Trojaner-Board - rundlg32.dll Spyware.Iwantsearch

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - rundlg32.dll Spyware.Iwantsearch (https://www.trojaner-board.de/8175-rundlg32-dll-spyware-iwantsearch.html)

rundlg32.dll Spyware.Iwantsearch

Hallo Leute,
ich bin in diesem Board neu und benötige Hilfe. Norton findet in dem Ordner
C:\Windows\DownloadProgrammFiles den im Titel genannten Eintrag. Dieser lässt sich nicht entfernen mit Adaware, Spybot Search & Destroy. Mein Logfile von Hijackthis setze ich im Anhang mit rein.

Es wäre nett eine Hilfestellung zu erhalten. Ich habe folgenden Eintrag in einem anderen Forum im Zusammenhang mit der o.a. Spyware gelesen und verstehe das nicht richtig.

C:\Windows\Downloaded Program Files ist ein Systemordner, der über eine Datei namens Desktop.ini verfügt, die ihm einem bestimmten Typ zuordnet. In diesem Ordner wird dann eine Ansicht dargestellt, also nicht der Inhalt des Ordners.

Hier noch mein Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:50:01, on 06.10.2004
Platform: Windows XP SP2 (WinNT 5.01.
MSIE: Internet Explorer v6.00 SP2 (6.00.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\SLEE81.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Dokumente und Einstellungen\Chefe\Desktop\Sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SSS7] "C:\Programme\Steganos Security Suite 7\SSS7.exe" -boot
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\Chefe\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.tui
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Sonderprogramme 2\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\SPEZIA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094204495963

Vielen Dank im voraus.

Gruß Chefe

Hallo chefe,

Scanne mit dem online-scan von Kaspersky folgende Datei:

C:\WINDOWS\system32\SLEE81.exe

Zitat:

Norton findet in dem Ordner C:\Windows\DownloadProgrammFiles den im Titel genannten Eintrag.

Überprüfe den Eintrag "rundlg32.dll" ebenfalls mit dem Online-Scan von Kaspersky.

Teile uns das Ergebnis der Überprüfung mit und sende diese Datei(en), wenn sie infiziert sein sollte(n) an partytime-germany.ice@web.de, mit Verweis auf diesen Thread.

Hast Du es auch damit versucht, Adaware, Spybot Search & Destroy im abgesicherten Modus, mit deaktivierter Systemwiederherstellung laufen zu lassen?

Vielleicht bringt es etwas die Ordner TEMP, Temporary Internet Files, ect. zu leeren. ArchiCrypt.Shredder kann hierbei helfen.

SD

Hallo Leute,
ich habe all diese Scans im entsprechenden Modus gemacht. Alle Tools installiert und die Dateien prüfen lassen - keinen Erfolg.
Im abgesicherten Modus mit deaktivierter Systemwiederherstellung wurde die Datei nicht gefunden - bei normalem Start war sie wieder da.
Hat hierfür jemand eine Idee, wie man dies wegbekommt !?
Danke im voraus.
Gruß Chefe.

Habe dies in einem anderen Forum gefunden, scheinbar hat es geholfen.

1. 1. Das Programm SBSoft deinstallieren

2. hxxp://www.iwantsearch.com/uninstall/remove.exe runterladen und starten

Hier ist das ganze zum nachlesen

http.//www.computerhilfen.de/hilfen-17-39917-0.html

:teufel1: :teufel2: :teufel3:

@ chefe

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

@ HavanaClub

Es ist nicht unbedingt empfehlenswert eine remove.exe von der Seite runterzuladen, die dir das ganze eingebrockt hat. Wer weiß, was noch alles beim Uninstall am System verändert wird.

Zunächst mal hallo zusammen!

Ich hatte genau dasselbe Problem mit dieser verdammten rundlg32.dll: Spybot drüberlaufen lassen, Norton Antivirus aktiviert, der sie auch erkannte, aber nicht löschen konnte, und mit dem Windows-Explorer (habe Windows XP installiert) war diese Datei nicht zu finden. Ich bin wirklich rasend geworden, zumal ich mich auch als Otto-Normal-User betrachte und keinen Bock habe, mich ständig mit kryptischem Fachkram auseinandersetzen zu müssen. :koch:
Deswegen sträuben sich mir auch bei den bisherigen Beiträgen hier die Haare. Dank des Tipps eines netten Arbeitskollegen aus der Netzwerkadministration habe ich das Problem geradezu genial einfach lösen können:

-Eingabeaufforderung starten (und damit zurück zur DOS-Nostalgie :o )

-cd c:\windows\downloaded programm files hinter dem Prompt eingeben

-dir eintippen (und schon erschienen bei mir die Dateien rundlg32.dll, rundlg32.inf sowie zwei Unterverzeichnisse mit den Namen conflict.1 und conflict.2, in denen diese beiden Dateien auch noch mal vorhanden waren)

-del rundlg32.* eingeben, und weg sind sie; sollten bei anderen diese Unterverzeichnisse auch existieren, dann mit cd Unterverzeichnisname dahin wechseln und wieder den del-Befehl eingeben; wenn ihr fertig seid, das DOS-Fenster einfach mit Mausklick schließen.

NortonAntivirus hat danach nichts mehr bei mir gefunden. So, ich hoffe das Ganze auch für DOS-Analphabeten gut erklärt zu haben und würde mich über entsprechende Rückmeldungen freuen! :)

Hallo Hurricane,

VIELEN DANK FÜR DIESE EINFACHE SUPER SUPER SUPER Hilfe. Es hat tatsächlich funktioniert. Ich war auch schon am verzweifeln und nun ist der Scheiss weg. Norton findet nichts mehr. Einfach genial.

Vielen lieben Dank an dieser Stelle. War auch schon kurz vorm verzweifeln ! :aplaus: :huepp:

Gruss Chefe

der tipp scheitn denkbar gut und einfach zu sein...und vor allem mal eine lösungsmöglichkeit bei der ich mich nicht auf der seite, die das ganze verursacht hat, rumschlagen muss.

leider, funktioniert es bei mir nicht! beim versuchen mit "del rundlg32.* " die dateien zu löschen bekomme ich stets die fehlermeldung "zugriff verweigert".

hat jemand für mich vielleicht einen tipp wie ich das beheben kann?

vielen dank!

lory

find es überhaupt nett, dass die firma/ bande, die den sch*** fabriziert hat, wenigstens ein removal-tool anbietet. machen die das aus reiner freundlichkeit?

---> Hallo LORY,

erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Hallo. Ich nochmal.

Hatte dieses iwantsearch drauf, mein virenscanner (norton) hat drei dateien angezeigt. zwei (in temp-ordnern) konnte ich löschen. nur eine datei geistert noch rum, nämlich hier: C:\WINDOWS\Downloaded Program Files\rundlg32.dll. siewird im explorer nicht angezeigt. ich weiß nicht, wie ich sie löschen kann. hab spybot und adaware probiert. mein hijack this-log sieht sauber aus sagte mir hier jemand im forum:

Logfile of HijackThis v1.98.2
Scan saved at 14:37:51, on 14.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\RunDLL32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\CLAUDI~1\LOKALE~1\Temp\Rar$EX00.891\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: PowerReg SchedulerV2.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093740971187
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

das remove-tool hab ich auch schon probiert. was kann ich noch machen, will eigentlich nicht formatieren (wer will das schon...).

tschööööööö

- siehe hierzu auch: 8402 -

@ Wattewuschel

Zitat:

C:\WINDOWS\Downloaded Program Files\rundlg32.dll.

"Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren" ... ist sie nun sichtbar?

Scanne Deinen Rechner hiermit: eScan - teile uns das Ergebnis mit: wieviel Viren wurden auf Deinem System gefunden, wie heissen sie. Vielleicht kannst Du das Ergebnis in Deinen anderen Thread posten, es wäre etwas übersichtlicher.

SD

ok, ich mach das mal und poste das ergebnis in den anderen thread. es werden schon alle dateien angezeigt, daran liegt es nicht.
danke schonmal (sehr nettes forum muss ich sagen...)

hat sich erledigt! der tipp war wirklich easy!!! vielen dank :aplaus: und jetzt läuft bei mir wieder alles bestens :daumenhoc

ach ja, im verzeichnis "downloaded program files" hab ich unter windows noch eine "searchbar.exe" gefunden, die eben auf jene "rundlg32.dll." zugreift. die .exe wurde mir allerdings in der eingabeaufforderung nicht angezeigt. vielleicht ist es gut die datei unter windows auch noch zu löschen...hab es jedenfalls getan und wie gesagt es läuft nun alles wieder!!!