rundll32.exe bei Browserstart
 

Vom Norton-Forum habe ich den Vorschlag bekommen, einmal hierher zu schauen in der Hoffnung, dass es hier eventuell eine Lösung meines Problems gibt.
Die Schilderung wird hier etwas länger sein denn ich möchte so gut wie möglich erklären, was ich inzwischen alles Unternommen habe.
Das Problem ist: Öffne ich einen Browser (Firefox 3.6.20 ist Standard), erscheint eine Meldung von Norton 360 (rechts unten am Bildschirmrand), dass rundll32.exe sicher sei. Kurz darauf die Meldung, dass ein mittleres Risiko besteht und die Datei entfernt wurde. Das trifft im Übrigen auf alle Browser zu, die ich installiert habe (Internet Explorer 8 und Google Chrome). Und ich muss auch voraussetzen, dass diese nur auftritt, nachdem der Rechner neu gestartet wurde. Nachdem dann diese Meldung das erste Mal kam, kann ich die Browser starten, ohne dass ich noch einmal von Norton gewarnt werde.
Es wird nämlich nach dem Start eines Browser eine rundll32.exe erstellt. Hier einmal die Norton-Meldung:
Vollständiger Pfad: c:\users\xxxxx\appdata\local\temp\low\bdb33.tmp\rundll32.exe (wobei der Ordner ‚bdb33.tmp‘ jeweils mit anderen Zahlen- Buchstabenkombinationen neu erstellt wird):
____________________________
____________________________
Auf Computern ab:
19.08.2011 um 08:55:54
Zuletzt verwendet:
19.08.2011 um 08:57:40
Systemstartobjekt:
Nein
Gestartet:
Nein
____________________________
____________________________
Sehr wenige Benutzer
Weniger als 5 Benutzer in der Norton Community haben diese Datei verwendet.
____________________________
Mittel
Das Risiko dieser Datei ist mittel.
____________________________
Bedrohungsdetails
Art der Bedrohung: Insight-Netzwerkbedrohung. Es bestehen mehrere Anzeichen, dass diese Datei nicht vertrauenswürdig und daher nicht sicher ist
____________________________
Ursprung
Heruntergeladen von URL nicht verfügbar
Quelldatei:
rundll32.exe
____________________________
Dateiaktionen
Datei: c:\users\xxxxx\appdata\local\temp\low\bdb33.tmp\rundll32.exe
entfernt
____________________________
Dateiabdruck - SHA:
8912bb73e0b33d8814a731ad8c0e8fa638c2b4ee432cf417a34fc1d110d14364
____________________________
Dateiabdruck - MD5:
36388955672e62d2ee6a0945d32639a9
Diese Datei hat die Größe von 588KB.
Ein Scan mit Norton 360 und dann Spybot, beides im abgesicherten Modus, brachten nichts, es wurde nichts gefunden.
Alle Autostartprogramme deaktiviert und den Rechner neu gestartet; brachte auch nichts.
Ich lud mir daraufhin von Norton diesen Power Eraser herunter und ließ ihn durchlaufen. Dieser fand einige Bedrohungen. Ein Remote Scan gab aber dann Entwarnung.
Mit den Tipps aus dem Norton-Forum machte ich dann weiter. Ich schickte diese Datei zu Norton um sie dort überprüfen zu lassen und ließ sie (ich hatte sie mir, bevor sie von Norton entfernt wurde, kopiert) bei Virustotal und Jotti testen. Nur ByteHero (bei Virustotal) zeigte mir einen Fund an:

ByteHero1.0.0.12011.08.20Trojan.Malware.Win32.xPack.m

Danach ließ ich von mehreren Programmen die Platte scannen (cclean, Malewarebytes‘, HijackThis) und postete die Logdateien (nennt man das so?) ins Forum (HijackThis zweimal. Einmal mit dieser rundll, und einmal nachdem sie von Norton entfernt wurde). Freundliche Mitglieder des Norton Forums analysierten diese dann, fanden aber nichts Auffälliges.
Inzwischen stufte der Norton Sonar diese Warnung von ‚mittleres Risiko‘ auf ‚hohes Risiko‘ ein (beim Browserstart vorerst aber noch als Sicher; die Warnung kommt dann etwas später). Aus der Dateiinfo konnte ich dann entnehmen, dass vor einem Tag noch weniger als 5, jetzt weniger als 50 User der Norton Community diese Datei nutzen (naja, so steht es zumindest da, ich denke die meinen: davon betroffen sind).
Zuletzt lud ich mir SuperAntiSpyware (Free Edition) herunter und ließ es drüber laufen. Gefunden wurden etwa 100 Tracking Cookies und zwei Trojaner, die aber Isoliert wurden:

C:\PROGRAM FILES\FLICKROCKET\DOWNLOAD MANAGER\XEB\XCTFOLDER.DLL
C:\PROGRAM FILES\FLICKROCKET\DOWNLOAD MANAGER\XEB\XEBTAG.DLL

Hierbei handelt es sich um den Internet Download Manager; den habe ich vor knapp einem Jahr installiert. Inzwischen habe ich das Ergebnis von Norton über die eingeschickte Datei bekommen. Wenn ich es richtig übersetzt habe lautet das Ergebnis etwa so: Die automatische Überprüfung fand nichts. Zu einem späteren Zeitpunkt wird diese Datei manuell überprüft.
Ob es was zur Sache tut, weiß ich jetzt nicht. Damals, als der IE9 herauskam, hatte ich mir diesen installiert (auch wenn der IE nicht mein Standard ist). Die Installation verlief so, wie sie bei Microsoft üblich ist: Kleine Datei herunter geladen, doppelklick darauf und der eigentliche Download und Installation begann.
Allerdings machte mir dieser Browser gleich von Anfang an Probleme. Ich konnte (durfte?) noch nicht einmal meine Startseite öffnen (t-online) und ich glaube mich erinnern zu können, dass ich damals auch schon eine rundll32.exe Warnung bekommen habe. Hundertprozentig Sicher bin ich mir aber nicht. Ich habe ihn dann deinstalliert und jetzt wieder den IE8 und bis jetzt auch keine Meldungen mehr erhalten.
Die letzten Installationen, die ich etwa Zeitgleich getätigt habe waren FileZilla (Open Source FTP-Programm) einige Tage bevor diese Meldung erschienen und ich bekam ein Firefox Update auf 3.6.20 (ich bin mir nicht mehr sicher, aber ich glaube, die vorherige Version war 3.6.17).

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Vielen Dank für die freundliche Begrüßung.
Hier einmal der gestrige Scan mit Malewarebytes:
Und der von heute:
[edit]Ich wollte jetzt auch noch die beiden OTL-Inhalte in zwei weiteren Threads posten, aber einer allein hat zu viele Zeichen, so dass sie nicht akzeptiert werden.
[edit die Zweite]
Ich weiß, dass ihr diese Informationen braucht (erlaubt sind 100 000 Zeichen pro Thread; die erste OTL-Datei hat allerdins schon 146 380). Wenn es irgendeine Möglichkeit gibt, diese euch zukommen zu lassen, lasst es mich bitte wissen.

Ich weiß, das ist nicht der korrekteste Weg, aber ich habe die OTL-Scans mal auf diesen Server hochgeladen. Die Datei namens OTL ist der normale Scan, die mit den Namen OTL quickscan besagten Quickscan. Ich hatte da alle Programme geschlossen, Virenscan und Firewall für diese Zeit deaktiviert:

hxxp://www.fileserve.com/file/3wzYWR2/OTL-Dateien.zip

Wasn das für ein komischer filehoster? Ich kann da nichts runterladen.
Pack alle Logs in eine ZIP-Datei und häng diese hier an.

Ok, hier bitte. Tut mir leid, dass das nicht geklappt hat, funktioniert sonst schon.
Das man das hier anhängen kann, hatte ich nicht gewusst.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Ich glaub ich werd nicht mehr...
Keine Norton Meldung, nach dem der Rechner neu gestartet und ich den Browser geöffnet habe.
Wie hast Du das gemacht? Aber ich denke, ich werde die Antwort ohnehin nicht verstehen.
Vielen, vielen Dank!!!:applaus:
Hier einmal das Logfile, das nach dem Neustart des Rechners auf dem Desktop war:
Nach dem Neustart wurde mir angezeigt, dass der Internet Download Manager neu installiert werden müsse; das Teil ist aber noch da und funktioniert (zumindest habe ich ihn öffnen können).
Aber was mich vor allem interessieren würde: Was war denn da los mit meinem Kasten?

Und noch eine Frage hätte ich. Ich habe gehört, dass sich zwei verschiedene Virenprogramme auf dem Rechner sozusagen nicht 'mögen'. In den letzten Tagen habe ich ziemlich viel installiert bei dem ich nicht weiß, wie es zu Norton 360 steht. Das wären Ccleaner, Malwarebytes, HijackThis, Supreantispyware (Free Edition); OTL scheint ja nicht installiert sondern nur zum Ausführen zu sein. Ist da vielleicht etwas dabei, das sich mit Norton 'beissen' würde?
Das ich HijackThis wohl entfernen kann, kann ich daraus entnehmen, dass man Logfiles davon hier gar nicht posten soll. Aber bei den Anderen weiß ich leider gar nichts.

Wir sind noch nicht durch, die "Kleinigkeiten" sollten wir abhandeln wenn wir fertig sind!

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Vielen Dank, werde ich machen. Allerdings muss ich jetzt kurz weg, aber sobald ich zurück bin, fange ich gleich an.
Mir ist, und das wäre meine nächste Frage gewesen, ich kann zwar auf 'Eigene Dateien' zugreifen, es fehlen allerdins einige Ordner. Auch ist das Promt AddOn nicht mehr da (Übersetzungssoftware, das mir Internetseiten direkt übersetzt).

Hier der TDSSKiller Bericht:
Wie ich schon erwähnt habe, fehlen (oder sind nicht sichtbar) etliche Ordner unter 'Application Data'. Verknüpfungen sind alle da und auch unter 'alle Programme' scheint nichts zu fehlen. PROMT werde ich neu installieren, um das AddOn wieder zu bekommen.

Hab ich wohl mit OTL "gefixt" du kannst es doch einfach nachinstallieren wenn wir hier durch sind!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hier der Bericht von ComboFix. Obwohl ich alles deaktiviert hatte (Firewall, Virensanner, Malwarebytes, Superantispyware, Norton Toolbar und Symantec IPS) schaltete sich etwa bei Stufe 47 oder 48 (so genau hatte ich nicht darauf geachtet, weil nicht am Rechner) eine Norton Hintergrundaufgabe (vollständiger Systemscan). Ich hoffe, das hatte keine Auswirkung auf ComboFix.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).