Re:Ungültige Zeichen in ihrer E-Mail

Hallo!
Ich brauche dringend Eure Hilfe. Seit ich heute Mittag eine Spam-Mail mit folgendem Betreff öffnete (ich weiß, das sollte man nicht tun...): "Re:ungültige Zeichen in ihrer E-Mail" Absender: Re-Mailer@hotmail.com, funktioniert meine DFÜ-Netzwerkverbindung nicht mehr. Es wird angezeigt, dass die Datei Rundll32.exe fehlt. Beim Recherchieren fand ich heraus, dass es sich evtl. um folgenden Virus handeln könnte: W32/Sober-I. Auf der Seite: http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html
wurde ein Removel-Tool angeboten, welches dann ausgeführt wurde. Angeblich mit Erfolg, denn es wurde gemeldet, dass einige Dateien gelöscht wurden und der Virus entfernt werden konnte. Trotzdem funktioniert meine DFÜ-Verbindung immer noch nicht. Ich komme also nicht ins Internet.

Nun habe ich herausgefunden, dass nicht nur das DFÜ-Netzwerk zu spinnen scheint, sondern jegliche Funktionen unter Systemsteuerung nicht funktionieren. Mit der Fehlermeldung dass Rundll32.exe fehlt.
Danach habe ich versucht Rundll32.exe zu downloaden. Die runtergeladene Datei konnte aber aufgrund der fehlenden Rundll32.exe nicht geöffnet werden.

Jetzt gehen mir die Ideen aus. Ehrlich gesagt muss ich auch gestehen dass ich absolut keine Ahnung von so etwas habe. Hatte noch nie einen Virus. (Habe auch leider kein Virenprogramm. Versprochen: sobald ich wieder ins Netz komme, ist es das erste was ich mir runterladen werde!!!

Ich wäre Euch so wahnsinnig dankbar wenn ihr mir sagen würdet was ich noch tun kann (bitte in einer mir verständlichen Sprache )

 

Nabend,
viel Spaß bei der Neuinstallation, und aus Fehlern wird man klug!

@The Doc:
Möchtest nicht die Anleitung posten?

 

Ist wohl nicht da. Dann mach ich es mal:
http://chip-faq.rufisplanet.ch/installation.html
http://www.computerproblemboard.de/thread.php?threadid=4597

@ Giana
Du solltest uns mitteilen, welches Betriebssystem du benutzt. Vielleicht kann man noch was retten.

 

Ích gelobe ja Besserung
Betriebssystem ist Win 98. Wäre ja klasse wenn es auch ohne Plattmachen gehen würde...

 

Hallo !
Ich habe gesehen dass einigen mit Hilfe eines Highjack-Logs weitergeholfen werden konnte. Aus diesem Grund auch von mir. Kann mir jetzt vielleicht jemand helfen??


Logfile of HijackThis v1.98.2
Scan saved at 14:25:01, on 07.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER SCAN SERVER\BDSS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER COMMUNICATOR\XCOMMSVR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\HPZTSB03.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\FREEPDF\FREEPDFA.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\BDMCON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\BDNAGENT.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fh-oow.de/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\PROGRA~1\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [BitDefender Scan Server] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\\bdss.exe
O4 - HKLM\..\RunServices: [BitDefender Communicator] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\\xcommsvr.exe
O4 - HKLM\..\RunServices: [BitDefender Live! Init] C:\Programme\Softwin\BitDefender Free Edition\\bdinit.exe
O4 - HKCU\..\Run: [WeatherCast] C:\PROGRA~1\WEATHE~1\Weather.exe /q
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
Also FVProtect.exe sieht nach ner Variante von NetSky aus...

Sober und Netsky auf dem PC, beides e-mail Würmer. Da würd ich mir mal Gedanken machen ob es mit der Installation eines Virenwächters getan ist.

Vielleicht hilft Brain 2.0 da mehr:

Klick nicht unbedarft auf jeden Link der dir unter die Maus kommt, öffne nie e-mails aus unbekannter Quelle und treib dich nicht auf zwielichtigen Webseiten rum.
Desweiteren installier keine Software mit Spyware oder Adware, halte dein System aktuell und informier dich über aktuelle Sicherheitsrisiken.



Auch für Netsky gibt es Removal-Tools, aber wenn du wirklich sicher sein willst dass alles sauber ist und dein Windows wieder richtig rund laufen soll dann kommst du um die Neuinstallation nicht herum:

-------

Infiziertes System neu aufsetzen: VERSION FÜR WINDOWS 98

Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

- wichtige Daten sichern (sofern noch möglich)
- Windows neu installieren mit Neuformatierung der Systempartition
(oder ein sauberes Image zurückspielen)
- Virenwächter installieren (AntiVir und AVG gibts kostenlos)
- sämtliche Passwörter ändern
- Spybot S&D installieren und das System immunisieren
- die Windows-Update Seite besuchen und das System auf aktuellen Stand bringen
- die gesicherten Daten erst nach intensiver Prüfung zurückspielen (nur wenn absolut unvermeidbar).
NIE ausführbare Dateien zurückspielen

-------

 

Hmmm... hört sich ja nicht gut an.

Wenn ich mich nun entschließen sollte alles neu zu installieren und die Sicherheitskopien mache. Kann es passieren, dass ich den Wurm mit speichere??

Was mich nur wundert: laut dem removal Programm, hatte ich doch aber einen W32/Sober-I, der auch entfernt wurde. Das einzige was dabei angeblich passiert ist, ist die Löschung einiger Dateien. Unter anderem auch dieser Rundll32.exe die man ja für die Einwahl ins Internet benötigt. Alles andere schien in Ordnung zu sein.

Kann es álso sein, dass ich zwei Würmer habe (hatte)? HIIIILLFFEEEE!!!!!!!!!!!

 

Ja. Deshalb wirklich nur absolut unwiederbringliches zurück kopieren nach Prüfung mit mindestens zwei Virenscannern. Und in Zukunft regelmäßig Backups machen.

Ja. Netsky hast du ganz sicher noch drauf (FVProtect.exe) und Sober wurde "entfernt" und hat dabei die rundll32.exe mitgerissen.

 

Hallo Max Master!
Dein Link bestätigt ja die Vermutung mit dem Netsky....
Würdest Du auch sagen, dass eine Neuinstalation die einzige Lösung ist?

 

Nun gut, dann werde ich mich wohl mal an der Neuinstalation versuchen. Bei der Gelegenheit mache ich mich gleich mal an Win XP heran. Stimmt eigentlich das Gerücht, dass man Win XP nur auf einen Rechner installieren kann und ich mir somit nicht die CD von einem Freund ausleihen kann?

Reichen fürWin XP 20 GB und 192 Ram? Sonst muss ich die erstmal aufrüsten.... Bin völlig überfordert mit diesem ganzen PC Mist....

So, mal schauen ob ihr mir in dieser Sache auch weiterhelfen könnt. Nun erstmal die eigentlich wichtigen Dinge im Leben.... Vorlesung.

 

Du kannst das so oft installieren wie du willst, nur darfst du es nicht. 1 Lizenz = 1 CD = 1 Installation. Gilt übrigens für alle Windows-Versionen.

Dein Festplattenplatz und RAM reichen zwar für XP grad so aus, aber wie wärs mit Win2000? Das frisst nicht ganz so viel RAM weg. Wenn du auf ein NT-System umsteigen willst (Win2000 oder WinXP) dann solltest du dieser Installationsanleitung folgen, sonst hast du gleich den nächsten ungebetenen Gast auf dem System:


-------
Vor der Installation den aktuellen Service Pack für dein Windows sowie falls im SP nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen.

- Windows neu installieren
(von der Windows-CD booten und den Bildschrimanweisungen folgen. Die Zielpartition mit NTFS formatieren)
- die Service Packs und Patches von der CD installieren
- Unnötige Dienste beenden mit dem Skript von http://www.ntsvcfg.de/
- Virenwächter installieren (AntiVir und AVG gibts kostenlos)
- Spybot S&D installieren und das System immunisieren
- die automatische Windows-Update Funktion aktivieren
-------

 

So, habe nun mit Hilfe von zwei Virenprogrammen hoffentlich alle Viren entfernt: Netsky tauchte in mehrern Dateien auf und den W32-Sober habe ich schon vorher beseitigt.

Gleich wollte ich nochmal einen HiJackthis durchlaufen lassen und poste diesen wieder hier.

Vorab aber noch folgende Frage:
An sich scheint ja alles sauber zu sein jetzt bei mir. Das Einzige was nicht funktioniert, ist wirklich die DFÜ-Verbindung auf Grund der fehlenden Rundll32.exe. Auch wenn ich sie mir runterlade, bekomme ich sie nicht geöffnet.
Habt ihr ne Idee woran das liegen könnte, oder wo ich es noch probieren könnte?

Melde mich dann gleich nochmal mit dem Log zurück.


Danke, danke, danke

 

Logfile of HijackThis v1.98.2
Scan saved at 00:54:51, on 08.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER SCAN SERVER\BDSS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER COMMUNICATOR\XCOMMSVR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\HPZTSB03.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\FREEPDF\FREEPDFA.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\BDMCON.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\BDNAGENT.EXE
C:\PROGRAMME\ANTI VIRUS PERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DESKTOP\ANTI VIREN PROGRAMME\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fh-oow.de/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\PROGRA~1\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\ANTIVI~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [BitDefender Scan Server] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\\bdss.exe
O4 - HKLM\..\RunServices: [BitDefender Communicator] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\\xcommsvr.exe
O4 - HKLM\..\RunServices: [BitDefender Live! Init] C:\Programme\Softwin\BitDefender Free Edition\\bdinit.exe
O4 - HKCU\..\Run: [WeatherCast] C:\PROGRA~1\WEATHE~1\Weather.exe /q
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080



ist eurer meinung nun alles in ordnung? wäre lieb wenn mal einer rübergucken könnte und mir auch sagen könnte wie ich an rundll32.exe komme. ohne das geht nix...


Vielen Dank schon mal

 

Das hat MaxMaster doch schon gesagt...

 

habe das probiert, was MaxMaster vorgeschlagen hat. Hat aber leider nicht funktioniert, weil dabei nicht die Rundll32.exe an sich vorlag sondern irgend eine andere Datei die mein Computer nicht öffnen konnte.

 

Sorry, ich habe mich gerade vertan. Ich wollte eigentlich fragen wie ich ins Setup Verzeichnis von Win98 komme ?

 

- Windows-CD einlegen
- DOS-Box starten (Eingabeaufforderung)
- cd\
- x: (wobei x der Laufwerksbuchstabe des CD-Laufwerks ist)
- cd win98
- EXTRACT /Y /A base04.cab rundll32.exe /L C:\WINDOWS

Sollte eigentlich funktionieren...

 

Was ich an der ganzen Sache nicht verstehe:
Du hast einen Virenscanner drauf (nicht mal einen ganz schlechten) und eine verseuchte Mail kommt sogar so weit, daß Du sie noch öffnen kannst?
Und dann auch noch mit recht betagtem Ungeziefer...

Ist der Scanner überhaupt aktiv? Und upgedated?
Ansonsten macht er ned viel Sinn!

@ TheD0CT0R
Das ist wieder mal ein gutes Beispiel:
- Virenscanner und Firewall installiert und doch verseucht...

Taugt eben alles nix, wenn man nicht gewisse Grundregeln erlernt und befolgt.

 

@ AntiDepressiva

Ich glaub der Wächter ist neu, denn:

Wobei dann allerdings die Zuverlässigkeit der ersten Aussage anzuzweifeln ist...

FULL ACK

 

Eben.
Denn schon im ersten Logfile sehe ich den Bitdefender hervorblitzen...
Hm.