Schlagt mich, aber ich hatte bis neulich ungeschützten Verkehr. Jetzt habe ich mir ziemlich sicher doch einen Wurm eingefangen. Ich komme nicht in meine Systemdateien, stattdessen erscheint die Fehlermeldung "rundll32.exe konnte nicht gefunden werden". Was kann ich tun, wenn ich was tun kann????? Habe Windows 98 SE drauf.
Vielen Dank für Anregungen
T-Rex
havarie
„Wurm - "rundll32.exe konnte nicht gefunden werden" blockiert Sys“
havarie
T-Rex
„ Wenn Du Dir wirklich etwas eingefangen hast, ist das Formatieren der...“
Spybot S&D ist zufrieden, Hijackthis:
Logfile of HijackThis v1.99.0
Scan saved at 21:47:17, on 06.01.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\ptsnoop.exe
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\PCI AUDIO APPLICATIONS\MIXER.EXE
C:\PROGRAMME\HP CD-WRITER\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\HP CD-WRITER\MMENU\HPCDTRAY.EXE
C:\WINDOWS\SYSTEM\SERVICE.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Eigene%20Dateien%20Nov%2004.03/Eigene%20Bilder/Michaela/botanisch.jpg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
F1 - win.ini: load=ptsnoop.exe
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PowerQuest Startup Utility] C:\Programme\PowerQuest\PartitionMagic5\UTILITY\MMOVER32\PQINIT.EXE
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Mixer.exe /startup
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\HPCD-W~1\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [HP CD-Writer] C:\Programme\HP CD-Writer\Mmenu\hpcdtray.exe
O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [data] C:\WINDOWS\SYSTEM\service.exe
O4 - HKLM\..\Run: [datasysdiscx] C:\WINDOWS\SYSTEM\crypt.exe %srun%
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programme\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.power-url.de/InstallationsAssistent.ocx
Viren-Scanner
Erstellungsdatum der Reportdatei: Freitag, 7. Januar 2005 00:10
AntiVir®/9x Personal Edition v6.27.00.03 vom 18.08.2004
VDF-Datei v6.27.0.66 (0) vom 17.09.2004
es wird nach 90498 Viren bzw. unerwünschten Programmen gesucht.
Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-WURGE-0001
FUSE: Grundlizenz
Plattform: Windows 98
Windows-Version: 4.10.2222 A
Prozessor: Pentium
Arbeitsspeicher: 130504 KB frei
Versionsinformationen:
AVWIN.DLL : v6.27.00.00 524328 17.08.2004 15:01:46
AVEWIN32.DLL : v6.27.0.4 565760 05.08.2004 17:16:28
SYS_RW16.DLL : v6.19.0 12800 20.05.2003 14:41:06
SYS_RW32.DLL : v6.19.0 16384 20.05.2003 14:41:06
AVGCTRL.EXE : v6.27.00.00 86016 30.07.2004 10:03:20
AVGUARD.VXD : v6.27.0.4 372031 06.08.2004 08:30:30
AVPACK32.DLL : v6.22.00.24 299048 09.06.2004 16:05:52
AVGETVER.DLL : v6.22.00.00 24576 20.01.2004 14:13:58
AVWIN.DLL : v6.27.00.00 524328 17.08.2004 15:01:46
AVSHLEXT.DLL : v6.22.00.00 57344 20.01.2004 14:14:00
AVSched32.EXE : v6.23.00.00 110632 20.01.2004 14:13:58
AVSched32.DLL : v6.23.00.00 122880 20.01.2004 14:14:00
AVREG.DLL : v6.27.00.01 41000 04.08.2004 12:15:32
AVRep.DLL : v6.27.00.19 634920 17.09.2004 13:19:18
INETUPD.EXE : v6.27.00.00 200704 02.08.2004 12:54:18
INETUPD.DLL : v6.27.00.00 1425408 02.08.2004 12:54:18
MFC42.DLL : v6.00.8665.0 995383 27.10.1999 15:35:32
MSVCRT.DLL : v6.10.8637.0 295000 11.04.2001 15:16:14
CTL3D32.DLL : v2.31.000 45056 05.05.1999 22:22:00
CTL3DV2.DLL : v2.31.000 27632 05.05.1999 22:22:00
Konfigurationsdaten:
Name der Konfigurationsdatei: C:\PROGRAMME\AVPERSONAL\AVWIN.INI
Name der Reportdatei: C:\PROGRAMME\AVPERSONAL\LOGFILES\AVWIN.LOG
Startpfad: C:\PROGRAMME\AVPERSONAL
Kommandozeile:
Startmodus: unbekannt
Start des Suchlaufs: Freitag, 7. Januar 2005 00:10
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK
C:\WINDOWS
WIN386.SWP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\SYSTEM
nonzipsr.noz
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
zippedsr.piz
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
winroot64.dal
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
winsend32.dal
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\WINDOWS\Temporary Internet Files\Content.IE5\05A3O1YR
swflash[1].cab
ArchiveType: CAB (Microsoft)
--> swflash.inf
HINWEIS! Der Archivheader ist defekt
--> Flash.ocx
HINWEIS! Der Archivheader ist defekt
--> GetFlash.exe
HINWEIS! Der Archivheader ist defekt
--> GetFlash.man
HINWEIS! Der Archivheader ist defekt
2264 Verzeichnisse wurden durchsucht
28538 Dateien wurden geprüft
5 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden
idefix1968
havarie
„Wurm - "rundll32.exe konnte nicht gefunden werden" blockiert Sys“
Wenn Du das Logfile auf www.hijackthis.de einstellst und auswertest bekommst Du drei sichere und ein evtl. Volltreffer auf Deine Vermutung:
C:\WINDOWS\ptsnoop.exe
Böse Laufender Prozess. (ptsnoop.exe)
Troj/Ptsnoop Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen!
C:\WINDOWS\SYSTEM\SERVICE.EXE
Böse Laufender Prozess. (SERVICE.EXE)
Trojan Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen!
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Eigene%20Dateien%20Nov%2004.03/Eigene%20Bilder/Michaela/botanisch.jpg
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.power-url.de/InstallationsAssistent.ocx
Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden!
Außerdem zur ersten Meldung noch mehrere unbekannte Prozesse. Aber passend zu ptsnoop.
Da solltest Du etwas tun.
Ich würde auch noch Ad-Aware von Lavasoft und Spybot einsetzen. Selbst wenn Du alles findest und löscht kannst Du Dir nicht sicher sein, daß nicht noch etwas übrig bleibt. Ein Neuaufsetzen ist sinnvoll, aber die Entscheidung liegt bei Dir. Antivir scheint da nicht zu helfen. Mal nach den .exe googeln. Du findest bestimmt Tools.
Gruß, Henning
Philosoph
havarie
„Wurm - "rundll32.exe konnte nicht gefunden werden" blockiert Sys“
Salut!
Schreibe bitte zurück ob das Problem nun gelöst werden konnte. Wenn nicht, sollte das Problem sicher auch ohne Format C gelöst werden können!!!
Beste Grüße und überhaupt,
Thomas.
www.ThomasAfrim.Lyrik.at
havarie
Nachtrag zu: „Wurm - "rundll32.exe konnte nicht gefunden werden" blockiert Sys“
Salve,
danke für die Tipps. Also, nachdem ich jetzt einiges probiert habe (mit Spybot, AdAware, AntiVir, Hyjackthis) bin ich der Lösung des Problems überraschend nahe (hoffentlich). Ich habe windows neu installiert und mittlerweile bleibt rundll32.exe stabil, so dass ich auch wieder in „Systemsteuerung“ arbeiten kann!!!!!!!!!!!!!!!!!
Ein Problem bleibt vorerst:
Wie kriege ich das böse, böse C:\WINDOWS\ptsnoop.exe gelöscht?????
Da es sich um einen laufenden Prozess handelt, kriege ich beim Löschversuch die Nachricht „kann nicht gelöscht werden, wird von windows verwendet“
Bis hierher erstmal danke
Michaela
Philosoph
havarie
„Wurm - "rundll32.exe konnte nicht gefunden werden" blockiert Sys“
Salut!
Suche zunächst in der Win.ini nach dem Eintrag der ptsnoop.exe. Da du noch weitere Systemdateien kontrollieren mußt, gehe am besten wie folgt vor:
Start - Ausführen und "msconfig" eingeben.
Nun mußt du alle Einträge (+Win.ini) durchgehen und nach der bösen, bösen Datei suchen. ;-)
Soll die Autostartfunktion deaktiviert werden, einfach den Hacken davor wegnehmen!
Ansosten im Abgesicherten Modus starten und die Datei dann löschen. Wenn das nicht hilft, die F8 Taste beim Windowsstart drücken um im MS DOS Modus zu löschen. Folgende Befehle sind wichtig:
cd.. geht ein Verz. zurück
cd [Ordnername] springt vom aktuellem Verz. in das gewählte Verz.
del [Dateiname] löscht die Datei
edit Text-EDITOR
So, ich hoffe, ich konnte dir nun weiter helfen.
Du kannst auch mit hijackthis die Einträge ganz einfach löschen und danach über Windows die Datei löschen... Würde auch mal im Taskmanager schauen...
Liebe Grüße,
Thomas.
havarie
Philosoph
„Salut! Suche zunächst in der Win.ini nach dem Eintrag der ptsnoop.exe. Da du...“
Hallo Thomas und Henning,
ha ha, ich (bzw. Ihr) habe/t das Problem gelöst. Vorerst alles stabil, wurmfrei und am Laufen.
Ich danke Euch vielmals!!!!!!!!!!!
D A N K E !!!!!!!!!!!!!
Michaela
