PC-Hilfe-MK - Kostenlose PC Hilfe

RSS Feed SelectorRegistrierungKalenderMitgliederlisteTeammitgliederSucheHäufig gestellte FragenZur Startseite..:: Super-Kniffel ::..Filebase


PC-Hilfe-MK - Kostenlose PC Hilfe » Sicherheit & Co » Probleme mit Schädlingen oder der Sicherheit » rundll.exe » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Seiten (2): [1] 2 nächste » Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen rundll.exe
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
neverlein
Doppel-As


Dabei seit: 16.08.2011
Beiträge: 116

rundll.exe Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Habe seit kurzem das Problem, dass wenn ich einen Browser (Firefox 3.6.20, aber auch Internet Explorer 8) öfnne, bekomme ich von Norton 360 eine Warnung bezüglich dieser rundll.exe. Norton entfernt mir das Teil auch und wenn ich den Browser erneut öffne, kommt auch diese Meldung nicht mehr. Die erscheint erst wieder, wenn ich den Rechner neu gestartet habe.
Hier habe ich mal die Norton Meldung.
Internet Explorer:

Vollständiger Pfad: c:\users\xxx\appdata\local\temp\low\bdb33.tmp\rundll32.exe
____________________________
____________________________
Auf Computern ab:
19.08.2011 um 08:55:54
Zuletzt verwendet:
19.08.2011 um 08:57:40
Systemstartobjekt:
Nein
Gestartet:
Nein
____________________________
____________________________
Sehr wenige Benutzer
Weniger als 5 Benutzer in der Norton Community haben diese Datei verwendet.
____________________________
Mittel
Das Risiko dieser Datei ist mittel.
____________________________
Bedrohungsdetails
Art der Bedrohung: Insight-Netzwerkbedrohung. Es bestehen mehrere Anzeichen, dass diese Datei nicht vertrauenswürdig und daher nicht sicher ist
____________________________
Ursprung
Heruntergeladen von URL nicht verfügbar

Quelldatei:
rundll32.exe
____________________________
Dateiaktionen
Datei: c:\users\xxx\appdata\local\temp\low\bdb33.tmp\rundll32.exe
entfernt
____________________________
Dateiabdruck - SHA:
8912bb73e0b33d8814a731ad8c0e8fa638c2b4ee432cf417a34fc1d110d14364
____________________________
Dateiabdruck - MD5:
36388955672e62d2ee6a0945d32639a9
____________________________

Und Firefox:

Vollständiger Pfad: c:\users\xxx\appdata\local\temp\b9bc3.tmp\rundll32.exe
____________________________
____________________________
Auf Computern ab:
19.08.2011 um 13:20:43
Zuletzt verwendet:
19.08.2011 um 13:22:34
Systemstartobjekt:
Nein
Gestartet:
Nein
____________________________
____________________________
Sehr wenige Benutzer
Weniger als 5 Benutzer in der Norton Community haben diese Datei verwendet.
____________________________
Mittel
Das Risiko dieser Datei ist mittel.
____________________________
Bedrohungsdetails
Art der Bedrohung: Insight-Netzwerkbedrohung. Es bestehen mehrere Anzeichen, dass diese Datei nicht vertrauenswürdig und daher nicht sicher ist
____________________________
Ursprung
Heruntergeladen von URL nicht verfügbar

Quelldatei:
rundll32.exe
____________________________
Dateiaktionen
Datei: c:\users\xxx\appdata\local\temp\b9bc3.tmp\rundll32.exe
entfernt
____________________________
Dateiabdruck - SHA:
8912bb73e0b33d8814a731ad8c0e8fa638c2b4ee432cf417a34fc1d110d14364
____________________________
Dateiabdruck - MD5:
36388955672e62d2ee6a0945d32639a9
____________________________

[edit] Habe schon Spybot rüberlaufen lassen, gefunden wurde nichts. Naja, rundll wurde ja schon von Norton entfernt. Ich kann nur vermuten, dass ich das Teil dann bekommen, wenn ich in's Internet gehe (obwohl, wenn ich meine Mails abrufe, und das mache ich in der Regel im als Erstes, passiert nichts dergleichen).

[edit die 2.]
Also, so viel habe ich inzischen mitbekommen. Nach dem Start des Rechners und dann des Öffnen des Browsers wird diese Datei entweder von irgendwo hergeholt oder kopiert und zwar in dieses oben genannte Verzeichnis. Dabei wird jedesmal ein neuer Ordner erstell. Ob das mit dem Ordner auch der Fall ist, wenn diese rundll.exe nicht entfernt würde, kann ich allerdings nicht sagen.
Ich hatte auch kurz telefonischen Kontakt mit einer Bekannte (Administratorin) und haben mal kurz in die Registry geschaut; da scheint alles in Ordnung zu sein. Leider hatte sie aber keine Zeit mehr und sie gab nur einige Tipps auf den Weg. Ich werde also erst mal die AddOns in den Browsern deakivieren und dann (leider ist das immer mit einen Systemneustart verbunden, da ich diese Meldung ja nur bekommen, wenn ich den Browser das erste Mal öffne) und schaun, ob es eventuell daran liegt.

Dieser Beitrag wurde 3 mal editiert, zum letzten Mal von neverlein: 19.08.2011 20:14.

19.08.2011 13:34 neverlein ist online E-Mail an neverlein senden Beiträge von neverlein suchen Nehmen Sie neverlein in Ihre Freundesliste auf
Mario Mario ist männlich
Administrator


Dabei seit: 20.03.2008
Beiträge: 10.573
Herkunft: Holtgast

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Hallo
Diese Datei ist normalerweise eine Systemdatei und befindet sich im Windows-Systemordner. Datei-Größe ca. 44 KB.
Bei dir handelt es sich um eine schädliche Datei, die im Temp-Ordner liegt.
Das zeigt schon die Tatsache, dass diese Datei nach jedem Neustart wieder da ist.

Starte deinen Rechner mal bitte im abgesicherten Modus (die Taste F8 beim Hochfahren gedrückt halten).
Gehe in den Task-Manager (die Tasten Alt Gr, Strg und Entf gleichzeitig gedrückt halten) und beende den Prozess rundll32.exe - sofern dieser aktiv ist.
Lasse nun Norton den Computer durchsuchen und alle gefundenen Schädlinge löschen.
Starte danach den Rechner neu.

Sollte der Schädling immer noch da sein, dann das gleiche Spiel.
Benutze diesmal aber den Spybot zum Suchen (vorher ein Update machen, damit alles erkannt wird).

Wenn auch Spybot nichts ausrichten kann, dann musst du die Datei manuell entfernen (oder du versuchst es noch mit AntiVir).
Mit Hilfe des Programmes CCleaner kannst du sehen, welche Programme beim Hochfahren automatisch mit gestartet werden.
Der Schädling sollte hier ebenfalls zu finden sein.

Merke oder notiere dir den Ort, wo die Datei ist.
Gehe dann in dieses Verzeichnis und entferne sie, am besten auch im abgesicherten Modus.


Grüße
Mario

__________________
Webdesign in Ostfriesland

19.08.2011 22:25 Mario ist offline E-Mail an Mario senden Homepage von Mario Beiträge von Mario suchen Nehmen Sie Mario in Ihre Freundesliste auf
neverlein
Doppel-As


Dabei seit: 16.08.2011
Beiträge: 116

Themenstarter Thema begonnen von neverlein
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Vielen Dank, werd ich versuchen.
Die Vermutung meiner Bekannten, eines der AddOns (so viele hab ich ja nicht) könne der Auslöser sein, traf nicht zu. Ich hatte gestern, bevor ich den Rechner herunter gefahren hatte, alle deaktiviert. Aber heute war wieder das selbe.
20.08.2011 08:30 neverlein ist online E-Mail an neverlein senden Beiträge von neverlein suchen Nehmen Sie neverlein in Ihre Freundesliste auf
Mario Mario ist männlich
Administrator


Dabei seit: 20.03.2008
Beiträge: 10.573
Herkunft: Holtgast

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Hallo
Ja, das hatte ich mir leider schon gedacht.
Der Schädling (vermutlich ein Trojaner) erstellt bei jedem Neustart eine Kopie von sich selbst.
Damit stellt er sicher, dass er weiterhin auf deinem Rechner bleibt.

In der Regel existiert ein Autostart-Eintrag.
Mit dem CCleaner (Option Extras, Autostart) kannst du den echten Ort des Schädlings vielleicht schon ausfindig machen und ihn entfernen.


Grüße
Mario

__________________
Webdesign in Ostfriesland

20.08.2011 11:56 Mario ist offline E-Mail an Mario senden Homepage von Mario Beiträge von Mario suchen Nehmen Sie Mario in Ihre Freundesliste auf
neverlein
Doppel-As


Dabei seit: 16.08.2011
Beiträge: 116

Themenstarter Thema begonnen von neverlein
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Eins muss ich noch vorraussetzen: Diese Datei ist nicht nach dem Rechnerstart in diesem Verzeichnis; erst nachdem ich einen Browser öffne, kopiert sie sich da rein (legt einen neuen Ordner an. wobei dieser bei Firefox im \temp-Ordner geschieht; beim IE wird im \temp-Ordner noch ein weiterer namens 'low' erzeugt, und darin ist dann dieser Ordner mit rundll.

Hier mal emien ersten Ergebnisse:
Rechner im abgesicherten Modus gestartet. rundll war nicht bei den Prozessen (Task Manager); da hatte ich:
csrss.exe
ctfmon.exe
explorer.exe
taskmgr.exe
winlogon.exe
wobei erster und letzter das System der Benutzer war.
Danach habe ich Norton rüber laufen lassen; es wurden allerdings nur Tracking Cookies gefunden.
Rechner neu gestartet (normal) und Firefox gestartet. Zuerst kam von Norton die Meldung, dass diese Datei Sicher sei; nach kurzer Zeit allerdings die Meldung, dass diesesmal ein Hohes Risiko besteht (vorher war es ein Mittleres):
Vollständiger Pfad: Nicht verfügbar
____________________________
____________________________
Auf Computern ab:
20.08.2011 um 12:09:38
Zuletzt verwendet:
20.08.2011 um 12:09:38
Systemstartobjekt:
Nein
Gestartet:
Ja
____________________________
____________________________
Wenige Benutzer
Weniger als 50 Benutzer in der Norton Community haben diese Datei verwendet.
____________________________
Hoch
Das Risiko dieser Datei ist hoch.
____________________________
Bedrohungsdetails
SONAR-Schutz überwacht Ihren Computer auf verdächtige Programmaktivitäten.
____________________________
Ursprung
Heruntergeladen von URL nicht verfügbar

Quelldatei:
firefox.exe
Datei erstellt:
rundll32.exe
____________________________
Dateiaktionen
Datei: c:\users\walter franetzki\appdata\local\temp\b822a.tmp\rundll32.exe
entfernt
____________________________
Systemeinstellungsaktionen
Ereignis: Browser-Prozessstart (Performed by c:\users\walter franetzki\appdata\local\temp\b822a.tmp\rundll32.exe, PID:6068)
Keine Aktion unternommen
____________________________
Dateiabdruck - SHA:
Nicht verfügbar
____________________________
Dateiabdruck - MD5:
Nicht verfügbar
____________________________

Hier wird auch aufgelistet, das Firefox der Verursacher sei.

Also habe ich Spybot aktuallisiert und den Rechner erneut im abgesichterten Modus gestartet und mit Spybot überprüfen lassen. Da wurde dann schon eine Datei, die mir etwas seltsam vorkam. Ich ließ also diese Probleme behben und startete den Rechner neu.
Diesmal öffnete ich den IE. Aber da kam dann wieder das selbe Spiel. Zuerst ist diese Datei Sicher, dann Hohes Risiko:
Vollständiger Pfad: Nicht verfügbar
____________________________
____________________________
Auf Computern ab:
20.08.2011 um 12:47:07
Zuletzt verwendet:
20.08.2011 um 12:47:07
Systemstartobjekt:
Nein
Gestartet:
Ja
____________________________
____________________________
Wenige Benutzer
Weniger als 50 Benutzer in der Norton Community haben diese Datei verwendet.
____________________________
Hoch
Das Risiko dieser Datei ist hoch.
____________________________
Bedrohungsdetails
SONAR-Schutz überwacht Ihren Computer auf verdächtige Programmaktivitäten.
____________________________
Ursprung
Heruntergeladen von URL nicht verfügbar

Quelldatei:
rundll32.exe
____________________________
Dateiaktionen
Datei: c:\users\walter franetzki\appdata\local\temp\low\ba390.tmp\rundll32.exe
entfernt
____________________________
Systemeinstellungsaktionen
Ereignis: Browser-Prozessstart (Performed by c:\users\walter franetzki\appdata\local\temp\low\ba390.tmp\rundll32.exe, PID:6024)
Keine Aktion unternommen
____________________________
Dateiabdruck - SHA:
Nicht verfügbar
____________________________
Dateiabdruck - MD5:
Nicht verfügbar
____________________________

Diesmal wird allerdings nicht der Browser (Internet Explorer) als Quelle genannt.

Danach habe ich mir die aktuellste Version von ccleaner herunter geladen und drüber laufen lassen. Habe da mal die angezeigten Probleme beheben lassen. Im Autostart ist mir allerdings nichts aufgefallen.
Hier ist einam das Ergebnis aus ccleaner:
Ja HKCU:Run IDMan C:\Program Files\Internet Download Manager\IDMan.exe /onboot
Ja HKCU:Run Xvid C:\Program Files\XviD\CheckUpdate.exe
Ja HKCU:Run SpybotSD TeaTimer C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
Ja HKLM:Run sfagent C:\Program Files\Fighters\SPAMfighter\sfagent.exe
Ja HKLM:Run EvtMgr6 C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming
Ja HKLM:Run PDFPrint C:\Program Files\pdf24\pdf24.exe
Ja HKLM:Run NBAgent "C:\Program Files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart
Ja HKLM:Run HP Software Update C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Ja HKLM:Run AdobeAAMUpdater-1.0 "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
Ja Startup Common HP Digital Imaging Monitor.lnk C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
Ja Startup Common Printkey2000.lnk C:\Program Files\PrintKey2000\Printkey2000.exe

Allerdings muss ich jetzt sagen, dass ich dies hier hereinkopierte erst jetzt gemacht habe.

Einen Neustart habe ich bis jetzt noch nicht wieder versucht; das kommt noch im laufe des Tages.
Was mir auch aufgefallen ist und zwar, was im Nortonbericht steht. Zuerst war das Risiko auf Mittel eingestuft und es waren in der Norton Cummunity 5 Benuter betroffen (gester) und jetzt ist das Risiko auf Hoch gestellt und es sind inzwischen schon 50 Benutzer. Vielleich fällt da ja bei Norton jemand etwas ein.
20.08.2011 13:56 neverlein ist online E-Mail an neverlein senden Beiträge von neverlein suchen Nehmen Sie neverlein in Ihre Freundesliste auf
Mario Mario ist männlich
Administrator


Dabei seit: 20.03.2008
Beiträge: 10.573
Herkunft: Holtgast

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Hallo
Deaktiviere mal bitte folgende Einträge im Autostart mit dem CCleaner :
- Ja HKCU:Run IDMan C:\Program Files\Internet Download Manager\IDMan.exe /onboot
- Ja HKCU:Run Xvid C:\Program Files\XviD\CheckUpdate.exe
- Ja HKCU:Run SpybotSD TeaTimer C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
- Ja HKLM:Run sfagent C:\Program Files\Fighters\SPAMfighter\sfagent.exe
- Ja HKLM:Run PDFPrint C:\Program Files\pdf24\pdf24.exe
- Ja HKLM:Run NBAgent "C:\Program Files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart
- Ja HKLM:Run HP Software Update C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
- Ja HKLM:Run AdobeAAMUpdater-1.0 "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
- Ja Startup Common HP Digital Imaging Monitor.lnk C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
- Ja Startup Common Printkey2000.lnk C:\Program Files\PrintKey2000\Printkey2000.exe


Also im Grunde alle bis auf den Eintrag von Logitech.
Starte danach den Rechner neu.
Erscheint die rundll32.exe erneut?

Die meisten der Einträge suchen sofort nach Updates im Internet.


Wenn die Datei erneut auftaucht, dann gehe mal bitte in einen der Ordner und schicke mir bitte die rundll32.exe an meine Mail-Adresse (pc-hilfe-mk@web.de), am besten gezippt.

Die Ordner dürften unsichtbar/versteckt sein.
Öffne den Arbeitspaltz und klicke oben bei"Organisieren" auf "Ordner- und Suchoptionen" und dort auf "Ansicht".
Hier entfernst du den Haken bei "Geschützte Systemdateien ausblenden..." und machst unten den Punkt vor "Ausgeblendete Dateien, Ordner und Laufwerke anzeigen".
Anschließend auf "Übernehmen".

Ich würde mir diese Datei gerne mal ansehen.


Grüße
Mario

__________________
Webdesign in Ostfriesland

20.08.2011 14:34 Mario ist offline E-Mail an Mario senden Homepage von Mario Beiträge von Mario suchen Nehmen Sie Mario in Ihre Freundesliste auf
neverlein
Doppel-As


Dabei seit: 16.08.2011
Beiträge: 116

Themenstarter Thema begonnen von neverlein
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Vielen Dank, werd ich machen.
Allerdings tut sich dann da ein kleines Problem auf; Norton entfernt diese Datei ja; nur der leere Ordner bleibt übrig.
Ich kann aber versuchen, sie zu kopieren bevor sie entfernt wird.
20.08.2011 14:45 neverlein ist online E-Mail an neverlein senden Beiträge von neverlein suchen Nehmen Sie neverlein in Ihre Freundesliste auf
neverlein
Doppel-As


Dabei seit: 16.08.2011
Beiträge: 116

Themenstarter Thema begonnen von neverlein
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

So, habe alles deaktiviert (Logitech war nicht mehr aufgelistet), einen Neustart gemacht und Firefox geöffnet. Diese Meldung ist wieder gekommen.
Unter Systemeinstellungsaktionen steht (bei Norton):
Ereignis: Browser-Pruessstart.
Naja, das hab ich schon selber mitbekommen großes Grinsen
Mail ist unterwegs.
20.08.2011 15:21 neverlein ist online E-Mail an neverlein senden Beiträge von neverlein suchen Nehmen Sie neverlein in Ihre Freundesliste auf
Mario Mario ist männlich
Administrator


Dabei seit: 20.03.2008
Beiträge: 10.573
Herkunft: Holtgast

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Hallo
Deine Mail ist angekommen.
Die Datei ist mit 588 kb eindeutig zu groß... die Original rundll32.exe hat 45 kb.
AntiVir findet bei einer Überprüfung nichts verdächtiges.

Ich tippe trotzdem auf einen Trojaner.

Wenn du nichts dagegen hast, dann würde ich diese Datei gerne mal an Avira, dem Hersteller von AntiVir, schicken.
Sollten die Experten dort was finden, dann würde das in einer der nächsten Updates berücksichtigt werden.

Bis dahin solltest du diese Datei immer wieder von Norton löschen lassen.

Beim Hersteller von Norton konnte ich auf die Schnelle keine Möglichkeit finden, verdächtige Dateien hochzuladen.


Grüße
Mario

__________________
Webdesign in Ostfriesland

20.08.2011 15:30 Mario ist offline E-Mail an Mario senden Homepage von Mario Beiträge von Mario suchen Nehmen Sie Mario in Ihre Freundesliste auf
neverlein
Doppel-As


Dabei seit: 16.08.2011
Beiträge: 116

Themenstarter Thema begonnen von neverlein
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Erst einmal: Vielen Dank für Deine Hilfe und die Mühe, die Du Dir machst.
Natürlich kannst Du diese Datei zu Avira schicken; vielleicht finden die ja was.
Ich habe ja diese Datei auch gescannt und auch bei mir wurde nichts gefunden.
Einen Verdacht hätte ich noch. Und zwar habe ich ein Update für Firefox bekommen (von 3.6.17 -glaube ich zumindest- auf 3.6.20). Ich kann mir zwar nicht vorstellen, dass da etwas dabei war, aber ich werde wohl mal Firefox deinstallieren und die ältere Version noch mal installieren. Seltsam ist eben nur, dass das Gleiche ja auch beim Internetexplorer stattfindet.
Vielleicht liegt es aber auch am Flashplayer, der ist ja, soweit ich informiert bin, in die Browser eingebettet.
20.08.2011 16:01 neverlein ist online E-Mail an neverlein senden Beiträge von neverlein suchen Nehmen Sie neverlein in Ihre Freundesliste auf
Mario Mario ist männlich
Administrator


Dabei seit: 20.03.2008
Beiträge: 10.573
Herkunft: Holtgast

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Hallo
Der Flashplayer erstellt allerdings nicht diese Datei.
Ich habe ihn ja auch installiert und bei mir ist diese rundll32.exe nicht zu finden.

Wenn das Update für den Firefox von der Herstellerseite ist, dann sollte es nicht daran liegen.
Zudem wäre der Internet Explorer nicht betroffen.

Ich habe die Datei bereits nach Avira geschickt und hoffe, dass die dort schnell ein Ergebnis haben.
Werde dich sofort hier informieren wenn ich eine Nachricht bekomme.


Grüße
Mario

__________________
Webdesign in Ostfriesland

20.08.2011 16:42 Mario ist offline E-Mail an Mario senden Homepage von Mario Beiträge von Mario suchen Nehmen Sie Mario in Ihre Freundesliste auf
neverlein
Doppel-As


Dabei seit: 16.08.2011
Beiträge: 116

Themenstarter Thema begonnen von neverlein
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Vielen Dank.
Das Update (Firefox) ist von deren Seite. Und ich habe auch nachgeschaut; das Datum stimmt auch nicht, zusammen. Also, das auftreten dieser Datei und das Update. Letzteres hatte ich später.
20.08.2011 17:59 neverlein ist online E-Mail an neverlein senden Beiträge von neverlein suchen Nehmen Sie neverlein in Ihre Freundesliste auf
neverlein
Doppel-As


Dabei seit: 16.08.2011
Beiträge: 116

Themenstarter Thema begonnen von neverlein
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Nochmal ich (ja ich weiß, das ich ganz schön lästig bin).
Ich habe mir vorhin diesen 'Power Eraser' heruntergeladen und durchlaufen lassen. Der fand dann auch einige Bedrohungen. Wobei ich sagen muss, das ich bis auf den Treiber alle Verknüpfungen und die dazugehörigen Programme kenne und ich die schon sehr lange auf dem Rechner habe.
Habe dann einen Remote Scan drüber laufen lassen und diese Verknüpfungen/Programme wurden dann als keine Bedrohung eingestuft:


Aber etwas ist mir vorhin eingefallen, das vielleicht Wichtig sein könnte. Und zwar hatte ich mir den Internet Explorer 9, als er erschienen ist, installiert. Allerdings wollte der bei mir gar nicht und vorhin ist mir eingefallen, dass es damals eben eben bei diesem IE9 anfing mit dieser rundll-Meldung.
Ich habe ihn dann wieder gegen den IE8 ausgetauscht und die Meldungen waren weg.
Als ich gestern in die Registry geschaut hatte, waren da noch IE9 Einträge vorhanden.
Aber wenn es daran liegt, warum passiert mir das dann auch mit dem Firefox (ist ja mein Standardbrowser).

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von neverlein: 20.08.2011 21:17.

20.08.2011 21:16 neverlein ist online E-Mail an neverlein senden Beiträge von neverlein suchen Nehmen Sie neverlein in Ihre Freundesliste auf
neverlein
Doppel-As


Dabei seit: 16.08.2011
Beiträge: 116

Themenstarter Thema begonnen von neverlein
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Hallo Mario, hier einmal etwas, das Dich eventuell interessieren könnte.
Ich habe das Thema jetzt einmal in's Norton Forum gepostet und auch Antwort bekommen.
Da wurden mir zwei Links gegeben. Einer, bei dem man die betreffende Datei scann lassen kann:
http://www.virustotal.com/
Das habe ich gemacht. Alles aufgelistete scheint in Ordnung zu sein bis auf das:
ByteHero 1.0.0.1 2011.08.20 Trojan.Malware.Win32.xPack.m

Der zweite Link ist dieser:
http://www.malwarebytes.org/

Das habe ich mir mal herunter geladen und werde es mal installieren und durchlaufen lassen.
20.08.2011 23:22 neverlein ist online E-Mail an neverlein senden Beiträge von neverlein suchen Nehmen Sie neverlein in Ihre Freundesliste auf
Mario Mario ist männlich
Administrator


Dabei seit: 20.03.2008
Beiträge: 10.573
Herkunft: Holtgast

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Hallo
Keine Bange, du bist nicht lästig. Augenzwinkern

Hast du den IE 9 direkt von Microsoft oder über eine andere Seite herunter geladen?
Die IE 9-Einträge in der Registry sind nicht so störend und auf keinen Fall Ursache für den Trojaner.

Die Datei rundll32.exe ist normalerweise nur im Systemordner von Windows vorhanden und sonst nirgendwo.
Alle anderen Dateien mit gleichem Namen sind Schädlinge.

Bei der Analyse auf Virustotal wird die betreffende Datei nur einmal als Trojaner angezeigt.
Alle anderen Programme erkennen den also bisher nicht.

Bin mal gespannt, was Avira heraus findet. Ich hoffe, die melden sich bald.


Grüße
Mario

__________________
Webdesign in Ostfriesland

21.08.2011 14:18 Mario ist offline E-Mail an Mario senden Homepage von Mario Beiträge von Mario suchen Nehmen Sie Mario in Ihre Freundesliste auf
neverlein
Doppel-As


Dabei seit: 16.08.2011
Beiträge: 116

Themenstarter Thema begonnen von neverlein
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Ja, den IE hatte ich direkt von Microsoft. Also, über die Updates, die (auf dem Rechner angezeigten) Microsoft immer an den Mann bringen will. Da hatte ich diese kleine Datei herunter geladen und wenn man die doppelklickt, startet erst der eigentliche Download.
Inzwischen habe ich das Teil auch zu Norton geschickt; hab die Adresse erfahren, wo man es hinschicken muss. Auch da bin ich auf das Ergegnis gespannt.
In diesem Norton Forum meinten sie, dass diese Datei noch sehr neu sein müsse, da sie ja nur von ByteHero als Trojaner eingestuft wurde. Dem muss ich zustimmen, denn im Norton bericht steht, dass es unter 50 User in der Norton Community sind, die diese Datei 'benutzen'.
Ich habe heute seit etwa sieben Uhr nur noch scans gemacht und Dateien zum prüfen hochgeladen (ohne Ergebnis, also ohne Fund), dass ich im Moment die Schn... von dem Ganzen ziemlich voll habe.
Achja, hier ist noch so eine Seite, auf die man Dateien zum prüfen hochladen kann; vielleicht kannst Du ja etwas damit anfangen:
http://virusscan.jotti.org/de
21.08.2011 14:42 neverlein ist online E-Mail an neverlein senden Beiträge von neverlein suchen Nehmen Sie neverlein in Ihre Freundesliste auf
neverlein
Doppel-As


Dabei seit: 16.08.2011
Beiträge: 116

Themenstarter Thema begonnen von neverlein
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Habe das Ergebnis von Symantec bekommen und wenn ich das richtig übersetzt habe, wurde bei der automitschen Prüfung nichts in der rundll gefunden; allerdings, wenn ich das richtig verstanden habe, wird irgendwann einmal eine manuelle Prüfung vorgenommen:
This message is an automatically generated reply -- do not reply to this message.

This system is designed to analyze and process suspicious file submissions into Symantec Security Response and cannot accept correspondence or inquiries.

---------------------------------------------------------------------------

Submission Summary
---------------------------------------------------------------------------


We have processed your submission (Tracking #21008987) and your submission is now closed. The following is a report of our findings for the files in your submission:

File: rundll32.exe
Machine: Machine
Determination: Please see the developer notes.

---------------------------------------------------------------------------

Customer Notes
---------------------------------------------------------------------------


A browser provides to itself this file after it was begun in this path:

---------------------------------------------------------------------------

Developer Notes
---------------------------------------------------------------------------


rundll32.exe Our automation was unable to identify any malicious content in this submission.
The file will be stored for further human analysis


---------------------------------------------------------------------------


This message was generated by Symantec Security Response automation.

Should you have any questions about your submission, please contact our regional technical support from the Symantec Web site, and give them the tracking number included in this message.

Im Norton-Forum wurde mir ein Link gegeben, und ich habe mir 'SuperAntiSpyware' (die Free-Version) heruntergeladen und durchlaufen lassen. Eigentlich wollte ich dann das Ergebnis als Textdatei speichern, habe aber es bearbeiten lassen.
Gefunden wurden etwa 100 Tracking Cookies und zwei Trojaner. Diese wurden in Quarantäne geschickt:
C:\PROGRAM FILES\FLICKROCKET\DOWNLOAD MANAGER\XEB\XCTFOLDER.DLL
C:\PROGRAM FILES\FLICKROCKET\DOWNLOAD MANAGER\XEB\XEBTAG.DLL

Trotzdem bekam ich heute wieder diese Warnung.
Und einen Verdacht habe ich auch. Ist vielleicht Idiotisch aber ich habe mir gedacht: Braucht ein Browser (ach ja, bei Google Chrome tritt diese Meldung auch ein) diese rundll beim Starten? Wenn ja, könnte es dann sein, dass durch eine Fehlfunktion diese Datei kopiert und 'aufgebläht' (sie ist ja 588KB groß) wird und dann in den Beschriebenen Pfad 'Zwischengelagert' wird?
22.08.2011 07:41 neverlein ist online E-Mail an neverlein senden Beiträge von neverlein suchen Nehmen Sie neverlein in Ihre Freundesliste auf
Mario Mario ist männlich
Administrator


Dabei seit: 20.03.2008
Beiträge: 10.573
Herkunft: Holtgast

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Hallo
Die automatische Überprüfung von Symantec sucht ja auch nur nach den bereits bekannten Schädlingen.
"Deiner" ist wohl noch nicht dabei.

Tracking Cookies stammen meistens von Werbebannern auf Webseiten. Die beiden anderen Trojaner haben mit der schädlichen rundll32.exe vermutlich nichts zu tun.

Mir ist jetzt nicht bekannt, ob die Browser diese Datei zum Starten benötigen.
Bei mir ist sie bei geöffneten Browsern zumindest nicht aktiv.
Aber selbst wenn, dann würde sie nicht künstlich aufgebläht und in den Temp-Ordner kopiert werden.

Das ist definitiv ein Trojaner, der beim Öffnen eines Browsers versucht, ins Internet zu gelangen.


Grüße
Mario

__________________
Webdesign in Ostfriesland

22.08.2011 07:48 Mario ist offline E-Mail an Mario senden Homepage von Mario Beiträge von Mario suchen Nehmen Sie Mario in Ihre Freundesliste auf
neverlein
Doppel-As


Dabei seit: 16.08.2011
Beiträge: 116

Themenstarter Thema begonnen von neverlein
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Vielen Dank.
Naja, das war ja nur eine Idee, die mir da gekommen ist. Bei mir ist sie ja jetzt auch nicht aufgelistet, aber es hätte ja sein können, dass sie für den Start benötigt wird.
Mal sehn, was Avira dazu sagt.
22.08.2011 08:01 neverlein ist online E-Mail an neverlein senden Beiträge von neverlein suchen Nehmen Sie neverlein in Ihre Freundesliste auf
neverlein
Doppel-As


Dabei seit: 16.08.2011
Beiträge: 116

Themenstarter Thema begonnen von neverlein
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Es scheint sich ja bei mir um etwas ziemlich Neues zu handeln, da ja die Programme die ich inzwischen verwendet habe, nichts gefunden haben.
Und Mario, versteh das bitte nicht falsch, aber ich habe dieses Problem jetzt mal ins Trojaner-Board gepostet. Ist ein längere Artikel denn ich habe darin aufgelistet, was inzwischen alles Unternommen wurde (damit sich diese Vorschläge nicht wiederholen).
Sollte da etwas herauskommen, werde ich das natürlich hier berichten damit, sollte noch bei jemanden dasselbe auftreten, derjenige weiß um was es sich dabei handelt.
22.08.2011 10:55 neverlein ist online E-Mail an neverlein senden Beiträge von neverlein suchen Nehmen Sie neverlein in Ihre Freundesliste auf
Seiten (2): [1] 2 nächste » Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
PC-Hilfe-MK - Kostenlose PC Hilfe » Sicherheit & Co » Probleme mit Schädlingen oder der Sicherheit » rundll.exe

Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH
Classic Silber Style © 2003 - 2017 by UnitPack
Template- & Codeanpassung by © Mario Kievelitz 2oo8 - 2o17
Impressum