Rundll32

[bangdoo]

Guten Morgen Leute,

leider habe ich schon wieder ein Problem mit meinem Windows XP Home Sp2 :-(
Jedes mal wenn ich auf Desktop / Anzeige gehe kommt eine Fehlermeldung wegen rundll32. Wieso ???? Wenn ich mein System runterfahre steht da das Rundll32 nicht beendet werden kann und ich muss auf sofort beenden klicken.

Kann ich dieses Problem lösen und die Datei irgendwie reparieren???
Ist sehr wichtig und deshalb würde ich mich über Hilfe freuen.

Mfg

Bangdoo

 

[Hashishin]

tja ich würde mal so frei heraus sagen, da hast du dir was eingefangen...

ich beschäftige mich noch nich so lange mit dem spass, hab allerdings mal gelesen das es ein "rundll32" garnicht gibt...
suche noch den link dazu...

hatte es übrigens auchmal, hab den fehler nicht gefunden...->

format c:

hilft immer


was wollte ich noch sagen...ah ja:

hasst du mal nach viren gescannt?
ich glaub bei mir war das damals in verbindung mit IBIS (hab ich mit ad-aware gefunden)

MfG
Hashishin

?dit:

Wichtig: Die Datei "rundll32.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei rundll32.exe um einen Virus, Spyware, Trojaner oder Worm!

 

[bangdoo]

Hab ich noch nicht aber werde ich mal tun.

THX

 

[NeonZero]

@Hashishin

Original von Hashishin
format c: hilft immer

Aua. Toller Tipp.

@bangdoo
Die rundll32.exe kann Funktionen aus dll?s per Kommandozeile starten. Um zu verstehen, was ich damit meine, gebe einfach einmal folgende Befehlszeile ein:

"C:\WINDOWS\system32\rundll32.exe" /d shell32.dll,Control_RunDLL desk.cpl

Auf diese Weise läßt sich z.B. der Eigenschaftendialog Deines Desktops starten.

Natürlich gibt es auch Malware jeglicher Art, welche sich diese Datei zunutze machen, jedoch solltest Du hier keinesfalls wild drauf los löschen! Die Ursachen für das Fehlverhalten können vielfältig sein und Du kannst Dein komplettes System mit solchen Fehlaktionen zerschießen. Also erst einmal analysieren^^

Lade Dir dazu den Processexplorer von sysinternals.com herunter, suche nach einem laufenden rundll32-Prozess und poste einfache einmal die Befehlszeile (rechte Maustaste auf den Prozess / Eigenschaften). Über dieses Tool kannst Du zudem versuchen, den Prozess zu beenden. Die Fehlerausschrift wird dann präziser sein.

Bye, nz

 

[Hashishin]

Aua. Toller Tipp.

find ich auch
nee war nich unbedingt ernstzunehmen...

kommt es bei dir vor das du ''umgeleitet'' wirst, wenn du auf manche internetseiten gehst??
wenn due den IE benutzt und dies passiert aud jeden fall activX... deaktivieren!
und nich auf sowas wie

Sie haben Spyware auf dem Rechner, laden sie sich blablabla runter...

rein...dabei lädst du dir nur noch mehr runter...

ich weiß nich wie gut du dich auskennst, darum sag bitte nich sowas wie ''na das weiß ich selber''

 

[bangdoo]

Wenn ich den BEfehl eingebe steht da ungültiges verzeichnis :-(

 

[NeonZero]

Original von bangdoo
Wenn ich den BEfehl eingebe steht da ungültiges verzeichnis :-(

Vergiß das mit dem Befehl. Das war nur ein unwichtiges Beispiel, wie man per rundll den Eigenschaftendialog öffnen kann (wenn Du es dennoch probieren möchtest: Du mußt statt c:\windows das Laufwerk und Verzeichnis angeben, indem Du Windows installiert hast). Hast Du Dir den Processexplorer schon heruntergeladen?

Bye, nz

 

[+++ATH0]

Ich finde es beim ProcExplorer etwas aufwendig sich die einzelnen Threads eines Prozesses anzuschauen.

 

[bangdoo]

ja hab es jetzt runtdergeladen was brachst du jetzt genau??

also ich habe nochwas da kommt erst eine fehlermeldung wegen rundll32 und dann wegen drwtsn32!!

Logfile of HijackThis v1.99.1
Scan saved at 17:35:55, on 24.6.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\mst software\mst Defrag\mstDfrgS.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\HPQ\shared\hpqwmi.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Bangdoo\LOKALE~1\Temp\Rar$EX31.500\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [SunJavaUpdateSched] REM C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1118779718314
O17 - HKLM\System\CCS\Services\Tcpip\..\{131DAFC4-F309-42C4-B784-45378B59F985}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{131DAFC4-F309-42C4-B784-45378B59F985}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{131DAFC4-F309-42C4-B784-45378B59F985}: NameServer = 192.168.2.1
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\shared\hpqwmi.exe
O23 - Service: mst Defrag Service (mstDfrgS) - mst software, Martin Stiemerling, Germany - C:\Programme\mst software\mst Defrag\mstDfrgS.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

 

[NeonZero]

@bangdoo

Original von bangdoo
ja hab es jetzt runtdergeladen was brachst du jetzt genau??

Starte das Programm, suche in der Liste nach rundll32.exe, gehe dort mit der rechten Maustaste drauf und öffne die Eigenschaften. Die Aufrufzeile postest Du hier.

@+++ATH0

Original von +++ATH0
Ich finde es beim ProcExplorer etwas aufwendig sich die einzelnen Threads eines Prozesses anzuschauen.

Welches Programm bevorzugst Du denn zum Threadbrowsing?

Bye, nz

 

[+++ATH0]

Wüsst ich einen besseren, hätte ich ihn auch genannt
Ich habe eher gehofft, dass hier jmd einen guten kennt.

 

[bangdoo]

path: C:\WINDOWS\system32\rundll32.exe

Kommandline: "C:\WINDOWS\system32\rundll32.exe" /d C:\WINDOWS\system32\shell32.dll,Control_RunDLL desk.cpl

current directory: C:\Dokumente und Einstellungen\Bangdoo\

 

[NeonZero]

Original von bangdoo
Kommandline: "C:\WINDOWS\system32\rundll32.exe" /d C:\WINDOWS\system32\shell32.dll,Control_RunDLL desk.cpl

Hä? Du hast den Eigenschaftendialog Deines Desktops permanent geöffnet? Genau das sagt diese Zeile nämlich aus.

Ich hoffe einmal, das ist jetzt nicht der Beispielaufruf von oben(?). Damit wir nicht aneinander vorbei reden, fangen wir am besten ganz von vorne an: Starte den Rechner bitte noch einmal neu, dann rufe den Processexplorer auf und sage mir, ob Du eine rundll32.exe finden kannst (OHNE das Du diese von Hand aufgerufen hast).

Bye, nz

 

[bangdoo]

ok ein moment

nein finde die datei nach dem neustart nicht in der Liste

 

[NeonZero]

Wer lesen kann ist klar im Vorteil: Du hast ja oben schon geschrieben, dass der Fehler nur dann auftritt, wenn Du den Eigenschaftendialog zuvor gestartet hast. Ich dachte, er kommt bei jedem herunterfahren des Rechners. Ich Depp. Somit ist es logisch, dass der Eintrag nach dem reboot nicht mehr vorhanden ist. Sorry.

Versuche noch einmal den Eigenschaftendialog des Desktops aufzurufen. Er wird sich wieder aufhängen (der Dialog wird also nicht angezeigt), aber die rundll32.exe sollte dann im Processexplorer vorhanden sein. Versuche den Prozess nun über den Processexplorer zu beenden (rechte Maustaste auf rundll32.exe / kill process). Mit etwas Glück wird die Fehlermeldung hierbei etwas genauer ausfallen, als beim Shudown des Rechners. Das solltest Du dann hier posten.

Sollte das nichts bringen, wird es leider wesentlich komplizierter. Da Du kein PC-Experte bist, fällt eine tief greifende dependency-Analyse leider flach. Und ehrlich gesagt ist auch die Oberflächenanalyse mit File- und Regmon nicht ganz ohne. Kennst Du nicht jemanden, der Dir dabei helfen kann?

Bye, nz

Nachtrag:

Jedes mal wenn ich auf Desktop / Anzeige gehe kommt eine Fehlermeldung wegen rundll32.

Die genaue Fehlermeldung wäre nicht schlecht.

 

[bangdoo]

LEider kenne ich echt keinen der mir helfen könnte

 

[NeonZero]

Original von bangdoo
LEider kenne ich echt keinen der mir helfen könnte

Aber die genaue Fehlermeldung kannst Du doch posten, oder?

Bye, nz

 

[Hashishin]

es kommt auch drauf an was du für daten auf dem rechner hast...

bevor du dich monate rumquälst ist es einfacher die daten zu speichern und das system wirklich neu aufzusetzen
sollten sie aber zu groß sein kannst du auch zu nem computerladen gehen, das kostet dich allerdings etwas...(und pass auf was du dann auf dem rechner hast^^)

hab übrigens von dir keine virenanalyse gelesen, oder liegt das an mir 8o

bietet windows XP nicht auch nur eine "reperatur" an???
sollte aber auch mit vorsicht zu genießen sein, beir mir gabs danach aus unbekannten gründen noch mehr fehler ;(

MfG
Hashishin