[HaBo]

Foxalem · 22.10.04, 22:14

Hallo ihr,
immer wenn ich meinen PC herunterfahre zeigt er mir an "Rundll32.exe reagiert nicht" dann einen ladebalken und dann kann man sofort-beenden oder abrechen drücken, ich hoffe ihr wisst was ich mein. Wisst ihr zufällig wie ich das ändern kann, das heißt das sich rundll32.exe automatisch schließt?
vielen dank für die hilfe
MFG
Foxalem

SUID:root · 23.10.04, 00:27

Ja, ich weiß was du meinst.
Die Rundll32.exe ist das A und O deines Systems. Aus irgendeinem Grund wird sie nicht beendet, ergo fährt dein System nicht runter.

Dies kann aber so viele Ursachen haben ...
Von daher kannst du hoffen, dass es von sellbst wieder verschwindet oder du setzt dein System mal auf einen früheren Wiederherstellungs-Zeitpunkt zurück.

Könnte das Problem lösen.

Gruss

root

Anzeige

- Anzeige -

Foxalem · 31.12.04, 03:17

Ich hab nun letztens rausgefunden das sich die rundll32.exe beim Taskmanager 2 mal bei den Prozessen aufhält, beende ich eine der beiden prozesse kann ich das system wunderbar herrunterfahren (ausser das norten noch ein bisschen rumnervt aber das löst sich von selbst nach 3 sekunden)

ghostdog · 31.12.04, 12:31

ich hab letztens bei mir was ganz raffiniertes gefunden. ein virus oder trojaner hat die rundll32.exe so modifiziert, dass sie automatisch wenn sie geladen wird einen neuen thread startet mit der startadresse zu einer agressiven datei, die mir nicht gehört.
rundll32.exe ist sehr anfällig für viren, wenn du sie löschst wird sie neu gebaut von windows. (bei winxp jedenfalls)

Foxalem · 31.12.04, 13:38

Ok ich probiers mal aus, ich lösch sie aber nicht sondern nenn sie nur um

...
dann kannichs wenigstens noch rückgängig machen mit der Win-XP CD ohne alle XP datein zu löschen...

MfG
Foxalem

SUID:root · 31.12.04, 17:34

@Themenstarter: Starte mal die Windowssuche und lass mal nach rundll32.exe suchen.

Eigentlich solltest du nur einen rundll32 in windows\system32 finden.
Wenn mehr als eine gefunden wird ( z.B.: in windows), solltest du skeptisch sein, denn manche Malware tarnt sich mit Systemdatei-Namen indem sie sich in einem anderen Ordner ablegt als das Original.

So kann sie im Taksmanager laufen, ohne dass der User Verdacht schöpft.

Gruss

root

Foxalem · 01.01.05, 02:12

gute idee.. ich stell mal das ergebniss rein weil sehr viele sachen gefunden wurden ...

MFG
Foxalem

SUID:root · 01.01.05, 17:20

Hallo,

das sieht soweit gut aus.
Allerdings ist es seltsam, dass die rundll32 doppelt läuft.
Es kann sehr gut sein, dass eine neue Instanz der Rundll32 durch Malware gestartet wurde, z.B. um einen FW-Bypass herbeizuführen.

Wie hbier schon geschrieben hat, gibt es Code-Injection um sich beliebiger Prozesse als Wirt zu bedienen.
Du solltest auf jeden Fall mal checken was ein Virenscan mit aktuellen Datenbanken und deine FW sagen.

Darf die Rundll32 durch die FW? Wenn ja, dann unterbinde es.

Vielleicht ist es auch nur falscher Alarm. Ich bin bei sowas aber immer sofort skeptisch.

Gruss

root

Foxalem · 01.01.05, 17:31

Also durch Outpost (die freeware-firewall) gehts nich durch (rundll32.exe)... aber bei Norton Internet Security hab ich ne datei gefunden die heißt dllhost.exe und die wird zugelassen, is allerdings bei Outpost nich aufgelistet.. die datei gefällt mir irgendwie nich.. was ist das?

die Rundll32.exe wurde bei NIS garnicht aufgeführt und hab sie jetzt rein und blockiert

MFG
Foxalem

P.S.: Von wegen nicht aufgeführt.. es war eine regel erstellt für Windows Update und das hab ich nun mal gesperrt.. ich müsste dann nunroch wissen ob ich die neusten windows updates mir überhaupt noch ziehen kann jetzt... es sind leider noch keine aktuellen da

SUID:root · 01.01.05, 17:55

Solange die Rundll32 sich nicht raus verbinden kann, ist es schonmal okay.
Die dllhost ist eine Systemdatei und im Normalfall harmlos.

Falls du dir mal nicht sicher bist, ob ein Prozess ein Systemprozess ist oder nicht, kann ich dir diese Links für einen Schnellüberblick empfehlen.

http://www.liutilities.com/products/...rocesslibrary/

http://www.liutilities.com/products/.../allprocesses/

http://www.liutilities.com/products/...ro/dlllibrary/

http://www.liutilities.com/products/...brary/alldlls/

Gruss

root

Foxalem · 01.01.05, 18:07

Oh cool dankeschön...
kann mir jemand von euch vielleicht einfach mal ein kleines Script schreiben sodas ich einfach nur das *.vbs öffnen muss und dann schließt der den rundll32.exe process?.. oder das dann am besten gleich mit herunterfahren verbinden? wäre echt cool

MFG
Foxalem

Anzeige

- Anzeige -

22.10.04, 22:14	#1 (permalink)
Foxalem Registriert seit: 07.02.04 Likes: 0	Rundll32.exe immer sofort beenden Anzeige Hallo ihr, immer wenn ich meinen PC herunterfahre zeigt er mir an "Rundll32.exe reagiert nicht" dann einen ladebalken und dann kann man sofort-beenden oder abrechen drücken, ich hoffe ihr wisst was ich mein. Wisst ihr zufällig wie ich das ändern kann, das heißt das sich rundll32.exe automatisch schließt? vielen dank für die hilfe MFG Foxalem

31.12.04, 12:31	#4 (permalink)
ghostdog Senior Member Registriert seit: 18.05.04 Likes: 0	ich hab letztens bei mir was ganz raffiniertes gefunden. ein virus oder trojaner hat die rundll32.exe so modifiziert, dass sie automatisch wenn sie geladen wird einen neuen thread startet mit der startadresse zu einer agressiven datei, die mir nicht gehört. rundll32.exe ist sehr anfällig für viren, wenn du sie löschst wird sie neu gebaut von windows. (bei winxp jedenfalls) __________________ Die neuen Desire Z und Desire HD Smartphones

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Systemeigenschaften per Rundll32 - XP-konfusion	Inkarnat	Windows	5	27.07.07 23:57
Rundll32	bangdoo	Windows	17	26.06.05 18:44
Frage zu Rundll32 Befehlen	Fusion	Windows	1	18.05.03 00:08

23.10.04, 00:27	#2 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Ja, ich weiß was du meinst. Die Rundll32.exe ist das A und O deines Systems. Aus irgendeinem Grund wird sie nicht beendet, ergo fährt dein System nicht runter. Dies kann aber so viele Ursachen haben ... Von daher kannst du hoffen, dass es von sellbst wieder verschwindet oder du setzt dein System mal auf einen früheren Wiederherstellungs-Zeitpunkt zurück. Könnte das Problem lösen. Gruss root

31.12.04, 03:17	#3 (permalink)
Foxalem Themenstarter Registriert seit: 07.02.04 Likes: 0	Ich hab nun letztens rausgefunden das sich die rundll32.exe beim Taskmanager 2 mal bei den Prozessen aufhält, beende ich eine der beiden prozesse kann ich das system wunderbar herrunterfahren (ausser das norten noch ein bisschen rumnervt aber das löst sich von selbst nach 3 sekunden)

31.12.04, 13:38	#5 (permalink)
Foxalem Themenstarter Registriert seit: 07.02.04 Likes: 0	Ok ich probiers mal aus, ich lösch sie aber nicht sondern nenn sie nur um ... dann kannichs wenigstens noch rückgängig machen mit der Win-XP CD ohne alle XP datein zu löschen... MfG Foxalem

31.12.04, 17:34	#6 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	@Themenstarter: Starte mal die Windowssuche und lass mal nach rundll32.exe suchen. Eigentlich solltest du nur einen rundll32 in windows\system32 finden. Wenn mehr als eine gefunden wird ( z.B.: in windows), solltest du skeptisch sein, denn manche Malware tarnt sich mit Systemdatei-Namen indem sie sich in einem anderen Ordner ablegt als das Original. So kann sie im Taksmanager laufen, ohne dass der User Verdacht schöpft. Gruss root

01.01.05, 02:12	#7 (permalink)
Foxalem Themenstarter Registriert seit: 07.02.04 Likes: 0	gute idee.. ich stell mal das ergebniss rein weil sehr viele sachen gefunden wurden ... MFG Foxalem

01.01.05, 17:20	#8 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Hallo, das sieht soweit gut aus. Allerdings ist es seltsam, dass die rundll32 doppelt läuft. Es kann sehr gut sein, dass eine neue Instanz der Rundll32 durch Malware gestartet wurde, z.B. um einen FW-Bypass herbeizuführen. Wie hbier schon geschrieben hat, gibt es Code-Injection um sich beliebiger Prozesse als Wirt zu bedienen. Du solltest auf jeden Fall mal checken was ein Virenscan mit aktuellen Datenbanken und deine FW sagen. Darf die Rundll32 durch die FW? Wenn ja, dann unterbinde es. Vielleicht ist es auch nur falscher Alarm. Ich bin bei sowas aber immer sofort skeptisch. Gruss root

01.01.05, 17:31	#9 (permalink)
Foxalem Themenstarter Registriert seit: 07.02.04 Likes: 0	Also durch Outpost (die freeware-firewall) gehts nich durch (rundll32.exe)... aber bei Norton Internet Security hab ich ne datei gefunden die heißt dllhost.exe und die wird zugelassen, is allerdings bei Outpost nich aufgelistet.. die datei gefällt mir irgendwie nich.. was ist das? die Rundll32.exe wurde bei NIS garnicht aufgeführt und hab sie jetzt rein und blockiert MFG Foxalem P.S.: Von wegen nicht aufgeführt.. es war eine regel erstellt für Windows Update und das hab ich nun mal gesperrt.. ich müsste dann nunroch wissen ob ich die neusten windows updates mir überhaupt noch ziehen kann jetzt... es sind leider noch keine aktuellen da

01.01.05, 17:55	#10 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Solange die Rundll32 sich nicht raus verbinden kann, ist es schonmal okay. Die dllhost ist eine Systemdatei und im Normalfall harmlos. Falls du dir mal nicht sicher bist, ob ein Prozess ein Systemprozess ist oder nicht, kann ich dir diese Links für einen Schnellüberblick empfehlen. http://www.liutilities.com/products/...rocesslibrary/ http://www.liutilities.com/products/.../allprocesses/ http://www.liutilities.com/products/...ro/dlllibrary/ http://www.liutilities.com/products/...brary/alldlls/ Gruss root

01.01.05, 18:07	#11 (permalink)
Foxalem Themenstarter Registriert seit: 07.02.04 Likes: 0	Oh cool dankeschön... kann mir jemand von euch vielleicht einfach mal ein kleines Script schreiben sodas ich einfach nur das *.vbs öffnen muss und dann schließt der den rundll32.exe process?.. oder das dann am besten gleich mit herunterfahren verbinden? wäre echt cool MFG Foxalem

[HaBo]

Rundll32.exe immer sofort beenden