Rundll32 funktioniert nicht mehr.

[Glupus]

Hallo,
mein Problem ist, dass wenn ich auf Start>Systemsteuerung>Anpassung>Bildschirmschoner klicke kommt folgende Fehlermeldung "Windows-Hostprozess (Rundll32) funktioniert nicht mehr" hier die Details:

Problemsignatur:
Problemereignisname: APPCRASH
Anwendungsname: rundll32.exe
Anwendungsversion: 6.0.6000.16386
Anwendungszeitstempel: 4549b0e1
Fehlermodulname: kernel32.dll
Fehlermodulversion: 6.0.6000.16386
Fehlermodulzeitstempel: 4549bd80
Ausnahmecode: c0000005
Ausnahmeoffset: 0002d3da
Betriebsystemversion: 6.0.6000.2.0.0.256.1
Gebietsschema-ID: 1031
Zusatzinformation 1: ea2d
Zusatzinformation 2: ef5dc1d6fba92dff7a4cb3986d83b6a7
Zusatzinformation 3: 6593
Zusatzinformation 4: 4cac2aecfc251eb45b4459369ebd7d8d

dieses Problem habe ich bisher nur beim Bildschirmschoner gefunden. Ich habe gemerkt, dass ich während der Installation neuer Graka-Treiber(8800GT) auf den Bildschirmschoner zugreifen kann, jedoch nicht mehr nach dem Neustart. Ich habe auch schon andere(ältere) Treiber und die neusten Treiber versucht...immer das gleiche während der Installation gehts davor und danach nicht mehr.
Zudem bekomme ich jedesmal beim Systemstart die Nachricht dass die qOijjjIX.dll Datei fehlt "Fehler beim Laden von C:\Windows ßsystem32\qOijjjIX.dll" "Das angegeben Modul wurde nicht gefunden.

Kann mir jemand bei einem der beschriebenen Probleme helfen?

Danke schonmal im Vorraus

MFG Glupus

 

[werkam]

Virus?
qOijjjIX.dll ist jedenfalls keine bekannte Windows System DLL.

 

[Glupus]

Hmm könnte sein. Das hatte ich nachdem ich es irgendwie geschafft hatte den PC so zu infizieren, dass ich von einem anderen Betriebssystem starten musste, weil Vista sofort wieder runtergefahren ist nach dem Start.
Allerdings habe ich ausser den beschriebenen Problemen eigentlich keine. Kann es evt sein, dass dies die Reste eines gelöschten Virus oder so ähnlich sind?
Naja ich werde dann auf jeden Fall noch einmal einen Intensiv Scan machen, wenn ich die Zeit dazu habe.

 

[jodd]

... einen Intensiv Scan machen, wenn ich die Zeit dazu habe.

macht dann das neuinstallieren nicht mehr sinn?

 

[Glupus]

Mir ist gerade aufgefallen, dass im Task-Manager 2 Pozesse mit Namen "rundll32.exe" laufen. Hat das irgendetwas zu bedeuten?

 

[milch]

rundll32.exe aus Verzeichnis:
%systemroot%\system32 = okay. Anderes Verzeichnis = Virus.

Sicherlich direkt nach Vista Installation UAC deaktiviert?

 

[Glupus]

Ne eigentlich nicht...wusste nicht, dass es geht. Wenn ichs gewusst hätte, hätte ich es ausgeschaltet
Die rundll32.exe sind beide aus c:\Windows\System32\rundll.exe mich wundert nur, warum es 2 gleiche Prozesse sind. Dachte vielleicht, dass die sich beide irgendwie gegenseitig behindern, sodass keins von beiden richtig läuft.
Weiß denn irgendjemand, was es mit den Graka-Treibern auf sich hat, weil es ja scheinbar irgendetwas damit zu tun hat?

 

[werkam]

Dann sieh doch mal in der Registry nach, welches Tool/Treiber/Programm automatisch die Rundll32 startet und benutzt. Normal wird nur eine DLL als Programm aufgerufen und dann beendet sich die rundll32 wieder automatisch, ausser wenn Fehler auftauchen, die werden ja dann gemeldet. Also kann die Datei an sich auch infiziert sein?

Aufgrund ihrer häufigen Verwendung durch Programme, durch die rundll32 in der Prozessliste häufig auftauchen kann, wird die rundll32 oft von Viren, Spyware und ähnlichem als „Namensgeber“ für deren Schädlingsprogramme genutzt. Daher ist eine Datei außerhalb von %windir% mit dem Namen rundll32.exe in den meisten Fällen ein Virus.

Eine bösartig ersetzte Original-RunDLL wird aber von der Windows-Funktion Systemwiederherstellung abgesichert, die Systemdateien automatisch auf einen verlässlichen Zustand zurücksetzt. Wenn es dem Schädling aber gelingt, Aufrufe der RunDLL auf die bösartige Version umzubiegen, ohne dass das bemerkt wird, handelt es sich um einen sehr bedrohlichen Schadensfall.

http://de.wikipedia.org/wiki/Rundll32
Lies mal unter Parameter auf der WIKI Seite nach, welche Funktionen durch die Rundll32 aufgerufen werden vom System, dann durchsuche mal schön die Registry in den Auto-Startordnern (Run, RunOnce, RunServices aller User) nach unbekannten Einträgen der Rundll32, diese löscht/deaktivierst Du. Wenn Du keinen Plan davon hast, ist eine Neuinstallation schneller und erfolgreicher. Leider.

Helfen um dem Schädling auf die Spur zu kommen, Process Explorer ausführen und alle Processe checken lassen, Autoruns geht auch. HighJack laufen lassen und analysieren lassen ggf. Einträge öschen lassen.

 

[olympiakos]

Den Process Explorer laden, auf die rundll32.exe doppelklicken und schauen was im Reiter Image > Command Line steht.

Virus, oder Trojaner nehme ich an.