Sind rundll32.exe und powrprof.dll böse? |
||
---|---|---|
#0
| ||
16.11.2004, 20:44
Member
Beiträge: 1132 |
||
|
||
16.11.2004, 21:23
Moderator
Beiträge: 7805 |
#2
Nein, das sollte sauber sein. Vieleicht aeussert sich "Matze" dazu ja noch, bzw aendert es.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.11.2004, 21:45
Member
Beiträge: 20 |
#3
Die Einträge mit LoadPowerProfile sollten nun richtig erkannt werden.
__________ Automatische HijackThis-Auswertung auf www.hijackthis.de |
|
|
||
17.11.2004, 08:01
Member
Themenstarter Beiträge: 1132 |
#4
@raman und Matze04
danke für Eure Mühe. Habe so etwas in der Richtung schon vermutet,war mir aber nicht sicher. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 17.11.2004 um 08:02 Uhr von Heron editiert.
|
|
|
||
17.11.2004, 15:31
Member
Beiträge: 17 |
#5
Mal ne Frage, was mache ich, wenn ich die rundll32.exe löschen musste, weil sie laut der hijack.this auswertung infiziert war. Wo bekomme ich die wieder her und ist das überhaupt nötig?
MfG StOe |
|
|
||
17.11.2004, 15:36
Moderator
Beiträge: 7805 |
#6
Ja, die wird durchaus manchmal noch gebraucht um dll Datien zu starten. Du kannst sie einfach von einem Rechner kopieren, der das selbe Betriebsystem wie du installiert hat.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.11.2004, 16:04
Member
Beiträge: 17 |
#7
Und da haben wir schon das nächste Problem. Gibts hier jemanden, der Win98 auf Windows ME geupdated hat und mir evtl. die rundll32.exe per mail schicken könnte? Vielen Dank erstmal,
MfG StOe |
|
|
||
17.11.2004, 19:41
Member
Themenstarter Beiträge: 1132 |
#8
Hallo Stoe,
hast Du die rundll32.exe tatsächlich physisch gelöscht oder nur den Registry-Eintrag mit HJT gefixt? Im letzteren Falle brauchst Du nur die Wiederherstellungsfunktion von HJT zu benutzen, um die Löschung des Eintrages rückgängig zu machen. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
17.11.2004, 22:59
Member
Beiträge: 17 |
#9
So dumm es klingt, hab sie mit der Suchen-Funktion gesucht und gelöscht, denn mit HJT war sie gar nicht angezeigt. Hab nur immer in der Auswertung auf der HJT Seite angezeigt bekommen, dass die Datei böse ist und gelöscht werden muss...
|
|
|
||
18.11.2004, 08:01
Member
Themenstarter Beiträge: 1132 |
#10
Hallo Stoe,
das ist natürlich fatal! Würde Dir gerne helfen. Leider habe ich nicht herausbekommen wie man Dateien im Board-Mail verschickt. Vielleicht schickst Du mir eine Private Message mit Deiner E-mail Adresse, dann sende ich Dir dieses Teil zu. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 18.11.2004 um 08:02 Uhr von Heron editiert.
|
|
|
||
29.11.2004, 12:02
...neu hier
Beiträge: 1 |
#11
Hallo,
hatte gestern mit dem gleichen Problem zu tun. Ich hab die rundll32.exe (und andere) unter folgendem Link gefunden: http://www.spywareinfo.com/~merijn/winfiles.html (es wird darauf hingewiesen, daß die Dateien von US-Englischen Originalen stammen. Ich sehe darin jedoch keine Schwierigkeit - oder habe ich etwas wichtiges nicht beachtet?) Gruß tonitrus |
|
|
||
29.11.2004, 12:19
Moderator
Beiträge: 7805 |
#12
Das sollte schon funktionieren. Nicht optimal, aber ein versuch ist es wert!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.11.2004, 15:24
Member
Beiträge: 1095 |
#13
Zitat Bei meiner letzten automatischen Auswertung des HJT-Logs kam bei mir die Meldung, dass ich die beiden ZeilenVielleicht nochmal für alle, die Mitlesen, zur Verdeutlichung. Diese Einträge sind unter Win9x und WinME normal und werden von Windows angelegt. Die Rundll32.exe ist eine WINDOWS SYSTEM Datei. Wenn man die Einträge in HiJackThis fixt werden Sie von Windows wieder angelegt. NIEMALS die rundll32.exe löschen. Es sei den euer Virenscanner meckert diese als virulent an. Dies könnte zumindest theoretisch vorkommen, wenn ein Virus die Datei angreift. Im Normalfall aber nicht. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
O4 - HKLM\..\Run:[LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices:[LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
unbedingt fixen sollte.
Die Suche hier im Forum hat mir gezeigt, dass dieses "Problem" in vielen Logs auftaucht und immer ein Fixen empfohlen wird.
Einiges intensives Googlen erbrachte keinerlei Hinweise auf den bösartigen Charakter der beiden Dateien und auch nicht für LoadPowerProfile. Es scheint sich hier um MS-Windows Systemdateien zu handeln.
Ein Scan meines Systems mit eScan und auch die Überprüfung der Dateien in Jotti's Malware Scan verlief negativ.
Lediglich ein Hinweis habe ich beim beim Recherchieren gefunden: die Dateien und der Prozeß sind MS-Windows zuzuordnen, die Namen können jedoch durch bestimmte Spyware mißbraucht werden.
Also fixen oder nicht fixen, das ist hier die Frage, und wo liegt das Problem?
Wäre sehr dankbar für einen Tipp seitens der Forum-Profis.
Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch