rundll32.exe bei Browserstart
 

Vom Norton-Forum habe ich den Vorschlag bekommen, einmal hierher zu schauen in der Hoffnung, dass es hier eventuell eine Lösung meines Problems gibt.
Die Schilderung wird hier etwas länger sein denn ich möchte so gut wie möglich erklären, was ich inzwischen alles Unternommen habe.
Das Problem ist: Öffne ich einen Browser (Firefox 3.6.20 ist Standard), erscheint eine Meldung von Norton 360 (rechts unten am Bildschirmrand), dass rundll32.exe sicher sei. Kurz darauf die Meldung, dass ein mittleres Risiko besteht und die Datei entfernt wurde. Das trifft im Übrigen auf alle Browser zu, die ich installiert habe (Internet Explorer 8 und Google Chrome). Und ich muss auch voraussetzen, dass diese nur auftritt, nachdem der Rechner neu gestartet wurde. Nachdem dann diese Meldung das erste Mal kam, kann ich die Browser starten, ohne dass ich noch einmal von Norton gewarnt werde.
Es wird nämlich nach dem Start eines Browser eine rundll32.exe erstellt. Hier einmal die Norton-Meldung:
Vollständiger Pfad: c:\users\xxxxx\appdata\local\temp\low\bdb33.tmp\rundll32.exe (wobei der Ordner ‚bdb33.tmp‘ jeweils mit anderen Zahlen- Buchstabenkombinationen neu erstellt wird):
____________________________
____________________________
Auf Computern ab:
19.08.2011 um 08:55:54
Zuletzt verwendet:
19.08.2011 um 08:57:40
Systemstartobjekt:
Nein
Gestartet:
Nein
____________________________
____________________________
Sehr wenige Benutzer
Weniger als 5 Benutzer in der Norton Community haben diese Datei verwendet.
____________________________
Mittel
Das Risiko dieser Datei ist mittel.
____________________________
Bedrohungsdetails
Art der Bedrohung: Insight-Netzwerkbedrohung. Es bestehen mehrere Anzeichen, dass diese Datei nicht vertrauenswürdig und daher nicht sicher ist
____________________________
Ursprung
Heruntergeladen von URL nicht verfügbar
Quelldatei:
rundll32.exe
____________________________
Dateiaktionen
Datei: c:\users\xxxxx\appdata\local\temp\low\bdb33.tmp\rundll32.exe
entfernt
____________________________
Dateiabdruck - SHA:
8912bb73e0b33d8814a731ad8c0e8fa638c2b4ee432cf417a34fc1d110d14364
____________________________
Dateiabdruck - MD5:
36388955672e62d2ee6a0945d32639a9
Diese Datei hat die Größe von 588KB.
Ein Scan mit Norton 360 und dann Spybot, beides im abgesicherten Modus, brachten nichts, es wurde nichts gefunden.
Alle Autostartprogramme deaktiviert und den Rechner neu gestartet; brachte auch nichts.
Ich lud mir daraufhin von Norton diesen Power Eraser herunter und ließ ihn durchlaufen. Dieser fand einige Bedrohungen. Ein Remote Scan gab aber dann Entwarnung.
Mit den Tipps aus dem Norton-Forum machte ich dann weiter. Ich schickte diese Datei zu Norton um sie dort überprüfen zu lassen und ließ sie (ich hatte sie mir, bevor sie von Norton entfernt wurde, kopiert) bei Virustotal und Jotti testen. Nur ByteHero (bei Virustotal) zeigte mir einen Fund an:

ByteHero1.0.0.12011.08.20Trojan.Malware.Win32.xPack.m

Danach ließ ich von mehreren Programmen die Platte scannen (cclean, Malewarebytes‘, HijackThis) und postete die Logdateien (nennt man das so?) ins Forum (HijackThis zweimal. Einmal mit dieser rundll, und einmal nachdem sie von Norton entfernt wurde). Freundliche Mitglieder des Norton Forums analysierten diese dann, fanden aber nichts Auffälliges.
Inzwischen stufte der Norton Sonar diese Warnung von ‚mittleres Risiko‘ auf ‚hohes Risiko‘ ein (beim Browserstart vorerst aber noch als Sicher; die Warnung kommt dann etwas später). Aus der Dateiinfo konnte ich dann entnehmen, dass vor einem Tag noch weniger als 5, jetzt weniger als 50 User der Norton Community diese Datei nutzen (naja, so steht es zumindest da, ich denke die meinen: davon betroffen sind).
Zuletzt lud ich mir SuperAntiSpyware (Free Edition) herunter und ließ es drüber laufen. Gefunden wurden etwa 100 Tracking Cookies und zwei Trojaner, die aber Isoliert wurden:

C:\PROGRAM FILES\FLICKROCKET\DOWNLOAD MANAGER\XEB\XCTFOLDER.DLL
C:\PROGRAM FILES\FLICKROCKET\DOWNLOAD MANAGER\XEB\XEBTAG.DLL

Hierbei handelt es sich um den Internet Download Manager; den habe ich vor knapp einem Jahr installiert. Inzwischen habe ich das Ergebnis von Norton über die eingeschickte Datei bekommen. Wenn ich es richtig übersetzt habe lautet das Ergebnis etwa so: Die automatische Überprüfung fand nichts. Zu einem späteren Zeitpunkt wird diese Datei manuell überprüft.
Ob es was zur Sache tut, weiß ich jetzt nicht. Damals, als der IE9 herauskam, hatte ich mir diesen installiert (auch wenn der IE nicht mein Standard ist). Die Installation verlief so, wie sie bei Microsoft üblich ist: Kleine Datei herunter geladen, doppelklick darauf und der eigentliche Download und Installation begann.
Allerdings machte mir dieser Browser gleich von Anfang an Probleme. Ich konnte (durfte?) noch nicht einmal meine Startseite öffnen (t-online) und ich glaube mich erinnern zu können, dass ich damals auch schon eine rundll32.exe Warnung bekommen habe. Hundertprozentig Sicher bin ich mir aber nicht. Ich habe ihn dann deinstalliert und jetzt wieder den IE8 und bis jetzt auch keine Meldungen mehr erhalten.
Die letzten Installationen, die ich etwa Zeitgleich getätigt habe waren FileZilla (Open Source FTP-Programm) einige Tage bevor diese Meldung erschienen und ich bekam ein Firefox Update auf 3.6.20 (ich bin mir nicht mehr sicher, aber ich glaube, die vorherige Version war 3.6.17).

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Vielen Dank für die freundliche Begrüßung.
Hier einmal der gestrige Scan mit Malewarebytes:
Und der von heute:
[edit]Ich wollte jetzt auch noch die beiden OTL-Inhalte in zwei weiteren Threads posten, aber einer allein hat zu viele Zeichen, so dass sie nicht akzeptiert werden.
[edit die Zweite]
Ich weiß, dass ihr diese Informationen braucht (erlaubt sind 100 000 Zeichen pro Thread; die erste OTL-Datei hat allerdins schon 146 380). Wenn es irgendeine Möglichkeit gibt, diese euch zukommen zu lassen, lasst es mich bitte wissen.

Ich weiß, das ist nicht der korrekteste Weg, aber ich habe die OTL-Scans mal auf diesen Server hochgeladen. Die Datei namens OTL ist der normale Scan, die mit den Namen OTL quickscan besagten Quickscan. Ich hatte da alle Programme geschlossen, Virenscan und Firewall für diese Zeit deaktiviert:

hxxp://www.fileserve.com/file/3wzYWR2/OTL-Dateien.zip

Wasn das für ein komischer filehoster? Ich kann da nichts runterladen.
Pack alle Logs in eine ZIP-Datei und häng diese hier an.

Ok, hier bitte. Tut mir leid, dass das nicht geklappt hat, funktioniert sonst schon.
Das man das hier anhängen kann, hatte ich nicht gewusst.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Ich glaub ich werd nicht mehr...
Keine Norton Meldung, nach dem der Rechner neu gestartet und ich den Browser geöffnet habe.
Wie hast Du das gemacht? Aber ich denke, ich werde die Antwort ohnehin nicht verstehen.
Vielen, vielen Dank!!!:applaus:
Hier einmal das Logfile, das nach dem Neustart des Rechners auf dem Desktop war:
Nach dem Neustart wurde mir angezeigt, dass der Internet Download Manager neu installiert werden müsse; das Teil ist aber noch da und funktioniert (zumindest habe ich ihn öffnen können).
Aber was mich vor allem interessieren würde: Was war denn da los mit meinem Kasten?

Und noch eine Frage hätte ich. Ich habe gehört, dass sich zwei verschiedene Virenprogramme auf dem Rechner sozusagen nicht 'mögen'. In den letzten Tagen habe ich ziemlich viel installiert bei dem ich nicht weiß, wie es zu Norton 360 steht. Das wären Ccleaner, Malwarebytes, HijackThis, Supreantispyware (Free Edition); OTL scheint ja nicht installiert sondern nur zum Ausführen zu sein. Ist da vielleicht etwas dabei, das sich mit Norton 'beissen' würde?
Das ich HijackThis wohl entfernen kann, kann ich daraus entnehmen, dass man Logfiles davon hier gar nicht posten soll. Aber bei den Anderen weiß ich leider gar nichts.

Wir sind noch nicht durch, die "Kleinigkeiten" sollten wir abhandeln wenn wir fertig sind!

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Vielen Dank, werde ich machen. Allerdings muss ich jetzt kurz weg, aber sobald ich zurück bin, fange ich gleich an.
Mir ist, und das wäre meine nächste Frage gewesen, ich kann zwar auf 'Eigene Dateien' zugreifen, es fehlen allerdins einige Ordner. Auch ist das Promt AddOn nicht mehr da (Übersetzungssoftware, das mir Internetseiten direkt übersetzt).

Hier der TDSSKiller Bericht:
Wie ich schon erwähnt habe, fehlen (oder sind nicht sichtbar) etliche Ordner unter 'Application Data'. Verknüpfungen sind alle da und auch unter 'alle Programme' scheint nichts zu fehlen. PROMT werde ich neu installieren, um das AddOn wieder zu bekommen.

Hab ich wohl mit OTL "gefixt" du kannst es doch einfach nachinstallieren wenn wir hier durch sind!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hier der Bericht von ComboFix. Obwohl ich alles deaktiviert hatte (Firewall, Virensanner, Malwarebytes, Superantispyware, Norton Toolbar und Symantec IPS) schaltete sich etwa bei Stufe 47 oder 48 (so genau hatte ich nicht darauf geachtet, weil nicht am Rechner) eine Norton Hintergrundaufgabe (vollständiger Systemscan). Ich hoffe, das hatte keine Auswirkung auf ComboFix.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Also, GMER lief eigentlich bei mir Problemlos, allerdings habe ich nach 21(!) Stunden abgebrochen.
GMER:
Und hier OSAM:

Bitte mit OSAM deaktivieren und löschen

Vielen Dank, werde ich machen (kann eventuell aber etwas dauern). Brauchst Du den Scan mit aswMBR dann noch?
Ich hätte dann noch einige Fragen bezüglich einiger Ordner, aber die möchte ich dann erst stellen, wenn das Ganze hier fertig ist.

Hier die mit Osam bearbeitete Datei:
Und hier der Scan nach dem Entfernen:

Hier noch das von aswMBR. Wurde gemacht, nachdem ich die von Dir bezeichnete Datei mit Osam entfernt hatte:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hier einmal Malwarebytes. Das wird wohl stündlich erneuert, denn als ich den Rechner startete, holte es sich ein Update. Und dann nocheinmal, als ich es gestartet und manuell nach Updates gesucht hatte:
Und hier SuperAntispyware. Gefunden wurden 17 Adware.Tracking Cookies, die ich mit dem Programm entfernt habe:
Kann jetzt allerdings nicht sagen, ob ich heute noch zu dem Eset Online Scanner komme.

Hier das Eset Ergebnis:

Nur Cookies. Die Funde von ESET kann man vernachlässigen, der Scanner ist leider sehr hysterisch wenn es im harmlose Setupdateien geht, die Toolbars mitinstallieren können.
Auch die Backupsets sollten keine Gefahr darstellen.

Rechner soweit wieder ok oder gibt es noch Probleme?

Als erstes möchte ich mich für die großartige und kompetente Hilfe bedanken.
Einige Fragen hätte ich allerdings doch noch.
Und zwar habe ich unter Benutzer - mein Name - Application Date, nur zwei Ordner. Eigentlich sollten es mehr sein, so wie ich das wärend des Scannens gesehen habe. In einem Deiner Beiträge hast das Programm 'unhide.exe' erwähnt. Sollte ich das rüberlaufen lassen, um die Ordner wieder 'sichtbar' zu machen?
Anscheinend habe ich einen neuen Ordner unter 'Benutzer', namens: UpdatusIser. Darin befinden sich die Ordner, die auch bei anderen Benutern vorhanden sind (Contacts, Desktop, Documents usw). Aller Ordner sind leer bis auf Desktop, darin befindet sich eine Verknüpfung zu HjackThis.
Als ich diesen Ordner (das passierte mir auch bei einigen anderen, zB den BackUp-Ordner) öffnen wollte, bekam ich eine Meldung, das ich keine Berechtigung hätte. Seltsamerweise öffneten sich diese Ordner aber dann doch.
Dann als letzes wäre noch die verschiedenen Programme, die ich installiert habe (Malwarebytes, SuperAntiSpyware, HjackThis). Vertragen die sich mit Norton 360? Ich habe nämlich gehört, dass man zwei oder mehrere Virenprogramme lieber nicht parallel laufen lassen sollte.

So, welche vermisst du denn?

Dieser Benutzer wird offensichtlich vom NVIDIA-Treibersetup angelegt.


Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Was die Ordner betrifft (Application Data); ich will meine Hand da nicht in's Feuer legen, aber ich dachte, es waren vorher mehr. Na, ist auch egal.
Nochmals vielen, vielen Dank!!!

Combofix hab ich unten. Haben sich eventuell Gmer und aswMBR auch irgendwo eingenistet? Bei den installierten Programmen (über Systemsteuerung) habe ich es nicht gefunden.
Und danke für die Links in Deinem letzten Beitrag.

Und was ich ganz vergessen hatte: was war es denn, was ich da oben hatte?

GMER und aswMBR einfach löschen. Diese Tools sind nicht installiert.
Welcher Schädling das jetzt genau war, kann so garnicht sagen, du könntest aber mal die gefixte rundll32 aus dem Ordner C:\_OTL rausfischen und bei Virustotal auswerten lassen,

:dankeschoen:
Hab das Teil da auswerten lassen.
Bei ByteHero ist das Ergebnis das selbe, das ich schon hatte. Jetzt hat bei der gefixten Datei Comodo auch etwas gefunden:
ByteHero 1.0.0.1 2011.08.22 Trojan.Malware.Win32.xPack.m
Comodo 9908 2011.08.28 TrojWare.Win32.Trojan.Agent.Gen

Adobe Reader hab ich rausgeschmissen und dafür den XChange Viewer rauf (da kommt es mir so vor, als wäre er nicht so 'träge' wie der Adobe Reader). Und auch das Secunia PSI hab ich installiert und durchlaufen lassen.
Danke für die Links.