Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Schädliche Dlls

Tiischa / 12 Antworten / Baumansicht Nickles

Hi,
ich habe mir wohl gestern ein sehr ärgerliches Virus eingefangen. In meinem Systemstart sehe ich, dass mit rundll32 eine dll aus meinem windows/system32 Ordner gestartet wird. Mein Computer ist mittlerweile auch unglaublich langsam und öffnet außerdem ständig popups. Das Hauptproblem ist jetzt, dass die auftauchenden dlls nicht in diesem Ordner zu finden sind, auch nicht als versteckte Dateien. Außerdem scheint es diese files ständig umzubennen, folgende kamen darin schon vor:
kuyobatipo
hutijezu
rumerubo
rolijugu
penitoro
jebufijo
fujobila

und noch ein paar andere. Ich habe aber zu google nichts verwertbares unter diesen Namen gefunden. Vielleicht hat einer von euch das gleiche Problem schon gehabt. Auch im abgesicherten Modus lässt sich das Problem leider nicht beheben, da Einträge in der Registry auch immer sofort wiederhergestellt werden (Systemwiederherstellung ist deaktiviert). Hab keine Lust Windows neu aufzuspielen, also vielleicht hat jemand eine gute Idee.

Hier noch mein logFile:
----------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:58:11, on 06.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\System32\WLTRYSVC.EXE
D:\WINDOWS\System32\bcmwltry.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
D:\Programme\ICQ6\ICQ.exe
D:\Programme\Skype\Phone\Skype.exe
D:\WINDOWS\system32\ctfmon.exe
D:\DOKUME~1\Marco\LOKALE~1\Temp\RtkBtMnt.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Programme\Lavasoft\Ad-Aware\AAWService.exe
D:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcrobatInfo.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: {2052e14c-1d30-40c9-e7d4-f0403dbc2592} - {2952cbd3-040f-4d7e-9c04-03d1c41e2502} - D:\WINDOWS\system32\wgflod.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {ca83ee56-7688-4416-9147-4ca6808d5265} - D:\WINDOWS\system32\zebekeli.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AzMixerSel] D:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ATICCC] "D:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CPM0f36ffcb] Rundll32.exe "d:\windows\system32\rolijugu.dll",a
O4 - HKLM\..\Run: [kuyobatipo] Rundll32.exe "D:\WINDOWS\system32\penitoro.dll",s
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [kuyobatipo] Rundll32.exe "D:\WINDOWS\system32\penitoro.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [kuyobatipo] Rundll32.exe "D:\WINDOWS\system32\penitoro.dll",s (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: \rolijul d:\windows\system3ezl windows\system32\fem32\rolid d:\windows\system32\rolijugu.dll d:\windows\system32\fujobila.dll,D:\WINDO2\hutije,D:\WINDOWS\system32\hutijezu.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - d:\windows\system32\rolijugu.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - d:\windows\system32\rolijugu.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - D:\Programme\MATLAB71\webserver\bin\win32\matlabserver.exe
O23 - Service: NMIndexingService - Nero AG - D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - D:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Poweroff - Jorgen Bosman - D:\WINDOWS\system32\poweroff.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 7524 bytes
-------------------------------------------------------------------------------

Dieses Viech geht mir langsam auf die Nerven.

Danke für jegliche Hilfe!!!

Marco

bei Antwort benachrichtigen
gelöscht_84526 Tiischa „Schädliche Dlls“
Optionen

Gib dein Logfile mal hier rein bzw. lass es dort auswerten: Klick.

Gruß
K.-H.

bei Antwort benachrichtigen
Alpha13 Tiischa „Schädliche Dlls“
Optionen

Der RegRun Reanimator könnte da helfen:
http://greatis.com/security/reanimator.html

penitoro.dll, fujobila.dll + rolijugu.dll heißen da die bösen Dateien.

wgflod.dll dürfte auch nix gutes machen.

bei Antwort benachrichtigen
Tiischa Alpha13 „Der RegRun Reanimator könnte da helfen:...“
Optionen

also bei hijackthis hab ichs schon auswerten lassen; hat mir aber auch nix neues gesagt, nur dass die erwähnten dateien wohl gefährlich sind :)

man, ich hasse diese Viren-Bastler!

bei Antwort benachrichtigen
jueki Tiischa „Schädliche Dlls“
Optionen

Da gibts nur zwei Möglichkeiten - auf Voodoo- Zauber setzen und mit der einen Software eine andere Software bekämpfen.
Oder die einzig solide Methode verwenden - neu installieren.
Warum alle Bastelei nichts bringt
Und sich in Zukunft mit
einer allgemein zugänglichen Methode
vor Viren und Trojanern schützen.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
fbe jueki „Da gibts nur zwei Möglichkeiten - auf Voodoo- Zauber setzen und mit der einen...“
Optionen

@jüki
Full ACK
fbe

bei Antwort benachrichtigen
Jokeman fbe „@jüki Full ACK fbe“
Optionen

Hallo Tiischa.
Sieht so aus als hättest du dir den Sasser eingefangen und hast ihn auch schon auf der D: Partition. Auch mit Basteln bekommst du den nicht weg.
O4 - HKUS\S-1-5-19\..\Run: [kuyobatipo] Rundll32.exe "D:\WINDOWS\system32\penitoro.dll",s
D:\WINDOWS\system32\lsass.exe
Der steht bis zu 50 Mal unter anderem Namen überall. Für zehn die du findest und löschst kommen 20 neue. Solltest du jetzt ein Virusprogramm speziell für den Sasser haben, löscht der Scanner den Sasser, aber nicht alle Clone und die vermehren sich wieder.
Nimm die Zeit, die du für nutzlose Reparatur verbrauchst und setze neu auf. Alles andere haben meine Vorredner schon gesagt.
Gruß Jogi

Wenn alle Politiker das täten, was sie mich könnten, käme ich den ganzen Tag nicht zum sitzen
bei Antwort benachrichtigen
Conqueror Tiischa „Schädliche Dlls“
Optionen

Ratschläge parat...................
Meine Meinung sinnlos und gefährlich.
Da Du selbst bemerkt hast, ändern sich die Dateinamen. Welche Zaubertool soll diese Namen dann kennen und entfernen können.
Deshalb installier Dein PC neu und zwar incl. SP3 und verlass Dich nicht auf ein Plazebotool wie Avira AntiVir PersonalEdition Classic, sonern intevstier in die Kaufversion oder bessere Antivirensoftware.

bei Antwort benachrichtigen
fbe Conqueror „PC Zeitschriften haben wohl diverse“
Optionen

@Conqueror
Hast du Belege für deine Aussage zu Avira AntiVir PersonalEdition Classic ?

Ich benutze das seit Jahren und habe bislang keine Probleme mit der Erkennung von Schadsoftware. Es läuft allerdings auch täglich ein kompletter Scan. Und ich klick auch nicht auf jede unbekannte Mail und andere Dinge.
fbe

bei Antwort benachrichtigen
weka1 fbe „@Conqueror Hast du Belege für deine Aussage zu Avira AntiVir PersonalEdition...“
Optionen

Hallo,
hier zeigt sich wieder die Notwendigkeit außer dem schon geschriebenen die Notwendigkeit eines Images.

MfG-weka

Auch mein Rechner kommt aus China !
bei Antwort benachrichtigen
wittenberg Tiischa „Schädliche Dlls“
Optionen

Ich hatte auch die Defekthexe, kam zufällig im Internet auf Registry Doktor 2009.
http://www.registry-doktor.com
Habe Programm downgeladen, es kamen über 400 Fehlermeldungen. Reparatur aber nur nach Kauf (29,95 bis 49,95 Euro) möglich, aber jetzt habe ich wieder einen Renner, der noch nie so schnell war.
Ansonsten hilft nur, Festplatte Putzen und neu installieren bzw. mit Acronis oder anderem Programm Image regelmäßig herstellen. Da kannst Du auch Zeit sparen, aber paar Euros muß investiert werden.

bei Antwort benachrichtigen
Tiischa wittenberg „Ich hatte auch die Defekthexe, kam zufällig im Internet auf Registry Doktor...“
Optionen

So, also ich wollte mich noch mal bei allen bedanken, die hier so hilfreiche Tips gegeben haben!!
Werde mir in Zukunft auch angewöhnen mit Images zu arbeiten, aber für den Moment sieht es so aus, als konnte der Tip von - Alpha13 - mit dem RegRunner tatsächlich mein Problem beheben. Obwohl es zunächst nicht so aussah konnte er wohl nach mehrmaligem starten im abgesicherten Modus die entsprechenden Dateien löschen. In Hijackthis konnte ich gerade keine auffälligen Prozesse mehr erkennen und in der Registry konnte ich alle Einträge löschen ohne dass sie wiederhergestellt wurden. Aber wer weiß: ganz sicher kann man sich bei den biestern ja nie sein.

DANKE!

Mfg, Marco

bei Antwort benachrichtigen
jueki wittenberg „Ich hatte auch die Defekthexe, kam zufällig im Internet auf Registry Doktor...“
Optionen
Habe Programm downgeladen, es kamen über 400 Fehlermeldungen...
Ich kann aus meiner Sicht nur immer wieder raten: Finger weg von diesem Zeug!
Dem einzigen, dem das etwas nützt, das ist der Programmierer.
Bzw dessen firma.
Mit solchen "Reinigungstools" ist bislang noch nicht ein einziger PC wieder sauber gemacht, zum Laufen gebracht oder schneller gemacht worden.
Aber es wurde schon ab und an das Betriebssystem damit zerstört.
Egal, ob 1-Klick- Wartung oder andere Tools. Die beseitigen nur Einträge, die nirgendwo Wirkung erzielen. Das heißt - sie sollen das.
Neuestes Beispiel - RFA Platinum erkennt u.a. diesen Eintrag als fehlerhaft:

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ WinSock2\ Parameters\ NameSpace_Catalog5\ Catalog_Entries\ 000000000004 "LibraryPath"="C:\\ Programme\\ Bonjour\\ mdnsNSP.dll"

Auf dem PC ist kein Bonjour zu finden und keine mdnsNSP.dll - aber wenn dieser Eintrag "repariert" wird, bootet der PC nicht mehr!
Ich hab dazu vor längerer zeit ein Machwerk verfaßt:
http://www.juekirs.de/Dateien/Tuning_und_Registry-Reinigung.pdf


Jürgen
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen