Sind rundll32.exe und powrprof.dll böse?

#0
16.11.2004, 20:44
Member

Beiträge: 1132
#1 Bei meiner letzten automatischen Auswertung des HJT-Logs kam bei mir die Meldung, dass ich die beiden Zeilen
O4 - HKLM\..\Run:[LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices:[LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
unbedingt fixen sollte.
Die Suche hier im Forum hat mir gezeigt, dass dieses "Problem" in vielen Logs auftaucht und immer ein Fixen empfohlen wird.
Einiges intensives Googlen erbrachte keinerlei Hinweise auf den bösartigen Charakter der beiden Dateien und auch nicht für LoadPowerProfile. Es scheint sich hier um MS-Windows Systemdateien zu handeln.
Ein Scan meines Systems mit eScan und auch die Überprüfung der Dateien in Jotti's Malware Scan verlief negativ.
Lediglich ein Hinweis habe ich beim beim Recherchieren gefunden: die Dateien und der Prozeß sind MS-Windows zuzuordnen, die Namen können jedoch durch bestimmte Spyware mißbraucht werden.
Also fixen oder nicht fixen, das ist hier die Frage, und wo liegt das Problem?

Wäre sehr dankbar für einen Tipp seitens der Forum-Profis.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
16.11.2004, 21:23
Moderator

Beiträge: 7792
#2 Nein, das sollte sauber sein. Vieleicht aeussert sich "Matze" dazu ja noch, bzw aendert es.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.11.2004, 21:45
Member

Beiträge: 20
#3 Die Einträge mit LoadPowerProfile sollten nun richtig erkannt werden.
__________
Automatische HijackThis-Auswertung auf www.hijackthis.de
Seitenanfang Seitenende
17.11.2004, 08:01
Member

Themenstarter

Beiträge: 1132
#4 @raman und Matze04

danke für Eure Mühe. Habe so etwas in der Richtung schon vermutet,war mir aber nicht sicher.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 17.11.2004 um 08:02 Uhr von Heron editiert.
Seitenanfang Seitenende
17.11.2004, 15:31
Member

Beiträge: 17
#5 Mal ne Frage, was mache ich, wenn ich die rundll32.exe löschen musste, weil sie laut der hijack.this auswertung infiziert war. Wo bekomme ich die wieder her und ist das überhaupt nötig?

MfG StOe
Seitenanfang Seitenende
17.11.2004, 15:36
Moderator

Beiträge: 7792
#6 Ja, die wird durchaus manchmal noch gebraucht um dll Datien zu starten. Du kannst sie einfach von einem Rechner kopieren, der das selbe Betriebsystem wie du installiert hat.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
17.11.2004, 16:04
Member

Beiträge: 17
#7 Und da haben wir schon das nächste Problem. Gibts hier jemanden, der Win98 auf Windows ME geupdated hat und mir evtl. die rundll32.exe per mail schicken könnte? Vielen Dank erstmal,

MfG StOe
Seitenanfang Seitenende
17.11.2004, 19:41
Member

Themenstarter

Beiträge: 1132
#8 Hallo Stoe,

hast Du die rundll32.exe tatsächlich physisch gelöscht oder nur den Registry-Eintrag mit HJT gefixt?
Im letzteren Falle brauchst Du nur die Wiederherstellungsfunktion von HJT zu benutzen, um die Löschung des Eintrages rückgängig zu machen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
17.11.2004, 22:59
Member

Beiträge: 17
#9 So dumm es klingt, hab sie mit der Suchen-Funktion gesucht und gelöscht, denn mit HJT war sie gar nicht angezeigt. Hab nur immer in der Auswertung auf der HJT Seite angezeigt bekommen, dass die Datei böse ist und gelöscht werden muss...
Seitenanfang Seitenende
18.11.2004, 08:01
Member

Themenstarter

Beiträge: 1132
#10 Hallo Stoe,

das ist natürlich fatal!
Würde Dir gerne helfen. Leider habe ich nicht herausbekommen wie man Dateien im Board-Mail verschickt. Vielleicht schickst Du mir eine Private Message mit Deiner E-mail Adresse, dann sende ich Dir dieses Teil zu.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 18.11.2004 um 08:02 Uhr von Heron editiert.
Seitenanfang Seitenende
29.11.2004, 12:02
...neu hier

Beiträge: 1
#11 Hallo,
hatte gestern mit dem gleichen Problem zu tun.
Ich hab die rundll32.exe (und andere) unter folgendem Link
gefunden:
http://www.spywareinfo.com/~merijn/winfiles.html

(es wird darauf hingewiesen, daß die Dateien von US-Englischen
Originalen stammen. Ich sehe darin jedoch keine Schwierigkeit -
oder habe ich etwas wichtiges nicht beachtet?)

Gruß tonitrus
Seitenanfang Seitenende
29.11.2004, 12:19
Moderator

Beiträge: 7792
#12 Das sollte schon funktionieren. Nicht optimal, aber ein versuch ist es wert!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.11.2004, 15:24
Member

Beiträge: 1095
#13

Zitat

Bei meiner letzten automatischen Auswertung des HJT-Logs kam bei mir die Meldung, dass ich die beiden Zeilen
O4 - HKLM\..\Run:[LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices:[LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
unbedingt fixen sollte.
Vielleicht nochmal für alle, die Mitlesen, zur Verdeutlichung.
Diese Einträge sind unter Win9x und WinME normal und werden von Windows angelegt. Die Rundll32.exe ist eine WINDOWS SYSTEM Datei.
Wenn man die Einträge in HiJackThis fixt werden Sie von Windows wieder angelegt.

NIEMALS die rundll32.exe löschen. Es sei den euer Virenscanner meckert diese als virulent an. Dies könnte zumindest theoretisch vorkommen, wenn ein Virus die Datei angreift. Im Normalfall aber nicht.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: