deaktivieren systemwiederherstellung unmöglich durch rundll32.exe

#1 Hallo
Habe schon viele Threads über rundll32.exe-Probleme gelesen, bisher zwecklos.
Ich habe ein Problem mit Trojanern und Würmern, wie es scheint, auf meinem PC (Windows XP professional). Ich kann die entsprechenden Dateien wohl deshalb nicht durch Killbox u.ä. löschen lassen, weil ich die Systemwiederherstellung nicht deaktivieren kann. Wenn ich die Registerkarte aufrufe, kommt immer "ein Problem mit rundll32.exe festgestellt und das Programm muss beendet werden". Darauf hin verschwindet dann das ganze Fenster.
Hilfe dringend nötig.

Vova

#2 ich habe auch so ein problem..bei mir war (?) ein programm drauf winfixer 2005 hat sich selber installiert..hab ich runterbekommen (?) hoffe ich,will sich aber immer weider auf meinen pc festsetzen..sobald ich den browser öffne geht ne seite auf mit winfixer,der meinen pc scannen will..unterbinde ich das kommt.. Buffer overrun detected! programm C:\windows\system32\rundll32.exe a buffer overrun has been detectetd which has coruuped the program´s internal state.the programm cannot safly continue execution and must now be terminated..
wenn ich ok anklicke stürzt mein pc ab und beim nächsten star des browesers,geht das theater von vorne los,es sei denn wie jetzt grade ich ignoriere das und lass das fenster einfach minimiert...zone alarm fragt mich : eine dll datei aLS ANWENDUNG AUSFÜHREN VERSUCHT AUF DAS INTERNET ZUZUGREIFEN...anwendung rundll.exe watt soll ick tun????
HIIIILFE !! und wenn ich schon dabei bin..was ist fixen?
bitte eine erklärung für anfänger..jeder hat seine schwächen und seine stärken,ich bemühe mich ,aber meine stärken liegen nicht in pc kenntnissen.. ;-)

#3 http://board.protecus.de/t16317.htm

Rubrik "Virenalarm" durchlesen & abarbeiten. Im Anschluss daran ein HijackThis und eScan-Log wie in dem Link beschrieben posten.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#4 Logfile of HijackThis v1.99.1
Scan saved at 13:01:58, on 21.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\khooker.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Shareaza\Shareaza.exe
C:\Programme\MYIE2\MyIE.exe
E:\Programme\IncrediMail\bin\IncMail.exe
E:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Dokumente und Einstellungen\MONI\Eigene Dateien\Meine empfangenen Dateien\Firewalls und ähnliches\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccess/ie/bridge-c8.cab
O16 - DPF: {4208FB4D-4E53-4F5A-BF7A-3E047DDB5281} (ActiveX Control) - http://www.icannnews.com/app/ST/ActiveX.ocx
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120895550984
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\iamontr.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


UND:
cwshredder
found cws.msconfig
found cws.look2me


**** Run Keys ****

RUN: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
RUN: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
RUN: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
RUN: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
RUN: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
RUN: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
RUN: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
RUN: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
RUN: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
RUN: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
RUN: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
RUN: [WebCamRT.exe]


**** Browser Helper Objects ****

BHO: [AcroIEHlprObj Class] C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx


**** IE Toolbars ****



**** IE Extensions ****




spybot:
21.07.2005 13:22:15 Update heruntergeladen (http://www.safer-networking.org/updates/spybotsd.ini)
21.07.2005 13:22:21 downloaded update Deutsch help
21.07.2005 13:22:21 - URL: http://www.spybotupdates.biz/updates/files/help.deutsch.zip
21.07.2005 13:22:21 - Local file: C:\Programme\Spybot - Search & Destroy\Updates\help.deutsch.zip
21.07.2005 13:22:22 downloaded update Deutsch language
21.07.2005 13:22:22 - URL: http://www.spybotupdates.biz/updates/files/lang.deutsch.zip
21.07.2005 13:22:22 - Local file: C:\Programme\Spybot - Search & Destroy\Updates\lang.deutsch.zip
21.07.2005 13:22:23 downloaded update English descriptions
21.07.2005 13:22:23 - URL: http://www.spybotupdates.biz/updates/files/desc.english.zip
21.07.2005 13:22:23 - Local file: C:\Programme\Spybot - Search & Destroy\Updates\desc.english.zip
21.07.2005 13:22:24 downloaded update English help for TeaTimer
21.07.2005 13:22:24 - URL: http://www.spybotupdates.biz/updates/files/helpres.english.zip
21.07.2005 13:22:24 - Local file: C:\Programme\Spybot - Search & Destroy\Updates\helpres.english.zip
21.07.2005 13:22:27 downloaded update Immunization database
21.07.2005 13:22:27 - URL: http://www.spybotupdates.biz/updates/files/clsid.zip
21.07.2005 13:22:27 - Local file: C:\Programme\Spybot - Search & Destroy\Updates\clsid.zip
21.07.2005 13:22:27 downloaded update Main skins
21.07.2005 13:22:27 - URL: http://www.spybotupdates.biz/updates/files/skins.main.zip
21.07.2005 13:22:27 - Local file: C:\Programme\Spybot - Search & Destroy\Updates\skins.main.zip



spybot

--- Search result list ---
NetCom GmbH: Module usage (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/IELoader.dll

CoolWWWSearch: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\CLSID\{15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6}

CoolWWWSearch: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\MediaAccX.Installer

CoolWWWSearch: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6}

CoolWWWSearch: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Media Access

CoolWWWSearch: Shared DLL (1 Anwendungen) (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDlls\C:\WINDOWS\Downloaded Program Files\MediaAccX.dll

Radiate: Programm-Verzeichnis (Verzeichnis, nothing done)
C:\WINDOWS\amcdl\

HitBox: Verfolgender Cookie (Internet Explorer: MONI) (Cookie, nothing done)


DoubleClick: Verfolgender Cookie (Internet Explorer: MONI) (Cookie, nothing done)


HitBox: Verfolgender Cookie (Internet Explorer: MONI) (Cookie, nothing done)



reicht das erstmal?








so nu schock mich... :-)

#5 Bitte alles abarbeiten was in der Anleitung (Rubrik "Virenalarm") steht und Rückmeldung bezüglich der Ergebnisse geben.
__________
"life's a bitch, turn around and she'll backstab you for a buck."