explorer.exe und rundll32.exe wollen sich ins Internet einwählen

Hallo,

seit kurzer Zeit wollen sich explorer.exe und rundll32.exe ständig ins Internet einwählen. Die Firewall (ZoneAlarm) blockiert es zwar, aber ich weiß nicht, wie sich das wieder beheben läßt.

Hat jemand einen Tip?

Vielen Dank.

Gruß

Woody

System scannen mit aktuellen Malwarescannern..........

Tja, ich hab schon alles Mögliche probiert: AntiVir6, Adaware6, Spybot, hab soeben auch nochmal mit a-squared (a² Free) gescannt. Er hat zwar ein paar Dateien gefunden und repariert, aber das Problem bleibt das gleiche. Die Dateien wollen sich immer noch einwählen. Hab ich noch nie erlebt, sind doch eigentlich ganz normale Systemdateien, oder nicht?

Kann mir jemand noch ein Programm (am besten Freeware) empfehlen oder weiß eine andere Lösung?

Vielen Dank!

Gruß

Woody

Noch zur Info: habe Win98, 1. Ausgabe.

http://www.wintotal.de/Software/index.php?rb=31&id=2022

http://www.wintotal.de/Software/index.php?rb=31&id=1935

Auch mal hier lesen:
http://www.wintotal.de/Spyware/

Führ den Scann am besten im abgesicherten Modus aus, hier wird nur das nötigste geladen. Bei dir starten sie beim Systemstart mit, da sie sich auch gleich einwählen wollen. Wenn diese Prozesse im Hintergrund mitlaufen, können sie dann auch nicht gelöscht werden, weil sie im gebraucht sind (alternativ kannst du die Prozesse auch im Task killen, wenn du genau weisst, welche Anwendungen dazu gehören, aber der abgesicherte Modus ist einfacher ).
Es gibt diese Systemdateien. Schädlinge in der Art verpassen sich einfach diese Systemnamen, liegen aber nicht im Originalpfad.

Dee schrieb:

Führ den Scann am besten im abgesicherten Modus aus, hier wird nur das nötigste geladen. Bei dir starten sie beim Systemstart mit, da sie sich auch gleich einwählen wollen. Wenn diese Prozesse im Hintergrund mitlaufen, können sie dann auch nicht gelöscht werden,

Zum Vergrößern anklicken....

wenn dann im abgesicherten dos modus, im abgesicherten gui modus läuft die explorer.exe ja mit ...

greetz

hugo

Gemeint war der Schädling explorer.exe, nicht das Original

Dee schrieb:

Gemeint war der Schädling explorer.exe, nicht das Original

Zum Vergrößern anklicken....

natürlich ist der schädling gemeint, nur um sicherzugehn, daß nicht doch der original explorer infiziert ist, sollte man im abgesicherten dos-modus starten und den original explorer von der cd runterkopieren und alle anderen exemplare, die nicht unter c:\windows stehn, löschen. ich vermute daß es backdoor-trojaner sind, da er ja w98 einsetzt kann es kein wurm sein ... hier mal ein paar beispiele von sophos: explorer.exe http://www.sophos.de/search/?virus_search=1&terms=explorer.exe und rundll32.exe http://www.sophos.de/search/?search=rundll32.exe&action=search&submit=Suchen wobei bei beiden suchkriterien überlappende ergebnisse kommen, da die viren/trojaner/würmer dieselben sind ...

greetz

hugo

Okisch, jetzt ist ein eindeutlicher. In meiner Ausführung wurde von einem anderen Pfad, als die des beim Original ausgegangen. Deshalb sollte man auch immer eine nachvollziehbare Erklärung dazu abgegeben, ein Leie kann aus deinem Satz nicht das richtige ableiten

Hallo,

vielen Dank erst mal für Eure Mühe.

ich habe jetzt x Scanner ausprobiert. Viele finden nix, bei anderen wiederum kenn ich mich nicht aus und das Löschen der Suchergebnisse wäre mir zu gefährlich.

Die beiden Dateien wollen nach wie vor einwählen.

Aber eins ist mir aufgefallen: Spybot 1.3 hat folgenden Eintrag gefunden:

CoolWWWSearch.WinRes: Trusted Site (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\offshoreclicks.com\*!=W=4

Beim Veruch, das Problem zu beheben, kommt die Meldung: Einige Probleme konnten nicht behoben werden. Der Gund könnte sein, dass die entsprechenden Dateien immer noch im Speicher residieren. Dies kann wahrscheinlich nach einem Neustart behoben werde. Darf Spybot mit dem nächsten Systemstart automatisch mitstarten?

Ich klicke dann auf  ja. Aber Spybot startet nicht automatisch mit. Auch habe ich Spybot schon vor dem Scan in den Autostart gelegt, es startet trotzdem nicht mit.

Naja, auf jeden Fall hätt' ich die Frage, ob ich den og. gefundenen Registry-Eintrag ohne Bedenken löschen kann, evtl. den ganzen Ordner offshoreclicks.com ?

Danke!

du mußt ihn sogar löschen, da es wirklich ein spioneintrag ist, aber du solltest auch die dazugehörige datei finden, sonst ist der eintrag schnell wieder gesetzt. lade dir mal hijackthis aus dem softwarebereich und lass das mal laufen. das log kannst du hier www.hijackthis.de auswerten lassen und alle dinger die als böse erklärt werden mit hijackthis fixen, die dateien die da auch aufgeführt werden sollten bereinigt werden. dann neu starten und nochmal ein log erstellen und prüfen lassen. wenn immer noch was gefunden wird, poste mal das log hier rein, dann können wir das mal überprüfen ...

greetz

hugo

Hallo,

also, ich hab's jetzt mal so gemacht. Bei den laufenden Prozessen kam diese Meldung:
C:\WINDOWS\RUNDLL32.EXE
      Gut Laufender Prozess. (RUNDLL32.EXE)
      RUNDLL32 is the Microsoft Windows program that loads DLLs into memory so
      that they can be used by specific programs or by Windows.
      Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise
      in c:\windows\system32\! Überprüfen Sie, ob Sie die Datei kennen und
      führen Sie ggf. einen Virencheck durch.

Aber dieses Problem kann man nicht in HijackThis fixen. Beim Virenscan mit AntiVir kommt keine Meldung. Allerdings ist auch im gleichen Ordner noch die Datei Rundll.exe und wenn ich dies mit AntiVir scanne, gibts einen Systemabsturz (Anwendung wird aufgrund eiens Fehlers geschlossen).

Und nun?

woody111 schrieb:

Aber dieses Problem kann man nicht in HijackThis fixen. Beim Virenscan mit AntiVir kommt keine Meldung. Allerdings ist auch im gleichen Ordner noch die Datei Rundll.exe und wenn ich dies mit AntiVir scanne, gibts einen Systemabsturz (Anwendung wird aufgrund eiens Fehlers geschlossen).

Zum Vergrößern anklicken....

hijackthis fixt ja nur registry-einträge, sonst nichts ... also nicht mit einem viren/trojaner-scanner verwechseln. da du ja noch windows 9x/me einsetzt, gibt es bei dir die rundll32.exe (ist für das starten von 32bit dll-dateien zuständig) und die rundll.exe (die ist für das starten von 16bit dll-dateien zuständig). gefährlich wird es wenn diese dateien sich nicht im c:\windows bzw. c:\windows\system32 ordner befinden. dann sind es mit sicherheit viren/trojaner. um sicher zu sein, solltest du mal das system nach den dateinahmen durchsuchen. alle außerhalb der oben genannten verzeichnisse gefundenen dateien mußt du löschen. und um sicherzugehn würde ich die dateien rundll.exe bzw. rundll32.exe in c:\windows bzw. c:\windows\system32 mit den originalen von der cd ersetzten. dazu gehst du so vor

1. windows cd in das CD-laufwerk einlegen.
2. start/ausführen/expand X:\i386\rundll.ex_ c:\windows\rundl.exe
3. start/ausführen/expand X:\i386\rundll32.ex_ c:\windows\rundl32.exe
4. den pc neu starten

wobei x: dein cd laufwerksbuchstabe sein muß. dabei werden die originaldateien von cd auf festplatte entpackt und die eventuell infizierten dateien ersetzt. wenn du die explorer.exe auch ersetzten willst, dann mußt du im dos-modus starten und die explorer.exe auch aus x:\i386\ in c:\windows kopieren. allerdings muß explorer.exe nicht expandiert werden ...

greetz

hugo

Hallo Hugo,

vielen Dank für die Mühe. Mit dem Gedanken habe ich auch schon gespielt, die Originaldateien einfach zu kopieren, aber ich finde auf meiner Windows 98-CD weder einen Ordner i386 noch die Dateien explorer.exe, rundll.exe oder rundll32.exe.

Sind die irgenwo verpackt?

Bei Suche über den Windows-Explorer zeigt diese mir nichts an.

Falls die Dateien doch irgendwo versteckt sind, muß ich den Befehl genauso eingeben, wie Du ihn aufgeschrieben hast, also z.B.  nur rundll.ex (ohne e) und nur rundl.exe (ohne 2. l ) ?

Wie soll ich die explorer.exe rüberkopieren wenn ich sie nicht finden kann?

woody111 schrieb:

Sind die irgenwo verpackt?

Zum Vergrößern anklicken....

sorry, mein fehler. du hast ja w9x/me und da ist die cd natürlich anders aufgebaut. diese dateien befinden sich in sogenannten cabinet-archiven, endung ist .cab ... du mußt nun rausfinden in welcher .cab datei sie drin stecken. hier mal ein paar links in die mskb wo das erklärt wird

http://support.microsoft.com/default.aspx?scid=kb;de;509093
http://support.microsoft.com/default.aspx?scid=kb;de;129605

greetz

hugo

Hallo,

bin am Verzweifeln!! :-[

Hab jetzt den Registry-Eintrag gelöscht, Spybot findet nichts mehr!  Die Dateien mit den Originalen von der CD ersetzt. Was mit HiJachThis zu fixieren war, fixiert! Sämtliche Maleware-Scanner drüberlaufen lassen!

Aber diese sch.... (sorry!) Dinger wollen sich immer noch einwählen.

Bleibt wohl bloß noch Plattmachen !?

Das wäre nach Sicherung wichtiger Daten sowieso die einzig wirklich saubere Lösung..........

Hallo Leute,

hab das Problem immer noch, zum Wegsichern und Plattmachen komme ich nicht.

HiJackThis sagt folgendes:

C:\WINDOWS\RUNDLL32.EXE:

Laufender Prozess. (RUNDLL32.EXE)RUNDLL32 is the Microsoft Windows program that loads DLLs into memory so that they can be used by specific programs or by Windows.

Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.

Wie gesagt, alle Maleware-Scanner usw. melden nichts!

Was meint Ihr, was ich noch machen könnte?

Vielen Dank.

Gruß, Woody

Hallo

Auf WinME CD Win9x Ordner öffnen und Suchen wählen

Nicht Nach folgenden Dateien oder Ordner suchen:, Sondern im Eingabefeld Enthaltener Text:
rundll.exe
Eingeben, Suchergebnis ist

rundll.exe ist in WIN_17.CAB

Ergebnis nach suche der anderen beiden Dateien ist

rundll32.exe ist in WIN_17.CAB
explorer.exe ist in WIN_16.CAB

MfG hddiesel

Hallo

Blockiere mal die
C:\WINDOWS\SYSTEM\SUCATREG.EXE

Und Teste
War bei mir die Ursache für die Einwahlversuche.

Laufen noch Einwahlversuche auch die Blockieren

C:\Programme\Windows Media Player\SETUP_WM.EXE

Dann müßtest du Ruhe haben.

MfG hddiesel