10.2009, 23:50

Hallo Grunzer,

tausend dank für Deine sehr ausführlichen Antworten. Morgen hab ich meine Externe Festplatte und dann gehts mit Papier und Stift und CDs
den Trojanern an den Kragen. Bin gespannt wies läuft

Dann noch die vorerst letze Frage, was für einen anderen Virenscanner könnte ich noch drüber laufen lassen außer Antivir? Oder reicht das?

Liebe Grüße,

Mareike

grunzer · 14.10.2009, 08:51

Zitat:

Dann noch die vorerst letze Frage, was für einen anderen Virenscanner könnte ich noch drüber laufen lassen außer Antivir?

Hmmm...
http://www.netzwelt.de/news/78573-si...enscanner.html

Zwei Virenscanner nebeneinander installiert werden Dir mehr Probleme machen, als die sie lösen!
Was Du natürlich zusätzlich machen kannst ist einen weiteren verwenden der keine "Onaccess-Engine" hat. Also nur auf Anforderung scannt.
Aber glaub mir der Vorteil sollte sich im Promillebereich abspielen

Was Du auf jeden Fall machen kannst ist das hier:
http://www.netzwelt.de/news/78320-be...vergleich.html

Ich bleibe trotzdem bei dem Tipp: Neu installieren

Zitat:

Oder reicht das?

Das Thema ist ein ziemliches Streitthema (es gibt Antivirenscannergegner, welche die nur auf gekaufte Produkte setzen und natürlich auch welche, die niemals was anderes nutzen würden als einen Freewarescanner).
Avira schneidet bei den Scannertest immer ziemlich gut ab. Deshalb würde ich ihn auch empfehlen. Allerdings heißt das nicht, daß man sein Hirn abschalten sollte und auf alles klicken darf was einem unter die Maus kommt.

Besonders wichtig ist es alle seine Programme auf dem aktuellen Stand zu halten (Betriebssytem und alle anderen Tools).
Ein wirklich gut funktionierender Tipp ist auch immer: "nicht mit der Administrationskennung arbeiten". Sich also einen eingeschränkten Nutzer anzulegen.
Für die meisten Tätigkeiten (Surfen, Mail, Scannen, Bilder bearbeiten/archivieren, Büroarbeiten.....) reicht die völlig aus und ein Virus tut sich ungleich schwerer.
Man hat dann zwar den Umstand, daß man sich ummelden muß wenn man was installieren will, aber das finde ich den Sicherheitsgewinn geschuldet durchaus angebracht! Gerade wenn man den Rechner neu installiert, dann konfiguriert man seine Programme gleich in der neuen Kennung. Somit bleiben die in der Adminkennung unbenutzt und man zwingt sich selber die richtige Kennung zu verwenden...

Grüße Grunzer

Nachtrag:
Microsoft liefert an jedem Patchday sein "Windows-Tool zum entfernen bösartiger Software" aus.
Das kann man auch einfach mal laufen lassen (vollständig). Hierzu einfach unter <Start><Ausführen> "mrt" ohne Gänsefüßchen reinschreiben und dem Assistenten folgen.
Ob es was bringt wird sich zeigen