Rundll.exe

[R8DER]

Nachdem ich die heilige Suchmaschiene befragt hab und nichts gefunden hab frag ich mal hier!

Was isses und wofür, und wird das Proggie (??) ublicherweise net nur einmal pro Sitzung gestartet??

[Net-srac]

Also, mit der Rundll.exe lassen sich DLL dateien Starten, das kannst du ausprobieren, indem du einfach mal die Rundll folgendermaßen aufrufst.

START-> Ausführen

rundll32.exe User,swapmousebutton

damit lassen sich standartfunktionen unter Windows aufrufen. Das nutzt Windows natürlich genauso. Wenn irgendwelche Menüs aufgehen (Systemsteuerung, Diskette formatieren...) selbst Windows herunterfahren übernimmt ein Aufruf einer DLL die über die Rundll aufgerufen wird.

Allerdings nennen manche Cracker auch ihre Trojaner Rundll, damit sie, wenn sie gestartet werden ausschauen wie irgendwelche Systemprogramme. z.B. Sub7 heißt gaanz oft so.

Greetz

[R8DER]

Also kann es sein wenn in der Taskleiste 2x RunDLL.exe aktiv is, ein Trojan am Arbeiten ist???

[Crush1]

Sein kann das schon, allerdings Trojaner versuchen sich als "Vorprogramm" vor andere Programme zu hängen, welche meist einen Process auf einen eigenen Namen starten oder sie klinken sich bei der Registry in Microsoft/Windows/Run oder RunOnce ein. Es ist um ehrlich zu sein sehr schwer diese Trojaner so zu erkennen. Oft starten die eigene Threads und die kannst Du nur mit entsprechenden Tools betrachten. Es gibt auch system-Snooper, die kontrollieren welche Tasks wie oft auf welche Dateien zugreifen. Hier kann man bei Überaktivität die ungewollt ist schon Trojaner- oder Virenverdacht äußern. Wie gesagt ist das ein Thema, in dem man selber nur weiterkommt wenn man ein "Gespür" für unerlaubte Threads entwickelt. Am besten ist es alle Zugriffe mitzuprotokollieren und dann kann man im Nachhinein alles nocheinmal genau betrachten und austesten.

[Net-srac]

Oder, du installierst eine Firewall like ZoneAlarm, die sagt dir dann, welche Programme alle ins Internet wollen. Da jeder Trojaner irgendwann mal rauswill, wirst du ihn früher oder später auch erkennen und ihm den Zugriff verweigern können. Allerdings hast du dann schonmal einen Namen.

Guck einfach mal in der Registry, was da so alles bei

HKEY-Local Machine -> Software -> Microsoft -> Windows -> Current Version -> Run und Runonce

steht. Für gewöhnlich tragen sich trojaner da ein. dann hast du den Pfad zu der datei, die der eigentliche Trojaner ist. Finde und lösche sie am besten.

Aber frag vorsichtshalber nochmal hier nach, ob es auch die richtige ist, die du löschen willst.

Greetz

[maddin]

<BLOCKQUOTE><font size="1" face="Verdana, Arial, Helvetica, sans-serif">Zitat:</font><HR>Original erstellt von FaFo:

<STRONG>Also, mit der Rundll.exe lassen sich DLL dateien Starten, das kannst du ausprobieren, indem du einfach mal die Rundll folgendermaßen aufrufst.

</STRONG>

[Technician]

Eine Anmerkung:

Bei diesen rundll-Trojanern ist (mindestens) eines der L's ein I -> das fällt bei der Standard-Windowsschrift nicht auf...

Technician

[Manne]

Hi R8der,

schau doch mal auf dieser Seite nach, dort findest du eine gute Erklärung über die rundll.exe bzw. rundll32.exe und eine Liste mit Beispielen.

Manne

[R8DER]

Würde es ja ignorieren, is eh nur aufm Zocker und MusikOS, aber wenn ich runterfahren will macht er Probs und schmiert ab!!!

Ach ja, die doppelte Rundll.exe is auch nur offen wenn ich Reason starte!

Aber bis jetzt Danke !!!

[Crush1]

Also die gemeinsten Trojaner sind die Werbe-Ads (weiß ich aus eigener Erfahrung). Der Bearshare installiert sowas ganz gemeines wenn er selber installiert wird. Dieser hat auch meine Kiste in die Knie gezwungen. Suche mal im Internet nach der Fa. Lavasoft und dort nach AD-AWARE. Dazu dann das neueste Sig(nal)-File und laß das mal durchlaufen. Danach hat bei mir alles wunderbar geklappt. (Allerdings muß ich sagen, daß ich schon einen ganz gemeinen gefunden habe, der sich auf diese Methode nicht löschen ließ - da mußte ich selber nach den Dateien suchen - aber Adaware kann ja auch nicht alles wissen). MEIN GEHEIMTIP!!!