explorer.exe und rundll32.exe wollen sich ins Internet einwählen

Dieses Thema explorer.exe und rundll32.exe wollen sich ins Internet einwählen im Forum "Windows 95-2000" wurde erstellt von woody111, 4. Apr. 2005.

Thema: explorer.exe und rundll32.exe wollen sich ins Internet einwählen Hallo, seit kurzer Zeit wollen sich explorer.exe und rundll32.exe ständig ins Internet einwählen. Die Firewall...

  1. Hallo,

    seit kurzer Zeit wollen sich explorer.exe und rundll32.exe ständig ins Internet einwählen. Die Firewall (ZoneAlarm) blockiert es zwar, aber ich weiß nicht, wie sich das wieder beheben läßt.

    Hat jemand einen Tip?

    Vielen Dank.

    Gruß

    Woody
     
  2. System scannen mit aktuellen Malwarescannern..........
     
  3. Tja, ich hab schon alles Mögliche probiert: AntiVir6, Adaware6, Spybot, hab soeben auch nochmal mit a-squared (a² Free) gescannt. Er hat zwar ein paar Dateien gefunden und repariert, aber das Problem bleibt das gleiche. Die Dateien wollen sich immer noch einwählen. Hab ich noch nie erlebt, sind doch eigentlich ganz normale Systemdateien, oder nicht?

    Kann mir jemand noch ein Programm (am besten Freeware) empfehlen oder weiß eine andere Lösung?

    Vielen Dank!

    Gruß

    Woody

    Noch zur Info: habe Win98, 1. Ausgabe.
     
  4. Führ den Scann am besten im abgesicherten Modus aus, hier wird nur das nötigste geladen. Bei dir starten sie beim Systemstart mit, da sie sich auch gleich einwählen wollen. Wenn diese Prozesse im Hintergrund mitlaufen, können sie dann auch nicht gelöscht werden, weil sie im gebraucht sind (alternativ kannst du die Prozesse auch im Task killen, wenn du genau weisst, welche Anwendungen dazu gehören, aber der abgesicherte Modus ist einfacher ;)).
    Es gibt diese Systemdateien. Schädlinge in der Art verpassen sich einfach diese Systemnamen, liegen aber nicht im Originalpfad.
     
  5. hp
    hp
    wenn dann im abgesicherten dos modus, im abgesicherten gui modus läuft die explorer.exe ja mit ...

    greetz

    hugo
     
  6. Gemeint war der Schädling explorer.exe, nicht das Original ;)
     
  7. hp
    hp
    natürlich ist der schädling gemeint, nur um sicherzugehn, daß nicht doch der original explorer infiziert ist, sollte man im abgesicherten dos-modus starten und den original explorer von der cd runterkopieren und alle anderen exemplare, die nicht unter c:\windows stehn, löschen. ich vermute daß es backdoor-trojaner sind, da er ja w98 einsetzt kann es kein wurm sein ... hier mal ein paar beispiele von sophos: explorer.exe http://www.sophos.de/search/?virus_search=1&terms=explorer.exe und rundll32.exe http://www.sophos.de/search/?search=rundll32.exe&action=search&submit=Suchen wobei bei beiden suchkriterien überlappende ergebnisse kommen, da die viren/trojaner/würmer dieselben sind ...

    greetz

    hugo
     
  8. Okisch, jetzt ist ein eindeutlicher. In meiner Ausführung wurde von einem anderen Pfad, als die des beim Original ausgegangen. Deshalb sollte man auch immer eine nachvollziehbare Erklärung dazu abgegeben, ein Leie kann aus deinem Satz nicht das richtige ableiten :)
     
  9. Hallo,

    vielen Dank erst mal für Eure Mühe.

    ich habe jetzt x Scanner ausprobiert. Viele finden nix, bei anderen wiederum kenn ich mich nicht aus und das Löschen der Suchergebnisse wäre mir zu gefährlich.

    Die beiden Dateien wollen nach wie vor einwählen.

    Aber eins ist mir aufgefallen: Spybot 1.3 hat folgenden Eintrag gefunden:

    CoolWWWSearch.WinRes: Trusted Site (Registrierungsdatenbank-Änderung, nothing done)
      HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\offshoreclicks.com\*!=W=4

    Beim Veruch, das Problem zu beheben, kommt die Meldung: Einige Probleme konnten nicht behoben werden. Der Gund könnte sein, dass die entsprechenden Dateien immer noch im Speicher residieren. Dies kann wahrscheinlich nach einem Neustart behoben werde. Darf Spybot mit dem nächsten Systemstart automatisch mitstarten?

    Ich klicke dann auf  ja. Aber Spybot startet nicht automatisch mit. Auch habe ich Spybot schon vor dem Scan in den Autostart gelegt, es startet trotzdem nicht mit.

    Naja, auf jeden Fall hätt' ich die Frage, ob ich den og. gefundenen Registry-Eintrag ohne Bedenken löschen kann, evtl. den ganzen Ordner offshoreclicks.com ?

    Danke!