Hallo!

Hab mal wieder eine Frage. Und zwar ist mir im Task Manager aufgefallen, dass da zwei mal rundll32.exe drin steht. Laut Comodo kommen beide aus dem Windows\System32 Ordner. Ich hab dann mal meine Festplatte durchsucht und habe 4 Rundll32.exe gefunden, jeweils in folgenden Ordnern:
C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386
C:\Programme\Common Files\X10\Common
C:\WINDOWS\SoftwareDistribution\Download\353532c.....usw.

Ist es möglich, dass eine davon ein Virus ist? Avast hat nichts gefunden, ich hab auch weiterhin keine Probleme mit meinem Computer. Ich habe auch schon auf Google gesucht und nur gefunden, dass die Datei eigentlich nur im System32 Ordner sein kann. Aber das, was ich gefunden habe, sieht zumindest für mich (als nicht unbedingt Computer-Profi) vertrauenswürdig aus, da alle Dateien laut Eigenschaften von Microsoft sind.
Mein System habe ich gerade erst neu aufgesetzt, aufgrund von Schädlingsbefall (ein Trojaner laut Avast), der aber nichts von rundll32.exe Dateien gemeldet hat.

EDIT2:

Hab bei der Datei im Common Files Ordner Eigenschaften angeklickt, dort steht, dass der ursprüngliche Dateiname Rundll.exe sei und es steht bei Produktname Windows Millennium Edition dabei.

Die anderen drei Dateien sind übrigens alle gleich groß, 33.792 Bytes.

Das sagt übrigens Anti-Malware:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1828
Windows 5.1.2600 Service Pack 3

09.03.2009 18:51:49
mbam-log-2009-03-09 (18-51-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 116564
Laufzeit: 20 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hallo Phlip,

Zitat:

C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386
C:\Programme\Common Files\X10\Common
C:\WINDOWS\SoftwareDistribution\Download\353532c.. ...usw.

dass sich hier die rundll.exe aufhält, ist völlig normal. Ob sie in den nicht fetten Ordner gehört, weiß ich nicht. Aber du kannst die Dateien einfach mal bei Virustotal überprüfen. Unter den Scans findest Du Hash-Werte. Wenn diese identisch sind, dann handelt es sich um die gleiche Datei. In den letzten Ordner wird eine veraltete Version von rundll liegen. Der Hash-Wert wird daher nicht mit den anderen übereinstimmen.

Grüße
a5cl3p1o5

Schonmal vielen Dank für die schnelle Antwort.
Bezüglich des Common Files Ordners ist mir eingefallenm, dass ich diese Datei ziemlich sicher schon gleich nach Neuaufsetzen des Systems hatte. Sie ist mir durch das Windows-Logo aufgefallen.
Das mit Virustotal werd ich jetzt gleich mal tun.

Ach ja, noch was: Wo genau finde ich diesen Hash-Wert? Soll ich diese posten?

Also, Virustotal sagt folgendes:

Zu den Dateien aus den fetten Ordnern gibts immer die gleiche Meldung:

0/39 haben schädliches gefunden

weitere Informationen
File size: 33792 bytes
MD5...: f6b34cd47caf6d68106b9f8055f35c50
SHA1..: b20d4ccb44bbb2b1de1e8d61d4152b9553571841
SHA256: aeb641391d0186c2a6c2ed97fe87edf6d0289818fd2cbb98aad0cda3504b23b0
SHA512: ea22d61a4fd2d84586f4b24bc66d9d34a61c21d2956ddc1cb46901a5a1491756
b31d98bd761251eb9ff2f9ed79e7237c98f25b3cbcb75deab24445f466ae07ba
ssdeep: 384:9dvAw66vILDXNRhbHeJh8+oXBjxJd5IyYQGSbdkDjkoebjDISav3WFKFX:nv
AOEbSEln5IyYpamDjobj8Sav8OX
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1bdc
timedatestamp.....: 0x480252d5 (Sun Apr 13 18:37:09 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x126a 0x1400 5.98 97ff84b75eadabc20339b518e590f1f1
.data 0x3000 0x38 0x200 0.25 a7f7e8f7f41d7ffb4b369fe282510650
.rsrc 0x4000 0x6888 0x6a00 5.63 65ab8b577a145d407e496997d3d0f4e5

( 5 imports )
> msvcrt.dll: _except_handler3, _wtoi, _vsnwprintf
> KERNEL32.dll: FreeLibrary, LocalFree, lstrlenA, WideCharToMultiByte, LocalAlloc, lstrlenW, GetProcAddress, FormatMessageW, GetLastError, LoadLibraryW, ActivateActCtx, CreateActCtxW, SearchPathW, GetFileAttributesW, ReleaseActCtx, DeactivateActCtx, SetErrorMode, ExitProcess, GetModuleHandleW, GetStartupInfoW, GetCommandLineW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter
> GDI32.dll: GetStockObject
> USER32.dll: RegisterClassW, LoadStringW, CharNextW, SetClassLongW, LoadIconW, DefWindowProcW, CreateWindowExW, MessageBoxW, LoadCursorW, DestroyWindow
> IMAGEHLP.dll: ImageDirectoryEntryToData

( 0 exports )

Zu der dritten Datei aus dem Common Files Ordner heißt's:

Ergebnis wieder 0/39

weitere Informationen
File size: 24576 bytes
MD5...: 208c3f7142c109f3055cb07c95af0f2e
SHA1..: 3d0bb7e7fc384e1354b9fbc994efa19f5201d62a
SHA256: 099c614ff4ffceaad8a8babe2296ac901f6b664afd28837809188b833a42de6f
SHA512: c837604a48a7fd525f368e9c6e10b7ac457f662762d97e7e6f85dbe778dee692
fc74e6327fcebf3542cc845ebef27fe78a2000178621aba18f9ebc66f93a21d3
ssdeep: 960KI0Z9a4A9PqS8PaEgxAErHMLlhNemPWFNYQ7WlASa/JIJnNuPkmWEjMLl
hUQWf7Wll
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ 4.x (55.5%)
Win64 Executable Generic (35.3%)
Win32 Executable Generic (3.5%)
Win32 Dynamic Link Library (generic) (3.1%)
Win16/32 Executable Delphi generic (0.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1048
timedatestamp.....: 0x393f2dea (Thu Jun 08 05:23:54 2000)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x47e 0x1000 2.25 d93f0f8f1c197bf1f3c2c7c38c48a4e1
.data 0x2000 0x1c 0x1000 0.00 1d55c677ab7e4cfc2e2b2cc275d9d96e
.idata 0x3000 0x2b6 0x1000 1.36 e652325b1cc8f423bf9e6f8c6a42da2e
.rsrc 0x4000 0xdb4 0x1000 3.04 ad8fcf39c5c5532bde58530bfc665090
.reloc 0x5000 0xd8 0x1000 0.36 93e1af97fb5a386cad988dbc6662ee00

( 3 imports )
> USER32.dll: DestroyWindow, LoadStringA, wsprintfA, MessageBoxA, LoadCursorA, RegisterClassA, CreateWindowExA, DefWindowProcA, CharNextA, LoadIconA, SetClassLongA
> KERNEL32.dll: GetStartupInfoA, GetCommandLineA, GetLastError, SetErrorMode, LoadLibraryA, -, -, -, lstrcpyA, FreeLibrary, FormatMessageA, GetProcAddress, ExitProcess, GetModuleHandleA
> SHELL32.dll: -

( 0 exports )


Sieht für mich also nicht bedrohlich aus... wenn noch jemand was dazu sagen möchte, danke ich schon mal im Voraus.